Protection des données : comment se conformer au GDPR ?

Comment se préparer à se conformer au GDPR [1] et comprendre son impact sur les processus de gestion de l’information et l’appréhender dans un contexte réglementaire plus général.
Ce nouveau règlement général sur la protection des données remplace la directive de 1995 sur la protection des données.

Il peut s’en passer, des choses, en deux ans. D’ici 2018, la première greffe de tête humaine aura peut-être déjà eu lieu, tout comme la disparation d’Adobe Flash ou la sortie effective du Royaume-Uni de l’UE, et le volume de données exploitables par les entreprises pourrait être cinq fois plus important qu’aujourd’hui, selon IDC.

Deux ans, c’est justement le temps qu’il reste aux entreprises pour se conformer aux nouvelles réglementations européennes sur le traitement des données personnelles. Le changement s’annonce radical pour certaines, et d’autant plus complexe à mettre en œuvre que le volume de données à traiter ne cesse de croître.

Le Parlement européen a adopté le nouveau règlement général sur la protection des données ou GDPR (General Data Protection Regulation) début 2016 pour renforcer la protection des données personnelles face à la digitalisation de l’économie. Sa mise en application n’interviendra qu’en 2018, mais deux ans pour prendre connaissance des nouvelles exigences en vigueur, faire le point des pratiques actuelles et se mettre en totale conformité, c’est moins long qu’il n’y paraît.

Les six étapes préalables qui suivent devraient aider les entreprises à bien comprendre l’impact du GDPR sur leurs processus de gestion de l’information et comment l’appréhender dans un contexte réglementaire plus général.

Qu’est-ce que le GDPR ?

Destiné à renforcer la protection des données personnelles face à la digitalisation de l’économie, le GDPR est de loin la plus grande réforme de notre siècle en matière de protection des données. Il définit, en une cinquantaine d’articles, les règles d’utilisation et de stockage des données personnelles au sein de l’UE. Son principal objectif est de protéger le droit de tout citoyen européen de décider si, quand, comment et à qui ses informations personnelles peuvent être divulguées, et comment elles peuvent être utilisées.

Pour l’Information Commissioners Office, il est urgent que les entreprises se préparent à la mise en conformité au GDPR. Mais un grand nombre d’entre elles ignorent encore comment ce nouveau règlement les affectera et quelles répercussions il aura.

En prenant dès à présent les mesures qui suivent, les entreprises pourront identifier et localiser leurs informations personnelles afin de mieux cerner leurs obligations de gestion vis-à-vis du GDPR. Pourquoi attendre quand on sait que tout contrevenant s’expose à une amende de plusieurs millions d’euros ?

Etape 1 – Savoir ce que sont les données personnelles et si l’entreprise en a en sa possession.

La première étape pour identifier les dispositions de la nouvelle législation s’appliquant à l’entreprise consiste à cerner ce que désignent les « données personnelles ». Au sens du GDPR, les données personnelles incluent toutes les informations qui permettent d’identifier, de manière directe ou indirecte, la personne à laquelle elles se rapportent. Elles comprennent également les identifiants de connexion, les cookies et les adresses IP. Le GDPR impose ainsi à tout responsable des données d’une entreprise, d’être en mesure de localiser toutes les données personnelles dont il a la charge et de démontrer qu’il comprend les risques associés et sait les atténuer.

Etape 2 – Déterminer comment le règlement GDPR s’applique au cas particulier de l’entreprise.

Pour identifier les dispositions du GDPR qui s’appliquent à l’entreprise, il est vital de bien comprendre la terminologie employée : données personnelles, champ d’application territorial, demande d’accès des personnes concernées par les données, évaluation de l’impact sur la protection des données (DPIA), droit à l’oubli et à la portabilité des données, et consentement (cf. notre centre de documentationou le glossaire de la pageeugdpr.org pour en savoir plus).

Etape 3 – Localiser les informations dans l’entreprise.

Savoir où se situent les données personnelles dans l’entreprise est indispensable pour satisfaire les exigences du GDPR. Cela suppose une analyse minutieuse des données enregistrées sur les systèmes en interne, sur les ordinateurs personnels des salariés, dans les archives d’autres sites et même dans des classeurs, ainsi que des informations stockées par les fournisseurs, les prestataires externes et les partenaires commerciaux (traitant des données personnelles pour l’entreprise).

Etape 4 – Cartographier les données et classer chaque information.

La cartographie des données localisées confère une vue à 360 degrés des informations papier et numériques disponibles dans l’entreprise, y compris les données personnelles. Le responsable des données pourra alors les localiser, y accéder et les contrôler rapidement.

Etape 5 – Faire le point des règles de rétention en vigueur et les actualiser.

Une fois les informations localisées, il faut savoir ce que l’on peut en faire et combien de temps les conserver. Les règles de rétention en place doivent donc être conformes aux exigences juridiques, réglementaires et contractuelles pour ne conserver les données personnelles et autres archives que le temps nécessaire avant de les détruire et de pouvoir s’en justifier.

Etape 6 – Sensibiliser les personnes concernées et rester réactif.

Il est crucial que toutes les parties prenantes de l’entreprise connaissent leurs obligations. Personnel, prestataires, fournisseurs et autres personnes amenées à manipuler les données personnelles doivent obéir aux mêmes règles de rétention. Celles-ci doivent s’adapter de manière dynamique aux réglementations changeantes.

Si les exigences en matière de stockage de données personnelles ne sont pas nouvelles en Europe, le GDPR prévoit des amendes plus dissuasives que jamais, allant jusqu’à 4 % du chiffre d’affaires international du contrevenant ou 20 millions d’euros, pour quiconque contreviendra aux nouvelles dispositions de rétention des données.

Ces six mesures sont un premier pas essentiel pour se prémunir de tels risques. Les entreprises ont tout intérêt à agir maintenant pour ne pas subir les conséquences potentiellement désastreuses d’une entorse aux nouvelles réglementations de protection des données.

Arnaud Revert
Iron Mountain France.

Animateur du site des Experts de l’entreprise


Notes

[1Ndlr : en Anglais : General Data Protection Regulation (GDPR) / En Français : Règlement général sur la protection des données (RGPD).