[Tribune] Conformité au RGPD: LE rétroplanning à suivre pour les entreprises
Le Règlement européen sur la protection des données, ou RGPD, qui vise en substance à renforcer les droits des personnes dont les données sont collectées, entrera en vigueur le 25 mai 2018. L'envergure des chantiers organisationnels, technologiques et juridiques est telle que les entreprises doivent s'engager sans attendre dans une démarche de mise en conformité si elles veulent être prêtes à temps.
Nota bene: la construction de la trajectoire de mise en conformité dépendra évidemment du degré de maturité et de l'exposition de chaque organisation. Aussi, il sera judicieux de commencer par réaliser un état des lieux, et de dessiner la feuille de route correspondante qui recensera les chantiers prioritaires, en termes d'organisation, de processus de traitement et de process liés aux droits des personnes.
Ici, dans l'optique de parler au plus grand nombre, nous avons construit un chronogramme en partant d'un degré de maturité faible.
Étape 1 - Juin 2017: structurer le projet, nommer les acteurs clés, définir les jalons
Avant l'été, il s'agira de structurer la mise en conformité. L'organisation devra désigner un coordinateur (le délégué à la protection des données) et devra allouer au projet les moyens humains et financiers nécessaires pour en assurer la réussite.
Le coordinateur définira les acteurs-clés (responsable juridique, responsable SI, responsable métiers - direction commerciale et marketing etc.) et attribuera les responsabilités de chacun. Les principaux jalons devront être fixés et les ateliers des étapes 2 et 3 planifiés.
>> Découvrez les étapes suivantes
Étape 2 - Entre juillet et septembre 2017: cartographier les traitements de données personnelles, analyser la conformité de ces traitements et les risques associés
La tenue d'un registre des traitements mis en oeuvre dans l'entreprise est une des clés de voute du Règlement. Afin d'élaborer ce registre, les acteurs devront lister pour chaque traitement de données personnelles:
- la finalité du traitement (les objectifs poursuivis);
- la nature des données traitées;
- les acteurs internes et externes qui traitent ces données;
- la localisation de ces données;
- les flux amont et aval (l'origine et la destination);
- les temps de conservation;
- le volume.
Pour apprécier la criticité de ces traitements, on se posera entre autres deux questions:
- Les données récoltées nécessitent-elles une vigilance accrue au regard du règlement (exemples: données de santé, de données biométriques, d'opinions politiques, données traitées de façon systématique aboutissant au profilage etc.)?
- Les données récoltées sont-elles strictement nécessaires à la poursuite des objectifs (principe de minimisation)?
Une fois les traitements à risque identifiés, il s'agira d'évaluer si les dispositifs de maîtrise de ces risques sont appropriés. On recensera les mesures de sécurité mises en place pour protéger notamment la confidentialité et l'intégrité des données, mais également les dispositions existantes pour respecter les exigences du Règlement relatives aux droits et libertés des personnes concernées.
Étape 3 - Entre septembre et novembre 2017: évaluer le niveau de conformité de vos processus internes
Il conviendra ensuite de définir finement les actions à entreprendre sur 5 grands volets.
- Le Règlement renforce le droit à l'information et le consentement des personnes. Les modalités d'information et de collecte des données personnelles devront être revues en ce sens.
- Le RGPD crée également de nouveaux droits (droit à la portabilité, à la limitation, à l'oubli), qui viennent s'ajouter à plusieurs droits préexistants (droits d'accès, d'opposition, de rectification). Les process de traitement doivent être mis à jour pour que les personnes puissent exercer correctement leurs droits.
- En outre, les process de gestion de crise devront être ajustés pour anticiper les violations de données (data breach).
- Le principe de "privacy by design" devra être incorporé aux procédures de gouvernance projet, i.e. définir les besoins et mesures de protection des données dès la phase de conception d'un nouvel outil ou d'une nouvelle application.
- Enfin, l'entreprise devra articuler ses actions de sensibilisation à travers un plan de formation.
Lire aussi : SIRH : pourquoi intégrer un logiciel de paie moderne
Étape 4 - Entre novembre 2017 et février 2018: déployer les plans de remédiations définis lors des étapes 2 et 3
En parallèle de la modification des processus internes, le renforcement des mesures de sécurité pourra conduire à une réflexion quant à la mise en place d'outils technologiques, que ce soit dans le cadre de l'identification des données sensibles, de la protection des données à travers des outils de chiffrement, de pseudonymisation, d'anonymisation, ou de la détection de data breach.
Étape 5 - Entre mars et le 25 mai 2018: valider la conformité de l'organisation vis-à-vis du Règlement
Au début du mois de mars 2018, il sera judicieux de rebalayer l'ensemble des exigences du RGPD et de recenser les écarts potentiels entre celles-ci et les procédures et mesures effectivement en place.
Les deux mois précédant la date butoir pourront être consacrés au déploiement des correctifs additionnels éventuels.
On your marks, get set, go!
L'auteur
Romain Maillard, senior manager BDO
Romain Maillard est senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Romain apporte également son expertise dans le cadre de la structuration de dispositifs de lutte anti-fraude et conduit des missions d'investigations en exploitant les données comptables et financières. Romain est Certified Fraud Examiner et diplômé de Neoma (ESC Rouen).
Sur le même thème
Voir tous les articles Réglementation