Audit RGPD : lier l’utile à l’agréable

Le RGPD incarne beaucoup de fantasmes : de nouvelles obligations démesurées, une organisation à refondre, des sanctions prohibitives, etc. Pour autant, qu’en est-il pour vous aujourd’hui ? Seriez-vous déjà prêt pour gérer le RGPD sans le savoir ?

Sans s’étendre sur le sujet, le Règlement Général sur la Protection des Données (RGPD) va entrer en vigueur le 28 mai prochain.

Sa transposition dans le droit français est en cours de débat au Parlement, mais les grandes obligations sont figées.

Une donnée personnelle est une donnée qui caractérise, directement ou indirectement, une personne physique. Nom, prénom, adresse mail personnelle ou professionnelle, adresse physique, numéro de téléphone, … Il s’agit aussi de toutes les métadonnées liées à l’utilisation de différents services en ligne, ou aux échanges électroniques.

Visant l’encadrement de l’utilisation des données personnelles, le RGPD pose un nombre certain d’obligations quant au recueil et au traitement de données personnelles.

Sans les citer de manière exhaustive, on peut penser au consentement explicite recueilli auprès de l’utilisateur pour chaque traitement (et de la preuve de celui-ci), à la durée de conservation des données, ou au droit à la modification/suppression/portabilité des données.

D’autres obligations sont établies pour les entreprises, au-delà de leur relation directe avec les utilisateurs et clients :

• la nomination d’un Délégué à la Protection des Données (ou Data Protection Officer pour les anglophones),
• la tenue d’un registre de traitement,
• la co-responsabilité des traitements avec les sous-traitants
• etc.

Enfin, on pourra retenir la sacralisation de l’approche “privacy-by-default” dans le déploiement de nouveaux services, le fait pour les entreprises de devoir sécuriser les données en rapport aux risques encourus quant aux droits et libertés des personnes, ou encore la possibilité pour les entreprises d’organiser elles-mêmes leurs bonnes pratiques par l’intermédiaire des codes de conduite.

En somme, beaucoup d’éléments qui couvrent aussi bien des aspects techniques qu’organisationnels et qui dépassent assez largement le champ de la cyber-sécurité, ce qui renforce l’apparente complexité induite par ce règlement.

Non, ce n’est pas un gros mot, mais du grec ancien. Thalès, Pythagore, Héraclite ou encore Socrate ont en commun l’attribution de l’aphorisme “Gnothi seauton”, qui signifie “Connais-toi toi-même”.

Pour ceux qui préfèrent une référence plus moderne, le film Matrix produit par les Wachowski a popularisé “Temet Nosce”, traduction latine de la phrase grecque précédente.

Cette maxime résume la façon de considérer l’approche pour la conformité RGPD : pour établir un plan d’action, il faut d’abord mesurer la distance qui vous sépare du but. Un audit initial permet de prendre connaissance des efforts déjà en place et des façons de faire.

Cet audit initial est très loin d’être une finalité ; il s’agit même de l’inverse. Plutôt que de figer une situation, il marque la ligne de départ pour la course qu’est la conformité avec le RGPD (dont la distance sera plus ou moins longue selon ce que l’audit fait émerger).

Cet audit ne doit pas rester une analyse perdue dans les autres documents, sur un bureau mal rangé. Au contraire, il doit se traduire par une feuille de route, avec des actions clairement identifiées, des livrables concrétisés et une vision plus globale sur la façon dont ces actions s’imbriquent pour déboucher sur la conformité avec le RGPD.

Le recours à un partenaire, qui dispose d’une expertise sur le sujet considéré, peut constituer un premier élément de réponse à la conformité RGPD : ce point de contact et d’expertise sera capable de fédérer les énergies de l’entreprise autour d’un enjeu commun et de compétences transverses : juridique, SI, marketing, achats, ...

L’audit initial permet de faire émerger un premier bilan sur ce qui se trame, mais surtout de construire un plan d’actions pour faire évoluer les organisations, les processus et les outils en place.

Pour cela, l’implication avec les parties prenantes internes à l’entreprise est indispensable : le département juridique ne peut pas être le seul garant de la conformité. L’enjeu est transverse, et dépend profondément des méthodes de travail de chacun.

Oui, des façons de travailler seront impactées par ce règlement ; l’évolution des méthodes de travail va s’imposer globalement à tous, avec une nouvelle façon d’approcher la consommation des données personnelles.

Cela englobe donc la relation avec ses sous-traitants, qui sont plus que jamais des parties prenantes indispensables à impliquer dans ce chantier. Avec le régime de co-responsabilité établi entre le responsable de traitement (= l’entreprise cliente) et le sous-traitant, il n’est plus possible de déséquilibrer la relation en faveur de l’une ou l’autre des parties.

La relation avec le sous-traitant est d’autant plus importante qu’elle est souvent liée à l’utilisation de certaines expertises clés quant au traitement de données personnelles : analyses statistiques par Big Data, traitements RH, campagnes marketing,...

En visant l’amélioration continue, au moyen de points plus ou moins formels, chacun peut devenir acteur de la conformité RGPD en s’emparant des points identifiés lors de l’audit. Il faut créer de la valeur en fédérant les volontés dans un projet commun qui s’impose à tous, et qui transforme les usages.

Une première chose à clarifier : il n’existe pas de “Certification RGPD”. Ce qui est prévu en revanche est la certification au respect des codes de conduite, proposée non pas par la CNIL et ses équivalents européens, mais par les entreprises et les associations d’entreprises.

Ce “code interne” doit avoir été considéré en amont, sur la base de l’audit initial et des besoins métiers remontés : il constitue le référentiel interne quant à l’utilisation des données personnelles.

La constitution de ce code va servir de multiples objectifs :

• Il va garantir la cohérence quant à l’utilisation des données personnelles (données collectées, modalités de collecte, recueil de consentement, exigences pour le sous-traitant, durée de conservation, etc.) ;
• Il va constituer une référence pour le travail avec les sous-traitants ;
• Il va servir de cible pour contrôler que les objectifs identifiés lors de l’audit initial ont été respectés.

En effet, ce “code interne” doit être confronté à la réalité par la réalisation d’un second audit plus formel, plus proche de la réalité. Le périmètre de ce nouvel audit dépasse alors le cadre interne, et doit concerner toutes les parties prenantes qui ont été identifiées initialement.

Considérant les finalités de ce “code interne”, il ne doit pas se concentrer uniquement sur de grands principes généraux, ou des désignations vagues : il doit cadrer de façon non-équivoque les attentes, notamment en ce qui concerne l’utilisation de techniques spécifiques pour garantir la confidentialité des données personnelles (algorithme de chiffrement par exemple, mais aussi les types d’authentification à multiples facteurs acceptables, etc.).

Le but est d’identifier les points d’amélioration, car il est indispensable de considérer que la conformité RGPD ne sera pas atteinte du jour au lendemain.

De plus, il faut garder en tête que le périmètre concerné par la RGPD dans l’entreprise sera en constante évolution (nouveaux traitements, ajout et suppression d'application, etc.)

La clé de voûte de ce dispositif, c’est un oeil critique, objectif et bienveillant qui vous apporte une valeur ajoutée.

Vous pouvez disposer de cet oeil en interne - c’est d’ailleurs une excellente chose -, qui peut être incarné par votre Correspondant Informatique et Liberté / futur Délégué à la Protection des Données.

Cependant, cette situation n’est pas généralisée, et incarne plus l’exception que la règle.

Dans tous les cas, il faut dépasser la notion traditionnelle de l’audit qui pointe les mauvais comportements, pour aller vers une conception plus globale qui prend en compte :

• Votre contexte business - d’autant plus important au vu du RGPD ;
• Votre contexte métier ;
• Votre contexte SI ;
• Votre contexte humain.

Nuageo, à travers GDPReady, peut vous accompagner dans cette démarche vers le RGPD :

• nous apportons une vision transverse de vos contextes au vu des enjeux du RGPD,
• nous vous proposons une feuille de route,
• nous vous accompagnons dans le pilotage et la réalisation des objectifs de cette feuille de route, qui dépasse les enjeux purement légaux ou techniques.

Article rédigé par Alexis Quentrec, spécialiste RGPD chez Nuageo, Cabinet de Conseil Cloud Computing.