Une enquête IDC révélait récemment que le règlement général sur la protection des données (GDPR) est quelque peu nébuleux pour près de 60% des entreprises. Pourquoi un tel résultat ? Avec ses 90 pages, ce règlement n'est pourtant pas si volumineux ! Mais il comporte un certain nombre de subtilités. Ainsi, Commvault revient sur les éléments à appréhender et les mesures à prendre pour y faire face.
Un projet qui impacte tous les métiers de l’entreprise
La GDPR affecte l’ensemble de l’organisation puisqu’elle touche l’ensemble des départements. Il est pourtant peu probable que le responsable du programme GDPR dispose de suffisamment de connaissances pour comprendre l'impact d’une telle transformation et l'ampleur des défis commerciaux et techniques que cela implique. En plus d’un référentiel qui fournira un certain nombre de définitions permettant d’appréhender la GDPR, le recours à un Compliance Officer qui dispose d’une vision globale du projet, pourra s’avérer nécessaire.
L’importance du conseil juridique
Un conseiller juridique joue un rôle prépondérant dans le cadre d’un programme de mise en conformité à la GDPR. Qu’elle dispose de cette ressource en interne ou qu’elle fasse appel à un intervenant extérieur, une entreprise ne pourra pas éviter d'y avoir recours, surtout si elle compte plus de 250 employés ou qu’elle traite de certaines données. Néanmoins, même avec de l’aide, il peut être difficile de traduire cela dans les faits. De plus en plus d'entreprises utilisent, par exemple, la prise de décision automatisée et le profilage des clients. Les règles en la matière ont été considérablement durcies et il n'est pas toujours facile de se défaire de la logique ou de l'IA que l’on utilise pour appliquer un nouveau règlement qui peut par ailleurs signifier plus d'intervention humaine.
Des notions parfois imprécises
Une instruction se doit d’être claire. Bien que de nombreuses parties du GDPR soient effectivement très claires sur ce qu’il faut faire ou mettre en place, les règlements utilisent également des termes difficilement mesurables tels que "raisonnable", "adéquat" ou "grand". C’est donc à l’entreprise d’évaluer la quantité de mesures à prendre pour atténuer les risques. Le "Droit à l’oubli" en est un excellent exemple. Après une demande, doit-on également effacer les données qui figurent sur toutes les copies de sauvegarde ? Ou est-ce que le processus de suppression après une récupération suffit ? Doit-on éliminer la bande comme support de stockage à long terme ? La décision ne revient qu’à l’entreprise.
Les technologies actuelles dans le cadre de la GDPR
La prolifération des données permet de disperser les informations d'identification personnelle (PII) dans l’ensemble du système informatique (y compris dans le cloud et le SaaS), quelles que soient les règles mises en place pour les employés. Trouver et profiler ces données pour évaluer un risque est donc délicat, sans parler de les supprimer, si nécessaire. De plus, le profilage ne peut pas être qu’un événement ponctuel et devrait être réalisé en continu. Les méthodes traditionnelles de gestion du consentement, de stockage et de traitement des données vont devoir évoluer avec l’application de la GDPR, indépendamment de si les systèmes et applications des entreprises concernées sont prêts ou non !
Le nouveau rôle du DPO
La GDPR précise que l’on doit faire appel aux services d'un délégué à la protection des données (ou Data Protection Officer - DPO) dès lors que l’on effectue un traitement "à grande échelle" ou que l’on est un organisme public. Cette personne devient l’interlocuteur privilégié en ce qui concerne la protection de la vie privée au sein de l’organisation notamment auprès du régulateur. Par contre, cet individu doit être impartial et ne doit pas avoir d’intérêt dans le traitement des données à caractère personnel.
La nécessité de dissiper la confusion
Il existe de nombreuses possibilités de se voir infliger une amende pour le non-respect de la conformité à la GDPR. Il est donc impératif de neutraliser toute forme de confusion et l'inaction qui en résulte. Si l’entreprise n’a pas encore commencé sa mise en conformité, il est temps de s’y mettre sans hésiter et de demander au conseil d'approuver les ressources pour la GDPR. Il est par ailleurs nécessaire de disposer d’un représentant pour chaque service concerné et d'effectuer une évaluation de l'impact sur la protection des données.
Ces quelques conseils ne représentent qu’un prérequis à l’application de la GDPR. En effet s’ils permettent de lancer un programme de mise en conformité à la GDPR, ils devront aussi s’accompagner de mesures quotidiennes pour conserver cette conformité.
Un projet qui impacte tous les métiers de l’entreprise
La GDPR affecte l’ensemble de l’organisation puisqu’elle touche l’ensemble des départements. Il est pourtant peu probable que le responsable du programme GDPR dispose de suffisamment de connaissances pour comprendre l'impact d’une telle transformation et l'ampleur des défis commerciaux et techniques que cela implique. En plus d’un référentiel qui fournira un certain nombre de définitions permettant d’appréhender la GDPR, le recours à un Compliance Officer qui dispose d’une vision globale du projet, pourra s’avérer nécessaire.
L’importance du conseil juridique
Un conseiller juridique joue un rôle prépondérant dans le cadre d’un programme de mise en conformité à la GDPR. Qu’elle dispose de cette ressource en interne ou qu’elle fasse appel à un intervenant extérieur, une entreprise ne pourra pas éviter d'y avoir recours, surtout si elle compte plus de 250 employés ou qu’elle traite de certaines données. Néanmoins, même avec de l’aide, il peut être difficile de traduire cela dans les faits. De plus en plus d'entreprises utilisent, par exemple, la prise de décision automatisée et le profilage des clients. Les règles en la matière ont été considérablement durcies et il n'est pas toujours facile de se défaire de la logique ou de l'IA que l’on utilise pour appliquer un nouveau règlement qui peut par ailleurs signifier plus d'intervention humaine.
Des notions parfois imprécises
Une instruction se doit d’être claire. Bien que de nombreuses parties du GDPR soient effectivement très claires sur ce qu’il faut faire ou mettre en place, les règlements utilisent également des termes difficilement mesurables tels que "raisonnable", "adéquat" ou "grand". C’est donc à l’entreprise d’évaluer la quantité de mesures à prendre pour atténuer les risques. Le "Droit à l’oubli" en est un excellent exemple. Après une demande, doit-on également effacer les données qui figurent sur toutes les copies de sauvegarde ? Ou est-ce que le processus de suppression après une récupération suffit ? Doit-on éliminer la bande comme support de stockage à long terme ? La décision ne revient qu’à l’entreprise.
Les technologies actuelles dans le cadre de la GDPR
La prolifération des données permet de disperser les informations d'identification personnelle (PII) dans l’ensemble du système informatique (y compris dans le cloud et le SaaS), quelles que soient les règles mises en place pour les employés. Trouver et profiler ces données pour évaluer un risque est donc délicat, sans parler de les supprimer, si nécessaire. De plus, le profilage ne peut pas être qu’un événement ponctuel et devrait être réalisé en continu. Les méthodes traditionnelles de gestion du consentement, de stockage et de traitement des données vont devoir évoluer avec l’application de la GDPR, indépendamment de si les systèmes et applications des entreprises concernées sont prêts ou non !
Le nouveau rôle du DPO
La GDPR précise que l’on doit faire appel aux services d'un délégué à la protection des données (ou Data Protection Officer - DPO) dès lors que l’on effectue un traitement "à grande échelle" ou que l’on est un organisme public. Cette personne devient l’interlocuteur privilégié en ce qui concerne la protection de la vie privée au sein de l’organisation notamment auprès du régulateur. Par contre, cet individu doit être impartial et ne doit pas avoir d’intérêt dans le traitement des données à caractère personnel.
La nécessité de dissiper la confusion
Il existe de nombreuses possibilités de se voir infliger une amende pour le non-respect de la conformité à la GDPR. Il est donc impératif de neutraliser toute forme de confusion et l'inaction qui en résulte. Si l’entreprise n’a pas encore commencé sa mise en conformité, il est temps de s’y mettre sans hésiter et de demander au conseil d'approuver les ressources pour la GDPR. Il est par ailleurs nécessaire de disposer d’un représentant pour chaque service concerné et d'effectuer une évaluation de l'impact sur la protection des données.
Ces quelques conseils ne représentent qu’un prérequis à l’application de la GDPR. En effet s’ils permettent de lancer un programme de mise en conformité à la GDPR, ils devront aussi s’accompagner de mesures quotidiennes pour conserver cette conformité.
Autres articles
-
Les règles du jeu des partage et réutilisation des données personnelles à l'ère du numérique
-
EQS Group entre en négociations exclusives pour l'acquisition de Data Legal Drive
-
La dernière étude du ministère du Travail réalisée par l’AFPA, avec le soutien de la CNIL et l’AFCDP souligne de nouvelles tendances dans l’exercice du métier de DPO
-
Podcast : Données personnelles, reprenons le contrôle, avec Cécile Petitgand
-
L’AFCDP poursuit son engagement pour accompagner les DPO dans leur quotidien