Pas évident de tracer un parcours de conformité RGPD. Hélène Legras, data protection officer (DPO) de Orano (ex-Areva Holding), le sait bien. Elle a d’abord examiné le canevas de mise en conformité de la Cnil en six étapes. « Dans la pratique, il faut quelques étapes complémentaires... », constate Hélène Legras. Le régulateur britannique ICO (Information Commissioner’s Office) propose un chemin plus détaillé puisqu’il compte douze étapes mais il n’était guère plus satisfaisant : « La désignation du DPO n’est que la onzième étape alors qu’il est évident que la nomination d’un pilote de la conformité RGPD doit être la première étape », a estimé Hélène Legras.
Après mûre réflexion, l'experte a opté pour un parcours en douze étapes mais avec un déroulé bien spécifique puisque la première étape n’était autre que sa nomination au poste de DPO... Elle a ensuite engagé l’actualisation du registre hérité de sa fonction précédente de CIL (Correspondant Informatique et Libertés), instituée par la loi Informatique et Libertés de 1978. « J’y ai ajouté plusieurs informations comme le délai prévu pour l’effacement, qui est une des grandes nouveautés du RGPD. Il est institué par l’article 30 f du règlement et consacre le droit à l’oubli. J’ai aussi ajouté deux autres colonnes consacrées à la description des mesures de sécurité techniques (cryptage des données, par exemple) et organisationnelles (gestion des habilitations pour l’accès aux données, par exemple) que prévoit l’article 30 g. J’ai ajouté une troisième colonne qui doit indiquer si les données présentent un risque élevé nécessitant un DPIA (data privacy impact assessment) ou “analyse d’impact sur la vie privée” en français. »
Révision des contrats
La troisième étape a consisté à inclure une clause RGPD dans les nouveaux contrats et à ajouter un avenant aux contrats en cours afin de s’assurer de la conformité RGPD des prestataires. Elle a ensuite établi une typologie des différentes données à caractère personnel utilisées dans les traitements. « Il faut bien comprendre qu’une adresse IP, si elle n’est pas aléatoire, constitue une donnée à caractère personnel car elle permet d’identifier une personne, comme l’a confirmé la Cour de Cassation, le 3 novembre 2016. Lister toutes les données possibles permet d’alerter les opérationnels sur ce qu’est une donnée à caractère personnel au sens du RGPD, mais aussi de faciliter la mise en œuvre du principe de minimisation, qui a pour but de limiter le recueil de données à celles strictement nécessaires au traitement. »
Les cinquième et sixième étapes ont consisté, respectivement, à créer un fichier pour aider les opérationnels à mettre en œuvre le principe de « privacy by design » – qui implique d’intégrer la protection des données dès la conception d’un traitement – et à établir la liste des traitements à risque qui doivent faire l’objet d’une analyse d’impact sur la vie privée, ou DPIA (data privacy impact assessment). La Cnil a récemment indiqué que « les traitements en cours et qui sont susceptibles de présenter un risque élevé » devront faire l’objet d’une DPIA avant le 25 mai 2021.
Créer la documentation
Après avoir diffusé les mentions légales qui permettent d’informer les personnes sur leurs droits (durée de conservation des données, droits d’accès et de modification, etc), qui ont constitué les huitième et neuvième étapes, Hélène Legras a mis en place en place les procédures qui permettent d’exercer réellement ces droits (10e étape). Elle a ensuite créé ou réuni la documentation, c’est-à-dire tous les documents qui matérialisent et explicitent la démarche de mise en conformité (registre des traitements, procédures internes, contrats avec les sous-traitants, échanges entre les DPO et les opérationnels au sujet des traitements, etc).
Dernière et douzième étape : la rédaction des Binding Corporate Rules (BCR). Ces règles internes aux entreprises encadrent les flux de données vers les pays dits « non adéquats » au sens du RGPD. « Il est possible d’avoir recours à des clauses de flux transfrontières qui existent depuis 1978 mais elles présentent un inconvénient, note Hélène Legras : il faut en signer pour chaque pays différent alors qu’un BCR règle la question globalement puisqu’il est valable pour tous les flux internes à un groupe, indépendamment du pays concerné. » CQFD.
« Le bon équilibre est une formation d’une semaine »
Hervé Schauer, expert en cyber-sécurité, fondateur du cabinet HSC
Quels facteurs facilitent une mise en conformité RGPD ?
Les entreprises qui s’étaient déjà conformées à la loi Informatique et Libertés et, a fortiori, celles qui ont été contrôlées par la Cnil, ont déjà mis en place des procédures qui vont faciliter l’adoption du RGPD. La maturité des entreprises est liée à leur exposition aux contrôles de la Cnil. La grande distribution, ou une entreprise de transport comme la RATP, se trouvent donc à un degré de maturité élevé, de même que les professions réglementées. À l’opposé, les clubs sportifs - qui gèrent pourtant beaucoup de données sensibles - ou les associations, présentent un degré de maturité faible. Considérées globalement, les situations sont très disparates.
Comment déterminer qui est le plus qualifié pour occuper le poste de DPO ?
Dans les grands comptes, le DPO a bénéficié d’une formation et est entouré d’une équipe. Dans les structures moyennes, désigner un DPO ou attribuer cette compétence est une tâche plus compliquée. C’est le savoir-être et la motivation qui feront la différence car le DPO va être amené à conseiller des opérationnels, les orienter et en même temps les contrôler. Diplomatiquement, c’est une fonction complexe. Pour être remplie correctement, elle doit avoir l’appui de la direction générale.
Quelle formation choisir pour avoir une vue opérationnelle du RGPD ?
Une formation d’une journée vaut toujours mieux que rien. Il existe aussi des formations longues, étalées sur un an, qui représentent trois mois de formation à temps plein. Mon retour d’expérience m’a conduit à conclure que ces formations longues sont un peu superflues. Je crois que le point d’équilibre réside dans une semaine de formation à plein temps.
DPO : un profil complexe
Le RGPD exige de nommer un DPO dans différents types d’organismes : les autorités publiques, les entreprises qui effectuent des traitements à grande échelle et celles qui gèrent des données sensibles. « Mais il vaut mieux avoir un pilote dans l’avion de la conformité », prévient Hélène Legras. Un pilote qui doit avoir des qualités bien précises : « Le DPO doit être un communicant, capable d’organiser un réseau au sein de l’entreprise. Il doit aussi bien connaître sa société mais aussi le droit et l’informatique. C’est une fonction à responsabilités, nécessitant un certain éclectisme, mais elle est passionnante. » Un pilote qui devra aussi être exempt de tout conflit d’intérêts, rappelle Hélène Legras : « Le DPO ne doit pas être responsable d’un traitement, quel qu’il soit. »
