L’adoption du règlement européen sur la protection des données personnelles par le Parlement européen le 14 avril constitue l’aboutissement de quatre années de travail et de négociations intenses et marque un tournant majeur dans la régulation des données personnelles. Le règlement renforce les droits des citoyens européens et leur donne plus de contrôle sur leurs données personnelles. Il simplifie les formalités pour les entreprises et leur offre un cadre juridique unifié. (Source CNIL)

Au regard de ces éléments, les entreprises doivent entrer en conformité avec les exigences du RGPD.

Que prévoit le RGPD ?

Actuellement, une entreprise, localisée dans un ou plusieurs pays de l’UE, est assujettie aux droits nationaux concernant la protection des données personnelles. Le RGPD harmonise et simplifie ces normes.

- Les entreprises en dehors de l’UE doivent respecter le RGPD dans la mesure où les données qu’elles collectent appartiennent à des résidents de l'UE.

- Les entreprises doivent obtenir un consentement explicite de la part de l’utilisateur final quant à l’utilisation ou au stockage de ses données privées.

- L’utilisateur bénéficie d’un droit à la suppression de ses données personnelles par l’entreprise qui les traite, pour les motifs prévus dans l’article 17.

- L’entreprise doit permettre la portabilité des données personnelles aux utilisateurs qui en feraient la demande.

- L’entreprise ne peut pas recourir uniquement à du traitement de données personnelles, assimilé à du profilage, pour rendre des décisions concernant les utilisateurs.

- Les entreprises doivent adopter des mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données nécessaires au regard de leurs besoins soient traitées (autrement appelé le « Privacy by Design »).

- En cas de fuite de données, l’entreprise doit prévenir au plus tôt l’administration, afin que l’utilisateur puisse prendre des mesures correctives.

- L’entreprise doit obligatoirement nommer un délégué à la protection des données (Data Privacy Officer). Celui-ci sera le référent et s’assurera de la bonne mise en œuvre et du contrôle des traitements par mandat des utilisateurs et de l’administration.

- Les métiers de l’entreprise doivent effectuer systématiquement une analyse d’impact relative à la protection des données personnelles.

En cas de non-application du RGPD, l’entreprise encourt des sanctions financières allant jusqu’à 4 % du chiffre d’affaires mondial annuel, limité à 20 M€. (Article 83.6 du Règlement).

Bien identifier son niveau de conformité actuel

Il est donc primordial pour les entreprises d’effectuer des audits de conformité vis-à-vis des exigences du RGPD. Ces derniers permettront de détecter d’éventuels dysfonctionnements et de mettre en place une démarche permettant d’intégrer toutes les exigences de ce nouveau règlement. Dans ce contexte, il est indispensable de s’appuyer sur une méthodologie industrielle prenant en compte différents points techniques et organisationnels.

Déroulé « type » d’une mission d’audit de conformité

État des lieux général sur :

- Le type de données collectées et traitées
- Les mesures en place et leur niveau de maturité
- La réalisation de tests d’intrusion et d’audits de configuration (sur les bases et systèmes traitant des données personnelles)
- L’identification des scénarios de risques majeurs et leur possibilité de couverture
- Le rapport de conformité avec les exigences du RGPD

Évaluation de la cible :
- Chiffrage du plan d’action
- Sélection des organisations, des solutions techniques et contractuelles à mettre en place

Accompagnement dans la réalisation (ARSSI) et pilotage AMOA AMOE :
- Proposition de mesures adéquates afin de réduire le risque à un niveau acceptable pour le DPO et les instances internes
- Suivi des plans de remédiation, techniques et organisationnels

Pour se conformer aux nouvelles exigences du RGPD, les entreprises vont donc devoir repenser leur organisation existante et prendre les mesures nécessaires pour positionner la protection des données au centre de leur nouvelle gouvernance sécurité.

Par le Pôle Audit de NES