Septembre 2018

Survivre au pays des aventuriers du RGPD – Pierre LOIR

Deux spécialités s’affrontent face à l’entrée en application du nouveau règlement européen sur la protection des données : les consultants et les avocats. Une troisième profession, les experts en cybersécurité, grappille également une part de cet alléchant gâteau au travers de l’obligation de mise en œuvre de “mesures techniques” garantissant la sécurité de la donnée. Plusieurs visions s’affrontent dans ce combat à mort entre la corporation habilitée par excellence au conseil juridique et celle de ceux qui mettent en œuvre concrètement les chantiers de la mise en conformité auprès de leurs clients.

C’est une manne financière, une bouffée d’air pour ces deux professions qui leur assure à ce niveau un avenir radieux pour, a minima, les 10 prochaines années, à l’instar de la conformité Solva II. Par conséquent, tous se tournent avec empressement vers ce nouveau règlement qu’ils découvrent souvent en parallèle de leur accompagnement. Tous les coups sont permis : les avocats invoqueront leur bagage juridique et le monopole de conseil pour tenter d’entraver la percée des consultants. A l’inverse, les consultants invoqueront a raison leur vision “bout en bout” de la conformité, qui suppose des compétences de chef de projet et de management pour un texte a mi-chemin entre les mondes du droit, de l’informatique et du management des risques.

Lorsque l’on y réfléchit bien, les deux sont complémentaires : les premiers font un état des lieux de l’entreprise (Loi Informatique et Libertés et RGPD), les autres poursuivent et accompagnent concrètement les équipes projets sur les projets. Chacun mord ainsi le périmètre traditionnel de l’autre avec un léger avantage législatif pour les avocats qui guettent avec rigueur les potentielles infractions au monopole du conseil juridique.
Mais le plus grave dans cette lutte ne vient pas de ces controverses idéologiques, mais bien d’avantage de l’amateurisme qui se fait au détriment du client final. Ce règlement est l’objet de beaucoup de fantasmes. Personne n’y connaît encore grand chose et son entrée en vigueur en 2016 pour une application en 2018 entraîne pour corollaire que les “experts absolus” ne sont, concrètement, “sachants” que depuis 1 à 2 ans.

Bien sûr, la loi Informatique et Libertés existe depuis 1978, et les CIL depuis 2004. Cependant la démonstration systématique et formalisée par l’entreprise de sa conformité aux règles de protection des données est, elle, particulièrement nouvelle. De plus, “l’aubaine” de la fameuse “amende à 4%” rend les entreprises anxieuses à l’idée de se retrouver face à un potentiel impitoyable contrôle de la CNIL. Par conséquent, toute DSI, Direction de la Conformité ou Direction juridique digne de ce nom s’empresse de trouver rapidement un expert capable de la préserver d’une catastrophe autant économique que “réputationnelle”.

C’est alors que le consultant ou l’avocat intervient. L’entreprise pense qu’elle doit systématiquement demander les consentements des personnes (et c’est faux) et imagine catastrophée les conséquences de mises en garde parfois dépourvues de connaissance approfondie et raisonnable du sujet. Une “novlangue” ubuesque enrobe les enseignement des aventuriers-experts et cause, au final, plus de mal que de bien. Cette novlangue protège, et dissuade les clients de se montrer trop insistants.

Pourtant, quoi de plus logique, et de plus clairement explicite que le RGPD? Au final, il faut comprendre le mécanisme de base (j’emploie ici un langage simple, celui qui n’aurait jamais dû cesser d’être utilisé) :

  • Savoir ce qu’est une donnée personnelle et l’identifier (information identifiant ou contribuant à l’identification d’une personne).
  • Savoir ce qu’est un traitement de donnée personnelle (une manipulation de cette information).
  • Savoir pourquoi on dispose de cette dernière, dans quel processus elle s’inscrit et pour quel objectif (finalité).
  • Identifier si l’on est responsable du traitement (donneur d’ordre) ou sous-traitant (exécutant).
  • Mettre en place un registre compilant tous ces traitements et localiser les plus sensibles afin de réaliser par la suite des études d’impact (la CNIL sera là pour aider l’entreprise dans cette démarche).
  • Formaliser les politiques et procédures en lien avec les données à caractère personnel manipulées par l’entreprise.
  • Se rendre capable de répondre efficacement aux personnes faisant usage de leurs droits.
  • Appliquer des durées de conservation à vos documents contenant des données personnelles, ou être capable d’anonymiser ces derniers.
  • Mettre à jour les relations contractuelles de l’entreprise afin de vérifier que ses partenaires sont dans la même démarche de conformité, et les y enjoindre (notamment en indiquant clairement dans les contrats les finalités exactes pour lesquelles des traitements de données personnelles sont nécessaires).
  • Et enfin, faire le maximum pour éviter fuite, perte ou divulgation de la donnée.

Tout l’intérêt de l’expert est là : enquêter et retrouver ces traitements souvent diffusés et entremêles au sein d’une entreprise, et formaliser ce qui doit l’être.
Tout le monde peut le comprendre, et il ne faut pas en avoir peur. Si vous ne saisissez pas le sens des mots de votre expert (avocat ou consultant) c’est donc, peut-être, qu’il y a un loup.

 

Pierre LOIR

Expert en protection des données personnelles

Fondateur d’Observantiae

LOGO_RENDU-01.jpg