Le RGPD vu du droit - méthode et outils de la compliance
Le Règlement européen sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), applicable le 25 mai 2018, constitue un changement fondamental dans le paradigme de la protection des données.
Décryptage de la méthode et des outils à mettre en oeuvre pour être “compliant”.
Mais d’abord, qu’est-ce que la compliance?
L’objectif des entreprises et organisations : être “compliantes” au RGPD à l’échéance du 25 mai 2018.
La compliance, prise dans son acception anglo-saxonne, peut se traduire par la stricte notion de “conformité”. Si cette définition était retenue, disons-le, l’objectif de compliance resterait pour beaucoup lettre morte !
En effet, le RGPD est un texte extrêmement exigeant dans ses principes, et son statut de “règlement” lui donne une portée générale, en cela il est obligatoire dans tous ses éléments et est directement applicable dans tout État membre.
Pourtant, s’agissant d’un texte qui a une portée extrêmement concrète, il n’est à ce jour pas complètement décliné dans ses aspects techniques et nombres de questions restent sans réponses.
Praticienne du droit, je peux aisément comprendre ses implications juridiques, mais j’ai besoin de beaucoup de pédagogie lorsqu’il s’agit de comprendre sa transcription dans la pratique des entreprises et des organisations, qu’elles se développent sur le web ou qu’elles utilisent des systèmes d’information.
C’est là qu’intervient notamment le G29, c’est-à-dire la réunion de l’ensemble des CNIL européennes, qui s’applique à décliner le RGPD au sein de “lignes directrices” qui clarifient et illustrent d’exemples concrets le nouveau cadre juridique issu du règlement européen sur la protection des données applicable en mai 2018 dans toute l’Europe. Mais à ce jour, l’ensemble est encore lacunaire puisqu’encore en construction (sont disponibles au jour de la publication de cet article: “autorité chef de file”, “portabilité”, “délégué à la protection des données”, et “analyse d’impact”).
Il est ainsi demandé aux entreprises d’avancer sans une visibilité totale sur les règles applicables, mais avec une méthodologie assez finement déclinée sur le site de la CNIL.
https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
De fait, à l’horizon 2018, la “compliance” au RGPD n’est pas une demande de stricte conformité, mais plutôt, une obligation stricte pour les entreprises et les organisations de reprendre en main, et rationaliser les échanges d’informations sur le web et dans les SI. Cette obligation étant assortie, le cas échéant, de lourdes sanctions pécuniaires.
Dans ce cadre, la “compliance”, attendue à l’horizon du 25 mai 2018, s’inscrit dans une définition “à la française” qui, du point de vue du droit, peut être comprise comme « la mise en œuvre de mécanisme de contrôle du respect des principes, au sens le plus large, de la régulation économique (..) C’est sinon une valeur, du moins une procédure ou une méthode de respect des règles, qui monte en puissance ».
Il ne s’agit dès lors pas d’être strictement conforme puisque la norme n’est pas complètement définie, mais de se mettre en marche vers la conformité.
Méthodologiquement, il faut alors construire à partir de l’existant, et des certitudes.
Construire sur des certitudes
Le RGPD a vocation à protéger les données personnelles et à renforcer le contrôle des personnes sur les données qu’elles disséminent sur le web, de manière aujourd’hui plus ou moins consciente.
Dans ce contexte, les entreprises ou organisations doivent conduire une introspection des interfaces et des flux des données personnelles qu’elles collectent ; en d’autres termes, les entreprises et organisations seront comptables demain d’un certain nombre d’obligations qui sont très éloignées de l’ancienne logique déclarative, qui en tant que telle était facteur d’impunité.
Pour assurer leur conformité, les acteurs du web doivent revisiter le chemin de l’information dans leurs systèmes de collecte et de traitement des données personnelles. Cette approche pragmatique permet de sérier les points névralgiques des SI - points de mise en conformité et de vigilance.
Quant aux interfaces
L’analyse des interfaces est fondamentale parce qu’elle va permettre d’envisager la relation avec la personne dont les données sont collectées.
Le RGPD impose effectivement de revoir les processus matériels de collecte à l’aune de trois impératifs:
- celui du consentement de la personne au traitement des données la concernant et à sa finalité,
- celui de la consultation des données collectées, et corrélativement de la modification-suppression des informations par la personne concernée ; il s’agit ici d’intégrer à la conception des SI (by design - dès la conception - et by default) le principe de transparence intégrant accessibilité, intelligibilité, clarté et simplicité,
- celui de la portabilité des données personnelles (dès lors qu’il y a eu consentement ou que le cadre est contractuel).
Quant aux flux
Il s’agit de réaliser de manière pragmatique une cartographie exhaustive des flux d’information, de l’input à l’output : où sont effectivement stockées les données au sein du système d’information, sachant qu’il n’est pas rare que celles-ci soient disséminées au sein de plusieurs SI qui n’auraient pas dans l’organisation la même finalité.
L’enjeu est ici celui de la transparence, qui ne peut être achevée que si la structure concernée est en pleine capacité d’identifier les espaces de stockage et de restituer dans une temporalité maîtrisée l’ensemble des données personnelles.
Quant aux données collectées
Il convient à ce moment d’avoir, quant aux données, une vision utilitariste et là encore très pragmatique.
Il s’agit d’abord d’identifier précisément les catégories de données de toutes natures traitées par le SI et de les rapporter à leur utilité : à quoi servent ces données ? Pendant combien de temps sont-elles concernées?
Quant à la sécurisation des données
La protection des données personnelles passe évidemment également par une réflexion en termes de sécurisation de la collecte et des traitements d’informations : les failles de sécurité seront lourdement sanctionnées en ce qu’elles traduisent l’insuffisance de la responsabilisation des entreprises ou organisations.
Le RGPD introduit une véritable culture du risque en amont comme en aval de la collecte et du traitement de l’information.
En amont, il s’agit d’identifier les données susceptibles de soulever des risques compte tenu de leur sensibilité particulière (par exemple, les données relatives à la santé) ou de la vulnérabilité des personnes (le RGPD prévoit explicitement la protection renforcée de l’enfance, mais le G29 a dans un de ses documents de travail élargi le spectre de la vulnérabilité aux salariés compte tenu de leur lien de subordination).
L’existence de telles données nécessite alors le déploiement, rendu obligatoire par le RGPD, d’une étude d’impact formalisée dont la vocation est principalement d’évaluer les risques afin de les réduire à un niveau acceptable (sans que le seuil d’acceptabilité ne soit à ce jour défini).
En aval, le risque étant identifié, il s’agira de trouver les moyens de le circonscrire, en combinant une approche matérielle (sécurité physique des serveurs), et immatérielle (quels pare-feu pour les systèmes ?).
La compliance au RGPD, c’est donc d’abord une méthodologie à élaborer. Il reste peu de temps avant le 25 mai 2018, mais loin d’être anxiogène, cette perspective doit se concevoir comme une opportunité collective pour les entreprises et les organisations de construire un nouveau pan de leur responsabilité sociale.