Stratégie

GDPR : les plans d'action tardent à se mettre en place

Sophie Nerbonne, Directrice de la conformité à la CNIL, n'écarte pas la délégation de responsabilité.

Retrouvez cet article dans le CIO FOCUS n°135 !

GDPR, l'une des conditions pour l'innovation numérique

L'innovation par le numérique intéresse fortement les entreprises. Mais le numérique connaît ses règles et obligations. Parmi celles-ci, le nouveau GDPR (RGPD, règlement général européen sur la protection des données) est sans doute celui dont on parle le plus aujourd'hui.

Découvrir

Les entreprises n'ont plus que quinze mois pour adapter leur informatique et leur organisation métier au GDPR, le Règlement Général européen sur la Protection des Données (RGPD en Français).

Publicité« Tout va changer, tout va vraiment changer au 25 mai 2018 ». Celui qui assène tranquillement ce pronostic capte facilement l'attention : il s'agit de Maître Alain Bensoussan, du cabinet du même nom, s'exprimant au Congrès Big Data, à Paris le 6 mars 2017. Après quarante ans d'expérience, il fait comme on dit « autorité ». « Le GDPR (*) est un big bang » poursuit-il. Lui qui a connu la promulgation de la Loi Informatique et Libertés peut livrer son diagnostic avec un certain recul.
Au commencement était la Directive européenne du 24 octobre 1995 (article 94.1) relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Depuis, Internet, le cloud et le big data ont quelque peu rebattu les cartes. Surtout, cette directive n'imposait rien, donc chaque Etat, s'il la transposait en droit national était libre de ses définition, par exemple sur ce qu'est un identifiant personnel.

La Commission Européenne, dans sa grande sagesse et son infinie lenteur, a donc décidé en 2012 de mettre au point une nouvelle législation sur la protection des données personnelles. De cette idée, est née le fameux GDPR. Notons que, dans le même temps, l'Europe lance des enquêtes sur les principaux acteurs du cloud américain, Microsoft et Google en particulier et, qu'en matière d'hébergement des données, les opérateurs télécoms européens, Deutsche Telekom et Orange en tête, se dotent d'infrastructures indépendantes des américains. Ce n'est pas tout à fait le même sujet, mais c'est le même état d'esprit européen : « nos structures deviennent robustes pour faire en Europe un système de protection différent de celui des Etats-Unis » souligne Maître Bensoussan.

Co-responsabilité avec les sous-traitants

Avec GDPR, les responsables d'entreprises ont un horizon balisé, mais contraignant. Qu'ils soient juristes, responsables sécurité, compliance (conformité), informatique, bref tous ceux qui voient GDPR tomber sur leurs épaules, ont une date butoir, le 28 mai 2018. Ils ne sont pas seuls dans ce cas, GDPR implique une notion de co-responsabilité avec les sous-traitants, hébergeurs et partenaires cloud. La notion de responsabilité est essentielle, en interne avec plusieurs métiers concernés, comme en externe avec les sous-traitants (c'est la notion d'accountability). Un casse-tête pour toute entreprise qui travaille peu ou prou en Saas, un bonheur pour les avocats qui n'osent parler de parts de marché, mais c'est tout comme.

Sont concernées, par le nouveau règlement, toutes les organisations : entreprises, administrations ou même associations détenant des données personnelles. Quelle que soit la taille, dans les faits, surtout les grandes organisations publiques ou privées détenant des comptes clients. Les banques et assurances ou l'administration des impôts sont des exemples parlants. Sont concernées, toutes les données personnelles. En clair, tout identifiant. Les vieux : numéros de téléphone, adresse postale, numéros de compte ou de dossiers. Et les nouveaux, ceux de l'Internet : adresses mails, données biométriques, données croisées, géographiques ou historiques (sur une de vos activités). C'est le traitement de ces données qui va changer avec un impact sur les systèmes informatiques qui permettent de stoker et analyser ces données. Vaste programme.

PublicitéLa menace d'une forte amende

Comme sur beaucoup de sujets, il est question avec GDPR de gouvernance, de passage au Comex du dossier. En fait, ce n'est pas parce qu'un dossier GDPR est soumis et approuvé en Comex que les moyens suivent ou qu'ils sont clairement dégagés. Et d'abord, comment est-il passé, avec quels arguments ? Un déroulé dense d'arguments juridiques et techniques ? Ou bien « l'argument choc qui va décider le DG », en clair la menace de sanctions. C'est plus parlant pour un « DG » d'entendre parler de dizaines de millions d'euros d'amendes. Et le membre du Comex qui fait passer le dossier a une chance de le faire approuver, s'il brandit la menace d'une forte amende.

Celle-ci varie jusqu'à 2 ou 4% du chiffre d'affaires. Jusqu'à 2 % pour mauvaise tenue des enregistrements (article 28), défaut de notification de l'autorité de surveillance et de la personne concernée à propos d'une violation (articles 31 et 32), ou absence d'évaluations d'impact (article 33). Pour aller jusqu'à 4%, il faut être convaincu de violation des principes de base de la sécurité des données (article 5) et des conditions de consentement des consommateurs (article 7). Au passage, on apprend que c'est la CNIL qui perçoit l'amende et pas Bercy.

« Très peu d'entre vous seront prêts à la date butoir »

Si le projet est mis en route, l'entreprise fait face aux questions de méthodologie. Par où commencer ? Qui décide ? Rien d'évident. Pas d'affolement, les entreprises sont confrontées à de multiples obligations de compliance (voir encadré), GDPR est l'une des principales et touche une bonne partie des responsables, métiers, juridique-audit, IT et sécurité.
Sophie Nerbonne, Directrice de la conformité à la CNIL, n'exclut pas d'ailleurs, une délégation de responsabilité, du DPO (le Délégué à la protection des données) vers les métiers, essentiellement marketing, RH et R&D, qui détiennent le plus de données. La question des filiales et de l'international, risque de démultiplier l'impact de Gdpr. « Rares seront les sociétés qui seront conformes au 28 mai 2018 » souligne Sophie Nerbonne, Alain Bensoussan le formule de manière plus provocante : « rassurez-vous très peu d'entre vous seront prêts à la date butoir, vous serez tous en retard » (propos tenus au Congrès Big Data). Et tous concernés, GDPR s'applique à toute entreprise active en Europe, traitant des clients européens, quelle que soit sa nationalité d'origine.

Les entreprises sont aux prises avec GDPR qui se décline en plusieurs articles. Certains sont bien connus, l'amende éventuelle et la notification de violation ont fait l'objet d'une certaine médiatisation. Mais là n'est pas l'essentiel. « Pour bien comprendre, souligne Alain Bensoussan, il faut mettre en avant la nécessité de cartographier les données ». Une cartographie légale qui n'a rien à voir avec une cartographie technique. Pour lui, les entreprises vont saisir cette occasion pour regrouper des applications. Par exemple recrutements, contrats de travail, formation, seraient plus facile à cartographier pour GDPR, si elles ne formaient plus qu'une seule application.

Tout va dans le même sens

Les entreprises doivent intégrer d'autres contraintes. Leur client au sens large (consommateur ou citoyen) doit émettre un consentement « explicite » et « positif ». Il dispose d'un droit à l'effacement (« à l'oubli ») c'est l'article 17, ou de ne pas faire l'objet d'un profilage (article 22). D'un droit à la portabilité, donc de disposer de ses données dans un format structuré et courant. Tout est donc fait pour protéger les données de la personne. Elles doivent être sécurisées (article 25), dès la conception (privacy by design), ou par défaut. Toute violation des données doit être notifiée (article 33) à une Autorité nationale de protection. Enfin, l'entreprise est invitée à mettre en place le DPIA, Data protection impact assessment, pour évaluer les risques potentiels de protection des données.

Ce n'est qu'un bref aperçu de GDPR, il donne une idée de son impact sur le système d'information et l'organisation de l'entreprise. D'autres mesures seront prises en compte, comme la nomination obligatoire d'un délégué à la protection des données (DPO, Data Protection Officer en anglais). La CNIL souhaite que le CIL (Correspondant informatique et libertés) hérite de cette fonction. « Le CIL voit son rôle renforcé » souligne Sophie Nerbonne. Mais les CIL sont en dehors de l'organisation IT des entreprises, celle des DSI et des RSSI, à part également des fonctions juridiques ou audits. D'où le malaise qui perle dans plusieurs débats sur leur rôle. Les entreprises s'interrogent. Créer un poste ex nihilo avec un recrutement extérieur ? Les ressources internes font défaut. De plus en plus de RSSI deviennent également compliance officer et peuvent revendiquer le titre de DPO. En fait, ce titre, cette fonction, semblent devoir s'ajouter à des fonctions déjà exercées, soit à un responsable IT comme le RSSI, soit à un responsable compliance. Ce dernier cas se rencontre dans les banques où la compliance est exercée par un directeur ad hoc, souvent membre du comité de direction.

Rien ne se fera sans le RSSI

Le DPO est obligatoire dans certains cas et pas des moindres, pour les organisations publiques, pour toutes celles qui font un suivi régulier des données personnelles, toutes celles qui traitent des données « sensibles », relatives à des infractions pénales. En fait, la question du DPO est l'une des questions relatives à la gouvernance de la GDPR. Rien ne se fera sans le RSSI. Rien ne se fera sans le CDO, chief digital officer, quand ce poste existe. Quant au CIL, c'est aux organisations qui ont de tels responsables de décider et d'informer la CNIL de leur éventuelle transformation en DPO. Cette extension de leur rôle est combattue par plusieurs RSSI que nous avons rencontrés.

Le DPO peut être interne ou externe, et même mutualisé entre plusieurs organismes. On pense aux mutuelles qui pourraient ressentir ce besoin. Mais toutes n'ont pas le même niveau de préparation. La Maif, par exemple, a recruté un expert de la CNIL, le chef du service des affaires économiques, Stéphane Grégoire, au mois de septembre dernier. Les niveaux de maturité semblent effectivement très différents d'une entreprise à l'autre, d'autant que GDPR impacte plusieurs directions qui doivent collaborer ensemble. C'est peut-être l'obstacle principal.

« Nous sommes bien conscients de la marche à gravir » souligne Sophie Nerbonne, « GDPR n'est pas une mince affaire, il influe fortement sur les entreprises. Je retiens au moins trois axes : le renforcement des droits de la personne, la notion de responsabilité dans l'entreprise avec l'accountability et l'autorité de protection des données ». La directrice de la conformité de la Cnil recommande aux entreprises de mettre désormais au coeur de leur stratégie digitale, la logique de protection des données personnelles. Et souhaite, qu'avec GDPR, se mette en place des standards européens de protection des données.

Trop de compliance ne tue pas la compliance

Quand elles parlent de compliance (conformité), les entreprises évoquent principalement :
- les lois sur les infrastructures : la LMP, Loi de Programmation Militaire et son article 22 qui s'applique aux OIV (les arrêtés sont pris, ils sont applicables depuis le 1er octobre 2016), NIS (Network and information security), l'équivalent de la LPM au plan européen qui s'appliquera aux OIV et un peu au-delà, d'ici au 9 mai 2018,
- les lois sur les données : par exemple Informatique fichiers et liberté en France.
- les règlements sectoriaux, par exemple : PCI DSS pour les banques, HDS (Agrément des hébergeurs de données personnelles de santé), ISO 27001 en sécurité.

(*) GDPR (General data protection regulation) est le terme anglais pour RGPD (Règlement général sur la protection des données). Le terme anglais étant plus utilisé, nous l'avons privilégié. Il remplace à la fois la loi française Informatique et Libertés de 1978 et la Directive européenne de 1995, transposée en France en 2004. GDPR ne se transpose pas, ce règlement est d'application directe, il s'impose donc dans tous les pays et à toutes les entreprises dans les mêmes termes. GDPR est géré par le G29 (Groupe de l'Article 29, réunion des CNIL européennes).