Juridique

S'organiser pour respecter les règles sur les données personnelles

Retrouvez cet article dans le CIO FOCUS n°147 !

Patrimoine Data : repenser la gestion des données à l’heure du GDPR

CIO a organisé une Matinée Stratégique « Data : de la protection au GDPR » le 17 octobre 2017 à Paris avec de nombreux témoins et experts. Etienne Papin, avocat associé au Cabinet Feral-Schuhl / Sainte-Marie, a présenté les nouvelles règles sur les données. La première table ronde, « Comment...

Découvrir

---

Lors de la Matinée Stratégique CIO « Data : de la protection au GDPR » du 17 octobre 2017, la deuxième table ronde sur le thème « Comment respecter les règles sur les données en développant leurs usages ? » a réuni David Ruiz, juriste au sein de la Direction de la Conformité de la CNIL, et Anne-Sophie Nibert, Group Data Privacy Officer de Total.

Publicité« Comment respecter les règles sur les données en développant leurs usages ? » Cette vaste question a été l'objet de la seconde table ronde de la Matinée Stratégique « Data : de la protection au GDPR » organisée par CIO le 17 octobre 2017 à Paris. Elle réunissait David Ruiz, juriste au sein de la Direction de la Conformité de la CNIL (Commission Nationale Informatique et Liberté), et Anne-Sophie Nibert, Group Data Privacy Officer de Total. Ainsi, la « théorie » juridique a été confrontée à la « pratique » en entreprise.
Créée en 1978, la CNIL est la première autorité administrative indépendante instituée en France. Elle a pour mission de garantir les droits des personnes en matière de données personnelles mais aussi d'accompagner les entreprises pour les amener à la conformité en la matière. En cas de manquements, la CNIL, qui pratique des contrôles, a aussi une mission de sanction. La Direction de la Conformité, à laquelle appartient David Ruiz, a d'ailleurs comme mission d'accompagner les structures et de répondre à leurs questions, à l'initiation des traitements ou au cours de la vie de ceux-ci.

Aucun bouleversement avec le RGPD

« Je suis conforté dans mon analyse de la situation, à savoir que le RGPD amène les entreprises à se mettre en conformité avec des principes qui sont réaffirmés et renforcés depuis 1978 » a soupiré David Ruiz. Le RGPD (ou GDPR en Anglais, le Règlement général européen de protection des données) n'amène aucun bouleversement fondamental. Mais, comme il s'agit d'un texte de compromis, effectivement, il est assez complexe et renvoie souvent à d'autres textes, y compris nationaux. La Loi Informatique et Libertés ne va donc pas disparaître mais être rénovée.
David Ruiz a mentionné : « la loi va être rénovée sur deux volets : l'intégration des données spécifiques nationales au cadre européen (droit de la santé, droit du travail...), avec maintien possible de mesures préalables, et au contraire la suppression de toutes les redondances entre le droit national et le droit européen. » La directive de 1995 pouvait connaître des applications différentes selon les pays européens, mais, avec un règlement général, les mêmes dispositions vont bien s'appliquer partout. Mais ces dispositions ne couvrent pas tout le périmètre.

Une conformité dynamique en continu

Comme, de toute évidence, les entreprises ne sont pas prêtes et ne seront pas prêtes en mai 2018, comment peut réagir la CNIL ? « Accompagner les entreprises est le rôle de la Direction de la Conformité et nous avons déjà publier des guides, notamment une méthode en six étapes pour aider à être en conformité en suivant un fil conducteur » a relevé David Ruiz.
Une étape particulièrement importante, selon David Ruiz, est « documenter la conformité ». Ce point est lié au principal changement amené par le RGPD. Avec ce mécanisme, la mise en conformité doit être continue et dynamique, au fil des évolutions du système d'information. Il s'agit, à tout moment, d'être en mesure de décrire tous les traitements et tous les impacts de ceux-ci sur les personnes qui en sont les objets. Dès lors qu'un traitement est susceptible d'entraîner un risque, l'étude d'impact est strictement obligatoire. Le RGPD donne un certain nombre de critères pour définir les traitements à risque : données sensibles (biométrie, condamnations...) par exemple. Cette étude doit inclure les mesures prises pour combattre ces risques. La CNIL publie d'ailleurs des documents pour montrer comment réaliser de tels documents.

PublicitéUn long programme délicat et complexe

Anne-Sophie Nibert, Group Data Privacy Officer de Total, s'occupe de ces questions au sein du groupe Total mais sans, cependant, être réellement CIL (Correspondant Informatique et Liberté) ou DPO (Data Privacy Officer), bien qu'elle soit membre de l'AFCDP (Association française des correspondants à la protection des données personnelles). Total est quatrième groupe pétrolier et gazier dans le monde, avec des activités croissantes dans l'énergie renouvelable ou dans la distribution d'électricité. Le groupe compte 98000 collaborateurs dans 130 pays et réalise un chiffre d'affaires consolidé de 150 milliards de dollars. Et 98 000 collaborateurs ont nécessairement beaucoup de données personnelles...
« Comme on l'a dit, la protection de ces données n'a rien de nouveau et le groupe Total a mis en oeuvre des règles groupe en 1992 » a relevé Anne-Sophie Nibert. Ces règles ont abouti à la construction d'un programme de mise en conformité à ces règles. Exercice long, compliqué et délicat mais évidemment indispensable. Tout n'est pas terminé en 2017 alors que viennent s'ajouter les règles issues du GDPR. Anne-Sophie Nibert a constaté : « c'est un travail itératif et continu. » Les inventaires sont réalisés régulièrement par voie de questionnaires dans les différents services.

Tous responsables mais pas tous porteurs du sujet

La mise en conformité, a-t-elle confirmé, est la responsabilité de tout le monde. Au sein du groupe Total, c'est la direction juridique qui porte le sujet mais en s'associant à la DSI et aux directions de la gouvernance. Ainsi se construit petit à petit le concept non seulement de gouvernance des informations mais aussi celui de gouvernance des données. D'autant plus que le groupe, comme tout le monde, s'est lancé dans un vaste programme de digitalisation. « Il faut faire preuve de pédagogie et nous avons étudié durant des mois les impacts du GDPR sur nos différents métiers » s'est souvenue Anne-Sophie Nibert.
Si le GDPR est une contrainte compliquée, il peut aussi être une opportunité dans l'organisation de la donnée. Surtout, il fallait prouver que la stratégie digitale ne serait pas freinée par cette mise en conformité. Et une stratégie devait être mise en oeuvre. Ainsi, même si elle est membre de l'AFCDP, Anne-Sophie Nibert est ni CIL ni DPO, « deux fonctions définies par la réglementation ». Peut-être, demain, y aura-t-il un DPO chez Total mais, pour l'heure, il n'y a pas de CIL. Cela n'empêche pas d'avoir un important programme de mise en conformité. « Les responsabilités précises du CIL telles que définies par la réglementation ne semblaient pas faciliter les choses dans un groupe mondial comme le nôtre » a justifié Anne-Sophie Nibert.

DPO first or not ?

Faut-il commencer par nommer un DPO ? C'est ce que préconise la CNIL. Mais, chez Total, la logique a été de d'abord définir la gouvernance de la donnée avant de se préoccuper de nommer ou non un DPO. « Désigner un DPO ne vient pas nécessairement en premier temps mais la réglementation européenne prévoit des cas où c'est obligatoire » est intervenu David Ruiz. Du coup, selon lui, « si l'on n'a pas une vision claire de la situation, on ne va pas savoir si la désignation du DPO est ou non obligatoire dans le cas d'espèce de son entreprise ». Or, pour avoir cette vision claire, nommer le DPO est une bonne solution.
Mais mettre en place une gouvernance des données et réaliser toutes les tâches dévolues au DPO par une autre organisation ne pose pas de véritable problème. David Ruiz a ajouté : « et, à ce moment là, si la mise en place du DPO est obligatoire, on peut le nommer alors seulement. Ce DPO sera le chef d'orchestre de la conformité en lien avec l'organisation mise en place. »

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article