GDPR : 4 étapes pour organiser votre mise en conformité

Le GDPR fait de plus en plus parler d’elle. Ce nouveau règlement européen vise à renforcer la protection des données personnelles des citoyens européens et à responsabiliser davantage les entreprises qui gèrent ce type de données sur leurs clients, prospects, utilisateurs… Le GDPR impose de nouvelles obligations en matière de traitement des données personnelles, de la collecte à l’utilisation des données, en passant par leur stockage. La première étape de la procédure de mise en conformité consiste à définir le périmètre d’application. Concrètement, cela consiste pour votre entreprise à répertorier l’ensemble des contacts sur lesquels elle collecte, stocke et utilise de la donnée personnelle : les clients, les prospects, les collaborateurs, les prestataires…   L’objectif de cet inventaire est d’identifier les données personnelles qui entrent dans le champ d’application du GDPR et qui devront faire l’objet d’une mise en conformité. Pour rappel, le GDPR s’applique à toutes les données à caractère personnel (DCP) permettant d’identifier l’utilisateur, le client, etc… Potentiellement, de très gros volumes de données sont concernés par la mise en conformité. La circoncision du périmètre d’application doit s’accompagner dès le départ :

• De la désignation d’un pilote, appelé DPO – Data Protection Officer. La mise en conformité est un projet transverse qui impacte toutes les dimensions de l’organisation et suppose un pilotage dédié. Le DPO, chef d’orchestre de la mise en conformité, doit être désigné dès le démarrage du projet et impliqué à toutes les étapes du processus. Le DPO peut être intégré à l’entreprise ou externalisé (cabinet d’avocats, société de consulting…).
• De l’identification des responsables des traitements, c’est-à-dire des collaborateurs dans l’entreprise chargés de mettre en œuvre les consignes et process de traitement des données personnelles.

  A noter que la DSI a un rôle majeur à jouer, tant au niveau de l’accompagnement que de la mise en œuvre des actions de mise en conformité. Son rôle est déterminant, en particulier, en ce qui concerne les aspects de sécurité de la donnée (chiffrement, pseudonymisation, risque de violation, sécurisation des flux…). Pour bien comprendre le GDPR et ses différents volets, nous vous recommandons la lecture de l’article « L’essentiel à connaître sur le GDPR / RGPD : définition, périmètre, principes et mesures ».

La deuxième étape consiste à qualifier de manière précise les pratiques actuelles de l’entreprise en matière de collecte, de stockage et de traitement des données personnelles. Il s’agit d’établir une cartographie complète des traitements des données personnelles, en vue de la définition des chantiers de la mise en conformité.

• Diagnostic des dispositifs de collecte des données : construction d’une cartographie détaillée des données collectées, des modes de collecte et des méthodes de recueil des consentements. Sur ce dernier point et pour rappel, le GDPR oblige les entreprises à recueillir un consentement explicite et « positif » de la part des utilisateurs sur lesquels elles recueillent des données. Le diagnostic des dispositifs de collecte aboutit à une analyse des écarts avec le GDPR et à la mise en évidence des zones de risque par rapport au règlement européen.
• Diagnostic des bases de données et des flux : cartographie des lieux et outils de stockage des données, identification des données stockées et utilisées, mise en évidence des flux de transfert entre les différents lieux de stockage, identification des données susceptibles de soulever des risques…L’objectif est de répertorier toutes les bases de données de stockage et les interactions en vue de la mise en conformité.
• Diagnostic de l’utilisation des données : comment les données collectées et stockées sont-elles utilisées par l’entreprise, et pour quelles finalités internes ou externes ? L’objectif, ici, est d’avoir une vision claire et complète des données utilisées par l’entreprise et de leur finalité.
• Diagnostic sur les règles et consignes de traitement des données : mapping des traitements, identification des règles et procédures mises en place, identification des règles et procédures manquantes ou à documenter. Ce diagnostic est réalisé dans le cadre du Registre des Traitements imposé par le GDPR.

  En parallèle de ces quatre diagnostics, un diagnostic sur la sécurité et les process d’archivage/désarchivage devra être réalisé par la DSI. Le GDPR met l’accent sur deux points clés à traiter par la DSI : d’une part la sécurité des données au niveau des bases et des flux (en particulier les mesures de cryptage et d’anonymisation), d’autre part la traçabilité et les pratiques d’archivage / désarchivage. CustUp vous accompagne dans le choix des prestataires en vue de la réalisation des diagnostics GDPR.

L’ensemble des diagnostics permet d’acquérir une vision claire de la pratique de la donnée au sein de l’entreprise, d’identifier les points forts et les points faibles en vue de la mise en conformité avec le GDPR. A la lumière de ces diagnostics, un plan d’action doit être dessiné. Le plan d’action liste et programme les différentes actions à mener par les acteurs impliqués en vue de la mise en conformité. Son élaboration est l’aboutissement d’ un travail de définition des chantiers, de hiérarchisation et d’ordonnancement. Les chantiers doivent être priorisés en fonction du niveau de risques, comme y invite la CNIL. A cette fin, CustUp conseille la construction d’une matrice de gestion des niveaux d’enjeux et de faisabilité. La mise en conformité GDPR est un projet d’envergure, qui suppose de disposer d’une feuille de route opérationnelle exhaustive et claire. La pertinence de la roadmap a une forte incidence sur l’efficacité et la qualité de la mise en oeuvre des différentes actions de mise en conformité.

La quatrième et dernière étape consiste à déployer les chantiers du plan d’action suivant le calendrier général défini. Dans le cadre de la mise en conformité GDPR, les chantiers concernent toutes les composantes du traitement des données à caractère personnel : leur mode de collecte, leur mode de stockage, les règles de leur utilisation. Pour un déploiement optimal du projet, nous vous recommandons de découper les grands chantiers en sous-chantiers et en actions. Chaque grand chantier doit être de préférence affecté à un responsable opérationnel, qui s’occupe de sa mise en œuvre suivant le planning arrêté.   La nature des chantiers est variable d’une organisation à l’autre. Toutefois, certains grands chantiers sont incontournables et concernent toutes les entreprises. Mentionnons notamment :

• La mise aux normes du plan de collecte des données et des modes de recueil des consentements.
• L’élaboration d’un Registre des Traitements, tel que défini dans l’article 30 du Règlement RGPD.
• La création d’un journal des traitements des demandes en lien avec les consentements.
• La sécurisation des données et des flux, ainsi que la mise en place de mesures de traçabilité (archivage / désarchivage). Ce chantier doit être pris en charge par la DSI.

  Toutes les entreprises ne seront pas prêtes le 25 mai 2018, jour d’entrée en vigueur du GDPR. Mais, sur ce point, il est à noter que si l’autorité de régulation (en France, la CNIL) sera particulièrement sévère vis-à-vis des organisations qui n’auront initié aucune démarche de mise en conformité, elle sera beaucoup plus clémente envers celles qui ont initié une véritable démarche GDPR, même si elle n’est pas aboutie. Pour conclure, voici un schéma résumant les quatre grandes étapes de mise en conformité :

4 étapes pour aboutir à la mise en conformité GDPR.