Livre Blanc Deloitte : « GDPR, par où commencer ? »

Quand le digital défi le Juridique Cybersécurité - Entreprise Risk ServicesJanvier 2017

GDPR, par où commencer ? Janvier 2017

GDPR, par où commencer ?

2

Introduction

GDPR : vers un renforcement des contrôles sur les traitements de données personnelles

Cadre juridique et obligations

La réussite d’un projet GDPR suppose la mise en œuvre de différentes étapes aux plans méthodologique, juridique et technique

Approche méthodologique : réussir une démarche dynamique d’un projet GDPR

Approche juridique : démontrer une intention de mise en conformité à l’autorité de contrôle

Approche technique : une démarche opérationnelle efficace pour répondre à toutes les exigences de traitement des données personnelles

Deloitte, une approche pragmatique avec des retours d’expérience sur des projets GDPR comparables

GDPR : ROI d’une mise en conformité

GDPR : « Ethics by design »

Points de vue

GDPR : priorités et challenges opérationnels du programme de mise en conformité

Le Data Privacy, un avantage concurrentiel à travers la conformité réglementaire

Le GDPR induit le renforcement de la gouvernance des données

Témoignage client

Le Cercle européen de la sécurité et des systèmes d’information

03

04

06

08

12

14

15

16

26


3

IntroductionPour l’ensemble des entreprises, l’une des difficultés dans l’adaptation du du projet de règlement européen (en anglais GDPR General Data Protection Regulation) réside dans l’évaluation des volumes de données personnelles à « trier ». Au regard du législateur, les entreprises sont responsables de la protection des données de leurs clients. Une atteinte à la sécurité ou l’incapacité de fournir à ces derniers les données personnelles que la loi les autorise à réclamer pourraient avoir des conséquences désastreuses sur les revenus et l’image des organisations.

L’enjeu est de taille : certains n’hésitent pas à parler de révolution des droits numériques. Le GDPR met fin à l’époque des « déclaratifs » auprès de la CNIL.

Désormais, ce règlement qui concerne tous les pays membres de l’Union européenne prône une « auto-responsabilité » des entreprises européennes et non européennes. Elles doivent dès maintenant réfléchir aux process liés à la protection des données à caractère personnel « Privacy in design », et ce dès la conception, puis chiffrer ces données, les localiser, les tracer… La mise en conformité suppose de la part des organisations d’être en mesure de prouver à tout moment qu’elles ont pris les mesures techniques, organisationnelles et juridiques nécessaires. Dans le cas contraire, le règlement européen, en vigueur depuis le 24 mai 2016 et applicable à partir du 25 mai 2018, prévoit des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial sur un total maximum pouvant atteindre 20 millions d’euros. Il s’agit visiblement d’une autre approche de la cybersécurité pour sensibiliser au plus haut niveau les organisations sur les cyber-risques.

Cependant, comme le révèle l’enquête Deloitte Cyber 2016, seules 7% des organisations considèrent la cybersécurité comme un sujet prioritaire et de premier ordre à l’heure de la transformation digitale des entreprises. Quel comportement vont-elles adopter face au défi posé par la mise en conformité ? En ce début d’année 2017, elles se trouvent à moins de 500 jours de l’échéance. Une raison supplémentaire pour que Deloitte publie ce Livre blanc aujourd’hui.

Une certitude, la nouvelle donne réglementaire conduit les entreprises à revoir leurs plans d’actions. Le GDPR s’avère générateur de changements importants au sein des sociétés européennes et non européennes. En effet, le règlement s’applique aux entreprises ayant des activités impactant les données à caractère personnel de citoyens européens. Il touche toutes les organisations. Celles comptant plus de 250 collaborateurs vont devoir envisager de désigner un délégué à la protection des données (DPD) ou Data Protection Officer (DPO). Ce « data manager » occupera une fonction stratégique pour la compréhension et la réussite d’une mise en conformité GDPR.

La question de la cybersécurité devra dorénavant être portée et suivie de près par les directions générales avec une « data gouvernance » clairement définie, en lien avec la stratégie de l’entreprise et en accord avec la réglementation. Ce nouveau challenge, Deloitte est prêt à le relever avec l’ensemble de ses experts pour garantir la réussite des projets GDPR sur les plans organisationnel, juridique et technique. C’est pour cette raison que nous avons souhaité vous faire partager notre approche au moyen de ce Livre blanc au cœur de l’actualité et de vos préoccupations. Car vos préoccupations sont les nôtres.

Michael BittanAssocié Leader des activités Cyber Risk Services [email protected]


4

La notion de libre circulation des données à caractère personnel est l’une des caractéristiques des textes émis par l’Union européenne. Les enjeux sont de taille si l’on observe l’évolution de la valeur des données à caractère personnel via les traitements qui y sont associés. Ces données sont aujourd’hui de plus en plus valorisées. L’évolution des algorithmes, par exemple, révèle le risque d’émergence de stéréotypes : ils augmentent l’efficacité du « profiling » mais peuvent mener à des injustices en renforçant les facteurs dominants.

L’entrée en vigueur du règlement général de protection des données en mai 2018 mettra un terme à l’absence d’harmonisation entre les entreprises européennes basées

dans les pays de l’UE. Il sera commun aux 28 pays membres de l’Union, effaçant les cadres juridiques nationaux en matière de protection des données à caractère personnel. Le GDPR met ainsi fin à la séquence du « déclaratif » propre aux autorités de protection européennes. Désormais, ces dernières endosseront le rôle d’autorité et disposeront du pouvoir de sanctionner (jusqu’à 4% du CA).

Le GDPR s’applique à toutes les entreprises ayant des activités de traitement et/ou de manipulation de données à caractère personnel concernant directement des citoyens européens. Le règlement précise que ces traitements ne s’avèrent licites que si la personne concernée a donné son consentement de façon claire

indubitable et démontrable a posteriori. Cela suppose que les entreprises responsables de ces traitements des données devront mettre en place des solutions de traçabilité en plus de modalités d’information sur les droits des personnes : droit d’accès, droit à l’oubli, droit à la portabilité, droit d’opposition... Les politiques de sécurisation initialement fondées sur le traitement des risques pour l’entreprise et son activité doivent maintenant intégrer les risques impactant les libertés et droits de personnes physiques.

GDPR : vers un renforcement des contrôles sur les traitements de données à caractère personnel


5


6

Il n’est pas rare d’oublier que l’origine de ce règlement émane du souhait de 90% des entreprises européennes d’avoir une loi commune sur la protection des données à caractère personnel. Et pour cause, chaque pays membre possède des lois différentes sur le traitement et la sécurité de ces données. A l’heure actuelle, les sociétés sont soumises à des procédures administratives différentes dès que les données qu’elles traitent sortent de leur pays. Le GDPR vise à permettre une harmonisation totale des règlements nationaux. Il est important de souligner qu’il concerne les données des Européens, et donc à ce titre les Etats membres de l’Union et les entreprises en dehors de l’Europe. Ce qui évite une distorsion de concurrence entre entreprises européennes et non européennes. En outre, contrairement à ce que l’on peut lire dans les médias, il semble bien accueilli par les entreprises et organisations non européennes, comme le rappelle Christian Reimsbach-Kounatze, expert de l’OCDE. (1)

Le régime juridique des traitements de données permettant d’identifier directement ou indirectement une personne est défini principalement par la directive européenne 95/46/EC, transposée en droit français en 2004 dans la loi « Informatique et Libertés » du 6 janvier 1978. C’est cette législation qui sera « impactée » par le GDPR européen. Dans ce contexte, la conduite de l’analyse d’impact se doit :

• d’être intégrée aux processus de gestion des risques des organisations et d’amélioration continue,

• d’être orientée sur les processus des organisations,

• d’être menée le plus tôt possible dans la conception des applications ou « Privacy in design »,

• d’être souple et adaptée au niveau de risque identifié,

• d’utiliser des outils conformes au plus haut niveau de risque connu, dont vraisemblablement des outils de chiffrement.

Il est important de noter que les mesures juridiques, organisationnelles mais aussi techniques doivent être proportionnées à l’évaluation des risques, c’est-à-dire au préjudice qui résulterait pour les personnes concernées d’utilisation inappropriée de leurs données à caractère personnel. En cas de fuite de données, l’entreprise doit prévenir au plus tôt la CNIL dans un délai de 72 heures afin que la société puisse prendre des mesures correctives.

Les délais peuvent sembler relativement courts aux entreprises européennes pour mettre en place des changements stratégiques nécessaires à la nouvelle conformité réglementaire. En outre, le règlement européen, en vigueur depuis le 24 mai 2016 et applicable à partir du 25 mai 2018, prévoit des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial sur un total maximum pouvant atteindre 20 millions d’euros.

Cadre juridique et obligations


7


8

Schématiquement, un projet GDPR est constitué de trois grandes strates méthodologique, juridique et technologique. Elles sont supervisées par le Data Privacy Officer (DPO) ou délégué à la protection des données dont la fonction devient obligatoire pour les entreprises employant plus de 250 collaborateurs.

Présenté comme le successeur des CIL (Correspondants Informatique et Libertés) par certains, le Data Privacy Officer devient une fonction clé dans la mise en œuvre du GDPR.

Ce dernier doit être fondé sur une analyse d’impact relative à la protection des données(1)

conduite sous la responsabilité du DPO.

Reste qu’une nomination ne suffit pas pour que les organisations se sentent dégagées d’un projet tel que le GDPR. Le DPO ne peut réussir sans l’adhésion du Comité exécutif (Comex) et du Comité de direction (Codir). De nombreux experts estiment qu’un sponsorship au plus haut niveau des organisations sera indispensable à ce nouveau profil. En effet, la fonction du

DPO va au-delà de la gestion de la donnée à caractère personnel, parfois difficile à définir, voire à identifier. Cette fonction transversale de très haut niveau peut très vite devenir « anxiogène » par l’interaction qu’elle suppose avec l’ensemble des « métiers » de l’entreprise. Mais ce poste peut aussi constituer un tremplin, une promotion pour certains profils de CIL. Ce qui est certain, c’est que les DPO auront un rôle stratégique à jouer dans le futur.

La réussite d’un projet GDPR suppose la mise en œuvre de différentes étapes aux plans méthodologique, juridique et technique


9

Approche méthodologique : réussir une démarche dynamique d’un projet GDPRChez Deloitte, nous considérons qu’un projet GDPR forme plus qu’un projet « classique ». Il s’agit d’une véritable approche dynamique, et donc permanente, de la gestion de la protection des données à caractère personnel et de leur traitement. Une telle approche suppose dans un premier temps une compréhension de la nouvelle gouvernance des données à caractère personnel telle que définie dans le texte. Il est donc primordial pour les entreprises d’effectuer un état des lieux des traitements et des données manipulées (« registre »), des moyens en place et des zones à risques vis-à-vis des exigences du GDPR, tout en assurant la conformité dans la période transitoire. Ils permettront de détecter d’éventuels dysfonctionnements et de mettre en place une démarche intégrant toutes les exigences de conformité du nouveau règlement européen. Dans ce contexte, il est indispensable de s’appuyer sur une méthodologie de type industriel prenant

en compte différents points techniques et organisationnels. Cette étape franchie, l’attribution du positionnement des responsabilités s’impose naturellement au sein des organisations (DPO, DSI, RSSI...) mais également dans un périmètre plus large (sous-traitants, hébergeurs cloud, co-responsables de certains traitements).

Cette dernière étape réalisée, l’identification propre des données à caractère personnel en termes de maîtrise des données peut débuter (nature, volume, localisation, niveau de criticité, cycle de vie...). Cette approche suppose également la maîtrise de certains outils technologiques pour retenir les processus liés aux exigences du GDPR : identification de données sensibles, « pseudonymisation », « anonymisation », chiffrement, traçabilité, stockage, détection de fuite de données...

Enfin, la mise en œuvre d’une étude d’évaluation des risques et des impacts sur la vie privée (EIVP) ou « Privacy Impact Assessment » (PIA) est fortement

conseillée. Il s’agit de réaliser d’une part une analyse des impacts et de définir d’autre part les priorités de remédiation.

Puis, en fin de projet, une analyse de conformité mesurera les écarts entre les exigences réglementaires et la « réalité mesurée » du terrain. En outre, il est indispensable de comprendre le positionnement de l’organisation dans la chaîne de traitement des données afin de définir le niveau exact de responsabilité. Sur l’ensemble de ces étapes, Deloitte maîtrise avec efficacité toutes les approches d’accompagnement et d’audit, de diagnostic du contrôle interne en matière de protection des données à caractère personnel et de gouvernance (politique, processus, tableaux de bord, sensibilisation, comitologie, outils et technologies, sensibilisation et formation, pilotage des tiers et revue des contrats...). Cette approche méthodologique doit autoriser l’attribution des rôles et définir les niveaux de responsabilité associés.


10

Approche juridique : démontrer en toute transparence une intention de mise en conformité à l’autorité de contrôle La protection des données à caractère personnel n’est qu’un volet d’un texte qui en comporte beaucoup d’autres (droit à l’oubli, portabilité des données, gestion des consentements…). Cependant, dans un délai relativement court (moins de 500 jours début 2017), en mai 2018, toute entreprise devra être en mesure d’apporter à tout moment la preuve que les données à caractère personnel qu’elle détient (IBAN, coordonnées téléphoniques, identifiants divers, données biométriques, enregistrements caméras, etc.) sont protégées et surtout inexploitables en cas de vol.

Le texte introduit à cet effet la notion de « pseudonymisation » des données (c’est-à-dire les « anonymiser » de manière réversible) afin de garantir l’impossibilité de leur utilisation en cas de vol. On le comprend, la gestion des « big datas » propres à chaque organisation va connaître une nouvelle évolution. Le maintien de journaux (registre des traitements) répertoriant les activités de traitement des données, ainsi que l’évaluation des risques et impacts potentiels (PIA) pesant sur celles-ci seront nécessaires. En outre, les DSI et les « métiers » doivent pouvoir identifier, répertorier les données, mesurer leur degré de sensibilité, mettre en œuvre des techniques permettant un niveau de

protection correspondant à la finalité de leur traitement, etc. De nouvelles notions apparaissent dans le texte du GDPR. Ainsi, en plus de la « pseudonymisation », l’« anonymisation » pourra s’avérer nécessaire. En cas d’incident, un plan d’actions devra être défini (élaboré) et mis en place. Les notions d’« accountability » (par ex. : de responsabilisation et de documentation) comme celles de définitions élargies de données à caractère personnel propres aux données génétiques et biométriques rendent plus précise une approche juridique de la GDPR. Il en va de même pour les notions de droit des personnes, de consentement, notification...


11

Approche technique : une démarche opérationnelle efficace pour répondre à toutes les exigences de traitement des données à caractère personnelEn plus des mesures curatives et préventives conventionnelles, une approche « Secure by design » est notifiée comme obligatoire dans le texte du GDPR.

Au plan technologique, et toujours en accord avec le DPO et la Direction générale, des processus doivent permettre de réaliser une démarche GDPR avec un très haut niveau de capillarité. Il s’agit d’encadrer dans un souci de conformité réglementaire des processus de type : durée de conservation et destruction de données (comment savoir qu’une donnée arrive à expiration et quand la détruire ?), traçabilité et sous-traitance (comment « suivre ou tracer » les données au-delà du périmètre propre aux organisations ?), usage de certains outils tels que les DLP (Data Loss Prevention) en tenant compte de l’ensemble des paramètres (quel cycle de vie pour telle donnée à caractère personnel ?), usages des données à un instant t.... Cet accompagnement au changement nécessite la mise en œuvre de référentiels propres aux applications existantes et nouvelles (avec la notion « Privacy in design ») sans oublier les données de zone grise propres au « Shadow IT ». En effet, un article du GDPR précise que le périmètre de responsabilité des données à caractère personnel s’étend au « Shadow IT », c’est-à-dire

aux données qui échappent au contrôle direct de la DSI.

Pour l’ensemble des données, une politique de chiffrement sera indispensable car, dans un souci de protection, c’est la donnée à caractère personnel qu’il faut chiffrer avant qu’elle ne « sorte » du périmètre de l’entreprise. Ce qui pose la problématique de gestion des clés par exemple. Notons qu’une donnée chiffrée dérobée ou qui a fuité ne peut être perçue comme une « data breach » pour le législateur si la clé de déchiffrement demeure sous le contrôle de l’entreprise. La dernière étude Venafi, publiée en décembre 2016, fait état d’une augmentation importante de l’usage de ces clés : 43% des personnes interrogées déclarent que leur entreprise a employé plus de 2 500 clés et certificats en 2016 et 17% des entreprises utilisent plus de 10 000 clés par an.

On comprend mieux la capillarité des aspects techniques du règlement européen au regard de ces quelques références. Une grande majorité des entreprises ne pourront parvenir seules à maîtriser ces changements.

Deloitte accompagne les organisations pour effectuer avec elles les choix stratégiques dans ce domaine et détient un label de la CNIL pour réaliser des missions d’audit de traitements (indépendamment de prestations déjà réalisées par Deloitte afin d’éviter tout conflit d’intérêts).

N°2015-196EXPIRE : 25/06/2018


12

On estime que plus de 2 milliards d’euros seront économisés avec la mise en place du règlement européen. Ce texte encourage les entreprises à s’orienter vers une meilleure compréhension de leurs patrimoines immatériels.

Nos experts ont développé des connaissances sectorielles et une large expertise en termes de mise en place d’une véritable politique de gouvernance des données. Pour parvenir à une identification précise des données à caractère personnel concernées par le GDPR, Deloitte propose une « grille de lecture » sous forme

de questionnaire permettant d’identifier le niveau de risques, notamment sur l’existant (licéité, rôles et responsabilités, sécurité, information aux individus, durée de conservation, droits d’accès à ses informations - API, cookies, bouts d’applications partagés entre plusieurs « métiers »...). Pour les nouveaux projets, l’adaptation de procédures « Privacy by design » a été définie. Dans un même souci de conformité, les méthodes appliquées par nos spécialistes Deloitte permettent la mise en place de processus pour obtenir une meilleure visibilité des interactions avec les

sous-traitants. Des contrôles fréquents et aléatoires permettent également de vérifier la conformité de ces derniers.

Les entreprises sous-estiment -elles les défis à relever pour se conformer au General Data Protection Regulation ? L’enquête Deloitte Cyber 2016 révèle qu’à l’heure de la transformation digitale des entreprises, seules 7%* des organisations considèrent la cyber sécurité comme un sujet prioritaire et de premier ordre. De par notre expérience « du terrain » et à travers multiples

Deloitte, une approche pragmatique avec des retours d’expérience sur des projets GDPR comparables


13

projets dans de nombreux secteurs économiques, nous apportons à nos clients un avantage concurrentiel stratégique. Le GDPR implique nécessairement des changements de mentalités, mais également des changements technologiques, avec, comme nous l’avons vu, le recrutement d’experts comme le DPO par exemple. Là encore, Deloitte vous aide à définir des « fiches de poste » indispensables à toutes les formes de recrutements IT.

On le comprend, en plus de la complexité et des coûts de développement engendrés par les besoins exprimés par le législateur, certaines technologies vont se montrer indispensables (identification, classification, « anonymisation », suivi des données chez les sous-traitants...). La conformité au GDPR a des impacts techniques, organisationnels et juridiques importants, ne serait-ce « que » pour la gestion des consentements et le droit à l’oubli où la gestion des notifications suppose l’usage de nouveaux outils et services.

Face à cette réglementation nouvelle au niveau européen et à la menace de lourdes amendes en cas de non-respect, 52 % des entreprises qui ne disposent pas actuellement d’une assurance étudient la possibilité d’en souscrire une pour se couvrir et percevoir des indemnités en cas de frais de notification, de communication de crise...Si 83 % des entreprises américaines ont déjà souscrit une cyberassurance, elles ne sont que 69 % en France contre 77 % en Allemagne et seulement 49 % au Royaume-Uni (source : étude SentinelOne, décembre 2016). A ce titre, le GDPR représente également une opportunité pour le secteur des assurances (risques cyber).


14

Avec la mise en place du GDPR, la cybersécurité au sein des organisations se trouve à un tournant. L’intensification de la législation en Europe et en France introduit un changement de paradigme. Sera-t-il profitable aux entreprises et organisations de l’Union européenne ? Et si le GDPR constituait un atout économique ?

Une étude conduite par l’UE en janvier 2016 révèle que les données européennes à caractère personnel ont de plus en plus de valeur et atteindront près d’1 billion d’euros d’ici à 2020, seulement deux ans après l’entrée en vigueur du GDPR. Les entreprises européennes seront donc en possession de données à caractère personnel protégées, et donc davantage valorisées.

Le dernier rapport de l’éditeur Symantec - « Rapport européen sur la confidentialité des données » daté d’octobre 2016 - dévoile que 96 % des entreprises françaises, allemandes et britanniques n’ont qu’une compréhension partielle du GDPR.

22 % des personnes interrogées en France (23 % dans les autres pays) estiment que leur entreprise ne sera que partiellement ou pas du tout en conformité avec le règlement européen d’ici à 2018. Parmi elles, également 22 % considèrent que cela est encore réalisable et 53 % que certains départements seulement seront prêts (contre 49 % en moyenne européenne).

Dans l’infographie ci-dessous, moins de 60% des RSSI disposent d’outils de traçabilité des données. Près de 70% d’entre eux ne disposent pas d’outils de notification.

La mise en conformité des acteurs économiques avec le GDPR ne constitue pas seulement un respect des règles mais peut s’avérer être à l’origine d’un nouveau « contrat de confiance » avec les clients, partenaires, collaborateurs... qui seront satisfaits de cette sécurisation renforcée accordée à leurs données.

A ce titre, via le GDPR, débute une nouvelle ère, celle de « la business sécurité ».

GDPR : ROI d’une mise en conformité


15

La protection de la vie privée est un des plus gros challenges du début de ce siècle. Les cadres qui entourent les processus cyber-risques s’élargissent des zones techniques aux zones juridiques et éthiques. Ce n’est pas un hasard si les autorités de protection des données à caractère personnel, comme la CNIL en France, viennent d’établir un planning de formation et de sensibilisation à la protection des données à caractère personnel pour les plus jeunes (cf. section Liens).

Si les données peuvent être protégées par la loi, leur utilisation et leur manipulation peuvent s’effectuer dans un but moins éthique. Pour exemple, les algorithmes utilisés par certaines entités permettent d’identifier le mois du début d’une grossesse en plus des anniversaires. Cela rentre dans le champ de la manipulation et de l’exploitation d’une position dans laquelle l’entreprise détient plus d’informations que ses prospects et clients.

Les enjeux économiques considérables des IoT (Internet of Things) ou objets connectés nous rappellent que ces évolutions ne sont pas sans risques. La suite logique du GDPR sera peut-être un règlement propre aux développements des algorithmes. Un des principaux enjeux du Big Data est justement celui de la gouvernance de ces dossiers. La création d’un droit des algorithmes « Ethics by design » sera sans doute à envisager. Le GDPR constitue le socle de ces futurs développements. Aucune organisation ne peut prétendre qu’elle ne se sent pas concernée, non seulement au plan juridique, mais également au plan éthique.

GDPR : « Ethics by design »


16

Points de vue

GDPR : priorités et challenges opérationnels du programme de mise en conformitéDelphine Zberro - Directrice Cyber Risk Services

Le programme de mise en conformité au GDPR revêt par nature des pans juridiques, technologiques et de données. Si les étapes d’un programme de mise en conformité peuvent apparaître classiques, le renforcement des exigences a fait émerger des défis organisationnels et opérationnels à traiter dans un délai très court. Dans ce contexte, cela conduit à s’interroger sur les jalons et les activités clés à mener lors de cette période de préparation.


17

Prérequis au démarrage du programme : désigner un point de contact et sensibiliser la Direction La première étape est en priorité de lancer le programme officiellement et très rapidement auprès de la Direction. En effet, les questions clés de l’attribution et du montant des budgets, de l’affectation officielle et opérationnelle des responsabilités de différentes parties prenantes à orchestrer, des organes de suivi doivent rapidement être statuées. Pour ce faire, nous suggérons de se positionner sur deux activités clés :

• Dans l’attente de nomination d’un DPO (dont les lignes directrices viennent d’être publiées par le G29), désigner un point de contact unique en charge d’orchestrer le programme. Celui-ci sera plus particulièrement en charge d’assurer la supervision des différents chantiers, la consolidation des avancements et la planification de la gestion des évolutions afin de rendre la cible de conformité pérenne.

• Ensuite, débuter la collecte de la documentation existante et conduire une première évaluation a priori du risque d’exposition qui pourra s’instruire sous la forme d’un business case. Cela devrait fournir quelques arguments pour disposer d’une vision « macro » (quels types de données sensibles traitons-nous ? Quand sommes-nous « data processor » ? Quel volume de données ?).

Capitaliser sur l’existant - Evaluer les moyens techniques et organisationnels déjà en place et provisionner le risque Dans un objectif de rationalisation des coûts, évaluer le niveau de maturité et les actions prioritaires de réduction de risques feront partie des étapes clés en ce début d’année 2017. L’objectif n’est bien entendu pas de démarrer d’une feuille vierge en matière de gestion des données à caractère personnel. En effet, les lois nationales « antérieures au GDPR » continuent à s’appliquer. Dès lors, identifier comment capitaliser sur l’existant passe par une évaluation plus approfondie des moyens techniques et organisationnels déjà existants.

Pour Deloitte, les exigences du label de la CNIL en matière de gouvernance sont apparues comme un moyen pragmatique d’atteindre cet objectif. En nous appuyant sur nos méthodologies internes d’audit technique et juridique de traitement, et bénéficiant du label CNIL depuis le 25 juin 2015, nous avons en outre enrichi ce prisme d’analyse par d’autres points de contrôle. Ces derniers portent sur des spécificités du GDPR ainsi que sur des évaluations concrètes et ciblées de la conformité de traitement (licéité du traitement, rôles et responsabilités, transferts transfrontaliers, sécurité des données, données manipulées et durées de rétention).

Les bénéfices attendus découlant de cette démarche sont une vision plus approfondie des zones de risques via des exemples concrets, ainsi que la définition d’un plan d’actions pragmatique à faire valider en haut lieu. Elle permet de déclencher la discussion managériale, de renforcer la sensibilisation sur le niveau de risque et sa provision, et de confirmer le niveau d’implication des différentes parties prenantes (DSI, RSSI, DPO, département juridique, Data Officers, etc.).


18

Pilier Legal & Compliance Pilier Data Pilier technologique et gestion du cycle de vie de la sécurité des données

• Stratégie de désignation du DPO et de son écosystème de travail

• Documentation du cadre de règles internes (politiques, codes de bonne conduite, documentation des processus, évaluation de la conformité dans le temps…)

• Point de contact, guichet unique et gestion du risque de sanction

• Consentement des individus et mention

• Inventaire des données et des traitements (Registre)

• Droits à l’oubli – Gestion automatique des durées de conservation

• Définition et mise en œuvre de l’univers Portabilité des données

• Besoin de « pseudonymisation » de la donnée

• Gestion des incidents (data breachs) – Détection des fuites de données - Gestion du cycle de vie de la sécurité et besoin de sécurité des données (larges projets de surveillance, de traçabilité, de chiffrement, de prévention de fuite de données...)

• Focus sur les traitements de gros volumes de données - Profiling

• « Privacy by design » et notamment conduite des PIA d’ici à fin 2017

Tout en continuant à assurer la conformité des traitements existants et nouveaux dans la période transitoire (licéité des traitements, sécurité, droit d’information, rôles et responsabilités, transfert de données hors de l’UE, durée de rétention..)

Il reste que comme tout projet de transformation, la communication permanente des avancements, des évolutions, des réductions de risques sera clé pour continuer à fédérer vos équipes dans le temps. La pérennité de la protection du droit des individus n’est-elle pas l’objectif de ce nouveau règlement ?

Planifier la mise en œuvre d’un plan d’actions pragmatique – Vers une cible pérenne ?Sur la base d’un état des lieux, nous présentons les

principales thématiques éligibles qui pourraient alimenter la construction du plan d’actions opérationnel. Au regard de nos retours d’expérience, elles sont présentées par ordre de priorité

pour chaque pilier. Toutefois, elles ne s’appliquent pas à toutes les entreprises :


19

Le Data Privacy, un avantage concurrentiel à travers la conformité réglementaireKarl Payeur - Associé Leader Deloitte Forensic et Marc Duchevet - Associé Risk Advisory

Avec l’envolée du Big Data, des réseaux sociaux, du Cloud computing et de la digitalisation de l’économie, des millions de personnes dans le monde sont impactées par les problématiques informatiques et de sécurisation des données à caractère personnel. La donnée est plus que jamais au cœur des préoccupations stratégiques des entreprises.Afin d’appréhender ces nouvelles exigences, les entreprises doivent désormais mener une réflexion de fond pour définir l’approche stratégique et technique à mettre en place afin de gérer au mieux leurs risques, face aux nouvelles réalités du marché numérique et aux enjeux de conformité réglementaire, comme le GDPR.

C’est une évidence désormais que les données représentent un actif utilisé de façon transverse dans les organisations afin d’optimiser la conduite des affaires et améliorer l’expérience client. Une politique de Data Privacy inadaptée pourrait définitivement menacer les investissements qui sont réalisés et, en conséquence, l’avantage compétitif que veulent obtenir les entreprises.

Protection des données : créer un cadre de confianceMatière première du développement d’une entreprise, les données sont partout : elles se multiplient, elles se traitent, elles se transfèrent d’un département à un autre, d’une

entreprise à une autre, ainsi que sur la Toile à un rythme effréné.Mais les questions relatives à la sécurité des systèmes d’information, à la conformité et à l’éthique apparaissent aux yeux des salariés, des clients et des citoyens, dès lors qu’il s’agit de traiter leurs données personnelles. Au-delà des considérations réglementaires, de nombreuses entreprises élaborent une nouvelle stratégie organisationnelle visant à lier business et privacy afin de transformer le consommateur en co-créateur de valeur.La confiance du client devient aujourd’hui une valeur fondamentale à satisfaire dans une économie où inquiétude, dématérialisation et vitesse


20

priment. En prenant en compte les différents enjeux relatifs à la protection des données à caractère personnel, les organisations deviendront plus responsables et créeront alors une innovation pérenne et solide constituant ou préservant un cadre de confiance. Ce cadre est d’autant plus primordial que le marché du numérique ne pourra se développer sans lui.

Au-delà des exigences réglementaires, la mise en œuvre d’un dispositif de conformité est donc nécessairement profitable pour une organisation.

Les données à caractère personnel à l’épicentre des enjeux de conformitéLes données, de façon générale, se situent au centre des enjeux de conformité qui s’imposent actuellement à travers le monde. La lutte contre la fraude, la corruption, le blanchiment d’argent et le terrorisme, pour ne nommer que ceux-là, impliquent d’effectuer des procédures requérant l’analyse de données en grande quantité ainsi que des données à caractère personnel. Ainsi, le risque lié au traitement des données personnelles doit faire l’objet d’une démarche intégrée au regard des autres risques et obligations auxquels les entreprises font face. Les enjeux dépassent le simple cadre du GDPR et doivent être appréhendés au prisme des récentes évolutions en termes de lutte contre la corruption.Par exemple, les nouvelles dispositions de la loi Sapin 2 adoptées en décembre 2016 exigent des entreprises qu’elles

mettent en place un processus d’évaluation de la situation de leurs clients, fournisseurs de premier rang et intermédiaires. Les analyses, due diligences et autres procédures KYC (Know Your Customer) effectuées sur ces tiers supposent de collecter, traiter et mettre à jour des données à caractère personnel en vue d’identifier les risques associés à une relation d’affaires. Des décisions d’affaires stratégiques reposent sur ces diligences qui impliquent directement le traitement de données à caractère personnel, dont certaines sont considérées comme sensibles (par exemple, le revenu de ces clients potentiels).Des situations similaires se déclinent au sein des différents secteurs des industries et services. Les organisations doivent s’assurer de transiger avec des partenaires d’affaires ayant des standards de conformité et d’éthique comparables aux leurs, que ce soit pour ce qui a trait à la protection des données à caractère personnel ou à la corruption. Ces diligences doivent être en adéquation avec le risque estimé du partenaire d’affaires et devront être réévaluées régulièrement.

Dès lors, il ressort de ces nouvelles obligations un enjeu de cumul et de traitement répété de données à caractère personnel qui doit être pris en compte dans la mise en œuvre d’un programme de conformité GDPR, afin de répondre à des enjeux de conformité aussi divers que variés.

Répondre aux exigences des régulateurs dans un contexte d’investigationA l’aube de l’application du GDPR, il convient de s’interroger sur les impacts de ce texte dans un contexte d’inspections ou d’enquêtes menées par des autorités nationales ou internationales. Pour s’assurer de répondre aux demandes émanant des régulateurs tout en respectant les dispositions des lois françaises et étrangères, les données à caractère personnel devront être conservées et disponibles. En effet, lors d’investigations numériques par exemple, les autorités peuvent solliciter une production de données à caractère probant sous format électronique. Avec l’établissement de normes de protection des données à caractère personnel, une attention particulière devra être portée sur les données collectées qui font par exemple l’objet d’une procédure de revue d’e-mails en vue de répondre aux exigences prévues par le texte (consentement, « anonymisation », période de conservation et effacement des données).

Le programme de conformité comme support à la stratégie d’entrepriseIl devient donc impératif pour les organisations de trouver un équilibre entre les données recueillies, les objectifs opérationnels, les impératifs de gestion de risques et de conformité.Pour être optimal et adopté au sein de l’organisation, le programme de conformité


21

qui découlera de cette réflexion devra être adapté à l’environnement spécifique de chacune des organisations. Il

devra également être transverse à tous les départements, à tous les enjeux de conformité, tout en demeurant pragmatique et basé

sur une appréciation des risques. Il fera donc partie intégrante de la stratégie de croissance des entreprises.

Qui utilise les données à caractère personnel ?

La R&D afin de connaître et/ou d’anticiper les opportunités potentielles à développer. Les modèles prédictifs permettent ainsi de définir des produits et services adaptés.

Les Ressources humaines à des fins de recrutement, de gestion de carrière et/ou de compétences et au suivi du temps de travail par exemple.

Le Marketing via la personnalisation des produits et des services qui me sont proposés. L’analyse comportementale du client est d’ailleurs l’un des pilliers de nombreuses plateformes internet.

Les données externes à l’entreprise, un potentiel incroyable

Elles se révèlent être des atouts précieux et un facteur de réussite pour la mise en place de technologies sous-tendant le Big Data

La mise en place d’un dispositif de conformité- Une démarche proactive adaptée et déclinée à tous les niveaux de l’organisationLes données numériques, leur traitement, leur analyse ne peuvent être décorrélés de la conduite des activités de l’organisation. La mise en œuvre d’un dispositif de conformité, au regard des nouvelles exigences du GDPR, doit donc s’inscrire dans un programme de conformité plus global et décliné de manière transversale, en considération des enjeux de l’organisation.

La conformité, au sens large, doit devenir un enjeu organisationnel justifiant la mise en œuvre

d’un investissement et d’une gouvernance adéquats. La mise en place d’un dispositif efficace permet non seulement de traiter les causes de non-conformité mais également de limiter les conséquences, dans la mesure où l’existence d’un programme dédié et adapté réduira la sévérité de la pénalité qui pourrait être prononcée.Le succès d’un programme de conformité passe avant tout par un engagement clair et ferme du top management. Il doit être décliné à l’ensemble de l’organisation en s’appuyant sur des valeurs et une éthique partagées.


22

La gouvernance, qu’est-ce que c’est ?

La gouvernance d’entreprise désigne l’ensemble des lois, politiques, valeurs, principes

et institutions affectant la manière dont l’organisation est dirigée. Elle fait office de cadre de référence pour maîtriser et réduire les risques (de réputation, civils, sociaux,

criminels ou administratifs) de l’entreprise en s’appuyant sur l’intégrité, la transparence et la responsabilité du top management.

Développer un programme de conformité à la nouvelle réglementation européenne

Organisation adaptéeLes nouveaux statuts du DPO (Data Protection Officer) sont un challenge pour l’entreprise. Sa légitimité et son rattachement hiérarchique sont des questions stratégiques dans la mesure où il doit être indépendant, en dehors de tout conflit d’intérêts et respectueux du secret professionnnel et de la confidentialité.

Collaboration transversaleIl doit dorénavant exister une collaboration étroite entre les différentes directions pour la gestion des données (programmeurs, analystes, juristes, ingénieurs, marketing) notamment dans le cadre du « Privacy by desig » et « Privacy by default ».

Déclinaison du programme aux tiersL’engagement doit être décliné auprès de l’ensemble des tiers et des intermédiaires agissants pour le compte de la société. Les sous-traitants seront tenus conjointement responsables s’ils effectuent des traitements des données dans un autre contexte que celui décrit dans l’accord de partage de données.

Politiques et procéduresLe dispositif repose sur un ensemble de règles de conformité claires et des procédures adaptées et partagées au sein de l’organisation. Ces politiques et procédures doivent être connues de tous et contrôlée régulièrement pour s’assurer de leur bonne application au sein des métiers.

Mécanisme de contrôle et de suiviLe mécanisme en place doit notamment permettre l’optimisation des processus d’escalade (gestion et communication sur les fuites potentielles de données personnelles en moins de 72h).

Analyse d’écartDans un environnement en constante évolution, le dispositif de conformité doit être analysé régulièrement au regard des nouvelles exigences règlementaires. L’organisation doit alors, si nécessaire, adopter des plans d’actions à la suite de cette revue itérative dans le but d’intégrer ces exigences au présent dispositif.

Mesures d’information et de formation adaptéesLa notion d’information sensible et les objectifs des mesures prises pour protéger l’information doivent être connus de tous, notamment via l’adoption de mesures d’information, de sensibilisation ou de formation dispensées aux populations les plus exposées aux traitements des données.


23

Le GDPR induit le renforcement de la gouvernance des donnéesReda Gomery - Associé Data & Analytics

La protection des données, une opportunité pour les métiers Les programmes de protection des données s’accélèrent au sein des entreprises sous l’effet conjugué de la régulation GDPR et d’une prise de conscience de plus en plus forte des risques encourus. Une véritable évolution est en marche, suscitant un changement des pratiques et des usages de données. La protection des données constitue une réelle opportunité pour les acteurs métiers de l’entreprise. Une telle démarche induit une meilleure visibilité sur le patrimoine informationnel dont disposent les organisations. Cela concerne en particulier les données éparses dans de multiples fichiers. Il est alors nécessaire de dresser un inventaire pour identifier les données cachées, puis les évaluer et les classifier.

Cet inventaire et cette classification des données mobiliseront les acteurs métiers des organisations et apporteront un éclairage nécessaire sur ce patrimoine de données souvent mal connu. Cette démarche implique également la nécessité de s’accorder sur des notions communes liées aux données et à leurs sensibilités métiers. Par extension, toute la chaîne de valeur des données - depuis leur production jusqu’à leurs usages - sera de plus en plus appréhendée par les acteurs métiers de l’entreprise. Dans bon nombre d’organisations, les programmes de protection des données pourraient constituer les faits générateurs de démarches de gouvernance des données plus globales. Dans ce mouvement vertueux et sans doute durable, les métiers pourront accroître la connaissance à partir d’une meilleure valorisation des données.


24

Témoignage clientPhilippe Fontaine - RSSI Groupe SMA

Au plan organisationnel, comment abordez-vous la mise en conformité GDPR ?

Le groupe SMA a pris l’option de ne pas avoir de CIL. La tâche de suivi et la sensibilisation des acteurs du Goupe sont sous la responsabilité du RSSI. Nous suivons depuis 3 ans le GDPR. Nous nous sommes intéressés à l’ensemble de ces articles afin de comprendre les changements de paradigmes. J’ai sensibilisé mon DSI, membre du Comex, qui à son tour a prévenu les membres du Comité de direction des risques inhérents en tant que « porteur » de risques. Tout cela se passe très bien.

Quelle approche proposez-vous pour aborder la problématique liée à la définition des données à caractère personnel au sein du Groupe et de l’ensemble de ses sociétés ?

C’est vrai que pour nous, la donnée à caractère personnel s’étend par définition au-delà de la carte d’identité. C’était important de faire passer cette idée, notamment via l’usage des données propres aux processus liés à l’authentification biométrique (empreintes et

photos de personnes). Dans notre parc immobilier par exemple, que nous détenons comme assureur propriétaire de biens immobiliers, certains locaux sont équipés de caméras de surveillance. Les données de ces caméras sont impactées par le GDPR. Nous avons donc effectué les déclarations nécessaires auprès de la CNIL. Par ailleurs, nous fournissons des textes réglementaires propres à notre secteur à celle-ci, qui détient alors les preuves complètes de notre mise en conformité.

Précisément, en tant que RSSI, quels choix avez-vous adopté pour réaliser la mise en conformité avec l’esprit des textes du GDPR ?

Le problème était d’obtenir une vision globale en migrant de la loi Informatique et Libertés au GDPR. Dans cet esprit, en termes de gouvernance, nous avons demandé au cabinet Deloitte davantage une mission de diagnostic qu’un audit. L’idée était de positionner notre niveau de maturité par rapport au GDPR, via différentes thématiques : sensibilisation des collaborateurs, procédures...

A l’issue de ce diagnostic réalisé par Deloitte, avez-vous pu réfléchir à différents points dont la capitalisation de l’existant ? Oui, mais il est devenu évident qu’il fallait transformer ce diagnostic en plan d’actions. Ne disposant pas de CIL, je me suis rapproché de notre DRH pour offrir un stage à une personne ayant achevé un cursus « Informatique et Libertés ». Nous avons trouvé cette personne qui s’est approprié le diagnostic de Deloitte, ce qui montre que ce dernier était orienté gouvernance juridique et non technique. A l’issue de cette étude, plus de 80 actions ont été arrêtées, tracées et affectées via des priorités avant d’effectuer un suivi, l’analyse d’impacts par projet par exemple. Mon idée, c’est aussi de transformer les compétences de notre ancien stagiaire en futur DPO pour 2018.

Pour réaliser ce projet de mise en conformité GDPR dans les temps, quelles actions prioritaires retenez-vous ?

L’adhésion à l’AFCDP (Association française des correspondants à la protection des données à caractère personnel) en est


25

une, réaliser un dossier CIL pour chaque société du Groupe en constitue une autre, offrir à notre nouveau CIL et futur DPO une véritable visibilité auprès du COMEX, encore une autre... Sur les aspects budgétaires, rien de particulier en tant que RSSI. Ne confondons pas budget et plan d’actions. Ce sont les actions qui peuvent justifier des budgets. Pour le moment, pas de budgets attribués spécifiquement.

Un autre diagnostic externe serait sans doute envisageable en 2018 avant la mise en application du règlement. Pour l’heure, nous investissons sur les personnes du Groupe afin qu’elles bénéficient toutes d’un complément d’information sur le GDPR. Des journées thématiques pourraient être programmées.

1 - Christian Reimsbach-Kounatze : « Les Etats-Unis se sont posé des questions sur l’impact du GDPR sur leur économie et sur leurs relations avec l’Europe dans le cadre du Privacy Shield. La position ainsi partagée par les pays membres de l’OCDE est que « la réglementation ne devrait pas nuire aux échanges des données et au fonctionnement de l’Internet » Christian Reimsbach-Kounatze a rejoint l’OCDE en 2008 et travaille sur les questions relatives à l’économie numérique et aux technologies émergentes. (Extrait du Guide du BigData 2016/2017 http://guidedubigdata.com/)

Sources : https://www.cnil.fr/fr/reglement-europeen-protection-donneeshttp://www.economie.gouv.fr/files/files/PDF/NAFlibrecirculationdesdonnees_20161110.pdfhttps://www.cnil.fr/sites/default/files/atoms/files/referentiel_formation_protection_des_donnees_oct_2016.pdfhttps://www2.deloitte.com/nl/nl/pages/risk/articles/the-general-data-protection-regulation.htmlhttp://www.cyberisques.com/fr/mots-cles-8/572-cybersecurite-54-des-chefs-d-entreprises-eu-responsableshttps://www2.deloitte.com/fr/fr/pages/technology/topics/systeme-information-technologie.html?icid=top_systeme-information-technologie&_ga=1.223534875.1217447234.1480063613


26

Le Cercle européen de la sécurité et des systèmes d’information

NOUVELLE REGLEMENTATION EUROPEENNE SUR LES DONNEES PERSONNELLESLES ENTREPRISES EN PREMIERE LIGNE

87%

79%

75%

des RSSI connaissent leur correspondant Informatique et Libertés (CIL)

pensent être soumis à l’analyse d’impact relative à la protection des données

savent que les obligations des sous-traitants seront renforcées dans le règlement


27

66%

54%

50%

50%

60% 60%

des RSSI savent ce qu’est un délégué à la protection des données (DPO)

disposent d’un référentiel des collaborateurs et des accès aux applications

connaissent le droit à la portabilité des données

créalisent des audits des mesures de sécurité du traitement des données

ne disposent pas de solutions de traçabilité des accès aux données personnelles

ne disposent pas de procédure de notification

Mais

www.lecercle.biz / @Le_Cercle / #LeCercleSIEnquête réalisée en mars 2016 auprès d’un panel de 200 membres du Cercle

A propos de Deloitte Deloitte fait référence à un ou plusieurs cabinets membres de Deloitte Touche Tohmatsu Limited, société de droit anglais (« private company limited by guarantee »), et à son réseau de cabinets membres constitués en entités indépendantes et juridiquement distinctes. Pour en savoir plus sur la structure légale de Deloitte Touche Tohmatsu Limited et de ses cabinets membres, consulter www.deloitte.com/about. En France, Deloitte SAS est le cabinet membre de Deloitte Touche Tohmatsu Limited, et les services professionnels sont rendus par ses filiales et ses affiliés. Deloitte fournit des services professionnels dans les domaines de l’audit, de la fiscalité, du consulting et du financial advisory à ses clients des secteurs public et privé, quel que soit leur domaine d’activité. Fort d’un réseau de firmes membres dans plus de 150 pays, Deloitte allie des compétences de niveau international à un service de grande qualité afin d’aider ses clients à répondre à leurs enjeux les plus complexes. Nos 244 000 professionnels sont animés par un même objectif, faire de Deloitte la référence en matière d’excellence de service. En France, Deloitte mobilise un ensemble de compétences diversifiées pour répondre aux enjeux de ses clients, de toutes tailles et de tous secteurs – des grandes entreprises multinationales aux microentreprises locales, en passant par les entreprises moyennes. Fort de l’expertise de ses 10 300 collaborateurs et associés, Deloitte en France est un acteur de référence en audit risk advisory, consulting, financial advisory, juridique & fiscal et expertise comptable, dans le cadre d’une offre pluridisciplinaire et de principes d’action en phase avec les exigences de notre environnement.

Deloitte185, avenue Charles-de-Gaulle - 92524 Neuilly-sur-Seine Cedex © 2017 Deloitte SAS. Membre de Deloitte Touche Tohmatsu Limited - Tous droits réservésStudio graphique Neuilly

Livre Blanc Deloitte : « GDPR, par où commencer ? »

Business

Transcript of Livre Blanc Deloitte : « GDPR, par où commencer ? »