2017

Protection des données : toute la vérité sur le RGPDComprendre les enjeux & conduire la mise en conformité

1

Sommaire

✤ Introduction

✤ Un autre regard sur les données à caractère personnel

. Le RGPD, c'est quoi ?

. Vers de nouveaux droits pour les personnes

. Vers de nouvelles obligations pour les organisations

. Le RGPD et vous ?

✤ DPO : lever les freins & maîtriser les risques

. DPO, le chef d’orchestre de la conformité

. De la sanction financière au déficit d’image

. Les freins à la mise en conformité

✤ Serez-vous prêt à temps ?

. Une trop lente prise de conscience

. Des organisations mal informées et sous-équipées

. Remèdes et solutions pour se mettre en conformité

. Les étapes de la mise en conformité

. Des normes volontaires liées à la protection de la vie privée

✤ Conclusion

2

Introduction

En 2016, plusieurs affaires de vol de données personnelles chez Yahoo!, Dropbox, MySpace, LinkedIn et Tumblr ont défrayé la chronique. Et avant eux, Orange, Sony, Ashley Madison ou encore eBay ont été concernés par des faits similaires. Dans un monde plus connecté que jamais, les données propres aux clients peuvent rapidement tomber entre de mauvaises mains.

Ces données sont d’ailleurs aujourd’hui au centre des stratégies des organisations (big data, IoT, industrie 4.0, etc.). Elles constituent un gisement inestimable et un levier incontournable pour le développement de l’économie numérique. Á condition toutefois de savoir les exploiter et de savoir les protéger. Elles exigent, en effet, une attention toute particulière, puisqu’elles touchent à la vie privée et aux droits et libertés fondamentaux des personnes.

Á ce titre, un nouveau règlement européen sur la protection des données personnelles baptisé RGPD  (Règlement Général sur la Protection des Données) entre en application le 25 mai 2018 et renouvelle profondément le cadre juridique applicable en la matière.

Les organisations doivent se préparer à ce nouveau cadre juridique. Et la grande majorité d’entre elles ne semble pas encore prête, comme le montrent les résultats de l’enquête* réalisée par SerdaLAB.

C’est pour leur permettre de comprendre les enjeux du RGPD et de mieux conduire cette transition en interne que ce livre blanc a été conçu.

3

*Enquête réalisée en février 2017 par SerdaLAB auprès de plusieurs milliers de décideurs français. 232 réponses ont été validées : 46% issues du secteur privé, 39% du secteur public. 39%sont des organisations de plus de 500 salariés, 22%

de 249 à 50 salariés) et 33% des organisations de moins de 50 salariés.

Un autre regard sur les données à caractère personnel

✤Une donnée à caractère personnel, c’est quoi ?

Il s’agit de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

✤ Le RGPD, c’est quoi ?

Le Règlement Général sur la Protection des Données entend uniformiser la protection des données dans toute l’Union européenne et mettre à jour le droit européen. En effet, le droit actuel, basé sur la directive 95/46/CE de 1995, date du début d’Internet et n’avait pas prévu l’essor des moteurs de recherche, des réseaux sociaux, des objets connectés, du cloud, du big data, etc. Le RGPD entend renforcer le contrôle des citoyens européens sur l’utilisation de leurs données personnelles, tout en simplifiant la réglementation pour les organisations.

Il entrera en vigueur le 25 mai 2018. 4

Vers de nouveaux droitspour les personnesLe RGPD renforce les droits reconnus à la personne dont les données sont collectées. Ainsi, outre le droit d’accès, le droit d’opposition, le droit de rectification, le droit au déréférencement, le droit d’accès indirect reconnus par la loi Informatique & Libertés, le RGPD introduit :

✤ le droit à une information complète en langage clair, intelligible et aisément accessible aux personnes concernées par les traitements de données.

✤ le droit à l’oubli. Il est possible de demander à ce qu’un lien soit déréférencé d’un moteur de recherche ou qu’une information soit supprimée s’ils portent atteinte à la vie privée de la personne concernée.

✤ du droit à la limitation du traitement et d’opposition (notamment au profilage). Les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement.

✤ le droit à la portabilité des données. Cela permet à une personne de récupérer les données qu’elle a fournies, sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers (réseau social, FAI, etc.).

✤ des conditions particulières pour le traitement des données des mineurs de moins de 16 ans. L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l'enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Les États membres peuvent abaisser cet âge par la loi, sans toutefois qu’il puisse être inférieur à 13 ans.

✤ la possibilité pour les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données d’introduire des recours collectifs en matière de protection des données personnelles.

✤ le droit, pour toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement, d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

5

Vers de nouvelles obligationspour les organisationsAlors que la directive de 1995 reposait en grande partie sur des formalités préalables (déclaration, autorisations), le RGPD s’appuie sur une logique de conformité. Les principales évolutions sont les suivantes :

✤ les organisations seront davantage responsabilisées au travers du principe d’accountability, imposant de se mettre en conformité et de pouvoir le démontrer.

✤ selon les enjeux des projets, et notamment la nature et la sensibilité des données traitées, il conviendra de consulter préalablement l’autorité de protection des données (la CNIL en France) et de mener une analyse d’impact relative à la protection des données. Cela concerne notamment les traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi, fait nouveau, les données génétiques ou biométriques).

✤ des mécanismes visant à garantir la protection des données par défaut ou dès la conception (notions de «  Privacy by design » et de « Privacy by default ») devront être mis en œuvre. Les données personnelles devront être traitées de manière à garantir une sécurité et une confidentialité appropriées.

✤ la création et la tenue d’un registre des traitements mis en œuvre devient obligatoire. Il doit être conservé non seulement par le responsable du traitement mais également par ses éventuels sous-traitants. Ce registre doit pouvoir être mis à tout moment à disposition des autorités de contrôle.

✤ un délégué à la protection des données (DPO) doit être désigné dans certains cas.

✤ les violations de données à caractère personnel (intrusion dans le SI, vol du fichier client en interne, vol du matériel informatique, etc.) devront être notifiées dans les 72 heures à l’autorité de protection des données et aux personnes concernées si cette violation est susceptible d'engendrer un risque élevé pour ses droits et libertés.

6

Le RGPD et vous ?

Oui55 %

Non45 %

43 %

33 %

24 %

Oui, complètementOui, vaguementNon, pas du tout

Mesurez-vous l’impact que le RGPD aura sur votre organisation ?

Savez-vous que le RGPD entrera en vigueur en mai 2018 ?

Etude SerdaLAB - Février 2017 7

Le RGPD et vous ?

Quelles sont les actions déjà entreprises ou en cours dans votre organisation à propos des

données à caractère personnel ?

Ne sait pas (26%)

Déclaration de fichiers auprès de la CNIL (26%)

Présence d'un CIL en interne (18%)

Recueil de consentement (11%)

Mention sur le site web (10%)

Etude SerdaLAB - Février 2017 8

2017

DPO : lever les freins & maîtriser les risques De la peur de la sanction à la nécessaire protection des données personnelles

9

DPO, le chef d’orchestre de la conformité

Les responsables de traitement devront obligatoirement désigner un délégué à la protection des données (ou DPO) s’ils appartiennent au secteur public, ou si leurs activités principales les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, ou encore si leurs activités principales les amènent à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

En dehors de ces cas, un DPO pourra aussi être désigné. Il pourra être mutualisé ou externe, et sera chargé :

✤ d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés.

✤ de contrôler le respect du RGPD et du droit national en matière de protection des données.

✤ de conseiller l’organisme sur la réalisation d’une analyse d'impact (PIA) et d’en vérifier l’exécution.

✤ de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

10

De CIL à DPO

Si la loi Informatique et Libertés de 1978, et ses mises à jour, ont créé le CIL (Correspondant Informatique et Libertés), le RGPD, lui, consacre le délégué à la protection des données (en anglais, DPO : Data Protection Officer). S’il n’est obligatoire que dans certains cas, il est fortement recommandé de le nommer systématiquement, puisque toute entreprise ou administration doit être capable de rendre compte à l’autorité de contrôle de l’état de ses traitements de données.

Aujourd’hui, près de 18 000 organismes sont dotés d’un CIL, mais avec le RGPD et l’exigence de DPO, ce chiffre devrait fortement augmenter. Le DPO est donc le personnage central de la protection des données. Il bénéficiera d’ailleurs d’un accompagnement dédié assuré par la CNIL (webseminar, extranet, permanence juridique dédiée, information privilégiée, etc.). Il est le garant des bonnes pratiques liées à la protection des données personnelles et, par conséquent, permettra de réduire le risque et les aléas juridiques. Pour le moment, seules 30% des organisations ont intégré ou prévu d’intégrer cette fonction (voir graphique ci-contre).

11

17 %

46 %

37 % OuiNonNe sait pas

Votre organisationpossède-t-elle un CIL ?

Avez-vous d’ores et déjà intégré la fonction de DPO ?

32 %

30 %

38 % OuiNonNe sait pas

Etude SerdaLAB - Février 2017

De la sanction financièreau déficit d’imageJusqu’à présent, la directive 1995/46/CE prévoyait simplement la possibilité, pour la personne dont les droits ont été violés, de recourir aux tribunaux et d’obtenir du responsable du traitement réparation de son préjudice.

Le RGPD va plus loin et prévoit désormais un « droit à un recours effectif » et un « droit à réparation ». Il définit des règles de compétences des juridictions se substituant aux règles de droit international privé des États Membres et détermine les amendes qui devront être délivrées par les autorités nationales de contrôle.

Des amendes qui s’avèrent d’ailleurs extrêmement lourdes, puisqu’elles peuvent atteindre, selon la catégorie de l’infraction, jusqu’à 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% à 4% du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu).

Mais avant d’en arriver aux sanctions, les autorités de protection peuvent :

✤ prononcer un avertissement

✤ mettre en demeure l’entreprise

✤ limiter temporairement ou définitivement un traitement

✤ suspendre les flux de données

✤ ordonner de satisfaire aux demandes d'exercice des droits des personnes

✤ ordonner la rectification, la limitation ou l'effacement des données.

L’autorité peut également retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification liée aux nouveaux outils de conformité utilisés par l’organisation.

En attendant, si c’est effectivement la peur de la sanction qui fait d’abord bouger les organisations (27% des organisations interrogées citent la crainte de la sanction financière en premier), 19% craignent la surcharge de travail imposée par cette mise en conformité et 24% redoutent le déficit d’image et évoquent la possible perte de confiance des clients/usagers en cas de problème.

12

Les freins à la mise en conformité

13

(29%) Le manque d’information sur le sujet

(26%) Le manque de temps et l’absence de ressources

(12,5%) Ne sait pas

Le manque de compétences en interne

La complexité de mise en place

(8%)

(8%)

Le manque de moyens techniques en interne

(9%)

(10%)

La non-compréhension du sujet

Le coût engendré(4%)

(3%) Le manque d’implication de la direction générale

Etude SerdaLAB - Février 2017

2017

RGPD : serez-vous prêt à temps ?Le compte à rebours est déjà lancé et l’échéance est fixée au mois de mai 2018

14

Une (trop) lente prise de conscience

15

Avez-vous été sensibilisé-e au problème ?

Oui, un peu

32 %

Non40 %

Oui28 %

Etude SerdaLAB - Février 2017

Oui,en partie

49 %Oui13 %

Non38 %

Pensez-vous que votre organisation sera en conformité avec le RGPD en

mai 2018 ?

Des organisations mal informées et sous-équipées43% des sondés* ne mesurent pas du tout l’impact que le RGPD aura sur leur organisation et avouent ne pas du tout savoir comment s’y prendre. 56% ne sont d’ailleurs absolument pas au fait des technologies et des outils capables de les aider dans cette mise en conformité :

✤ solutions de cartographie des données. Seules 13% des organisations utilisent déjà ce type de solutions. 82% n’en sont pas équipées.

✤ solutions d’anonymisation ou de pseudonymisation des données. Seuls 15% des sondés utilisent ce type de solution et 82% ne savent pas de quoi il s’agit.

✤ solutions garantissant la confidentialité, l’intégrité et la sécurité du traitement des données. 32% des organisations utilisent déjà ce type de solution.

✤ solutions de test, d’analyse et d’évaluation des risques. 86% des organisations ne sont pas équipées de ce type de solution.

Le niveau d’équipement est donc relativement bas, tout comme la connaissance du sujet. 37% des organisations avouant ne connaître qu’en partie ces technologies.

« 64% des organisations n’ont pas défini de politique de conservation et de destruction

des données qu’elles collectent* »

16*Etude SerdaLAB - Février 2017

Remèdes et solutions vers la conformitéLe RGPD change le type de régulation qui va s’appliquer aux données. Il s’oriente vers moins de contrôle par la CNIL, plus de responsabilisation des entreprises, et un niveau de sanction renforcé. Il impose de nouveaux outils (PIA -Privacy Impact Assessment-, labels, certifications, codes de conduite). Il est donc important de connaître ce règlement et la nouvelle logique de régulation sur lequel il repose.

Vers des études d’impact sur la vie privée

La première phase de cette mise en conformité associe trois types d'expertise (juridique, conseil et technologique) et permet de dresser un premier état des lieux de la maturité de la maîtrise, par l'organisation, de ses données personnelles. C'est lors de cette phase que les plans de PIA ("privacy impact assessment") sont élaborés. Aussi appelés "études d'impact sur la vie privée" (EIVP), ils sont rendus obligatoires par l'article 35 du RGPD pour tous les traitements exercés sur les données susceptibles d'engendrer des risques élevés pour les droits et libertés.

En cas de risque élevé, le responsable du traitement devra consulter l’autorité de protection des données avant de mettre en œuvre ce traitement. La CNIL pourra d’ailleurs s’opposer au traitement.

En France, pour que les organisations puissent s’entraîner sur ces nouveaux outils, sans prendre le moindre risque, la CNIL va d’ailleurs mettre en place un système de « bac à sable » permettant aux organisations de tester, à blanc, les PIA. Cette phase est complétée par un "assessment technique" destiné à cartographier les données personnelles et les zones à risque au sein du système d'information, et ainsi savoir exactement où et dans quelles proportions se situent les données sensibles.

Cette première phase est très importante pour l'entreprise, puisqu'en plus de son aspect curatif, elle permet d'envisager les projets à venir de l'entreprise : les notions de "privacy by design" et de "privacy by default" (protection de la vie privée garantie dès la conception d'une solution ou pour une solution déjà en place), ainsi que la modification éventuelle des processus de collecte des données.

17

Remèdes et solutions vers la conformitéPour se mettre en conformité avec le RGPD, les organisations doivent donc mettre en place des mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles qu’elles traitent, à la fois dès la conception du produit ou du service et par défaut.

Concrètement, elles devront veiller à limiter la quantité de données traitée dès le départ. Le RGPD réaffirme, en effet, les principes essentiels de la protection de la vie privée :

✤ Restriction d’utilisation

✤ Minimisation des données

✤ Précision

✤ Limitation du stockage

✤ Intégrité

✤ Confidentialité.

Pour parvenir à ces résultats, plusieurs outils ou technologies peuvent être utilisées : anonymisation ou pseudonymisation des données, chiffrement de fichiers, processus de suppression, mise en quarantaine ou de déplacement (si les données n'étaient pas localisées au bon endroit), protection opérationnelle des données (détection des failles, gestion des incidents, contrôle d'activité des utilisateurs et des administrateurs, etc.), gestion du cycle de vie (records management), archivage, suppression sécurisée, etc. La gestion du consentement explicite des clients ou des utilisateurs sur la finalité d'usage de leurs données peut aussi faire partie des opérations à mettre en place.

Pour compléter, l’organisation peut aussi s’appuyer sur des normes ISO relatives à la protection de la vie privée et à la sécurité de l’information (listées page 20). Ces normes sont « volontaires » (elles n’ont donc rien d’obligatoire), mondialement reconnues et traduisent un état de l’art et un consensus de tous les professionnels pour que le sujet soit traité de cette manière.

18

Les étapes de la mise en conformité

1. Expliquer le règlement et sensibiliser les collaborateurs concernés.

2. Intégrer la fonction de DPO et le désigner comme pilote. Il doit faire le lien avec la direction et disposer des moyens humains et financiers pour assurer la mise en conformité.

3. Cartographier les données. L’idée étant de rencontrer les services et les entités qui traitent des données personnelles, d’établir la liste des traitements par finalité principale et les types de données traitées, de savoir à qui et où les données sont transmises, où elles sont stockées, combien de temps elles doivent être conservées et comment les purger. Cette opération peut se faire à main levée dans une petite entreprise ou, mieux, avec des outils d’ILM (Information Lifecyle Management, comme StoredIQ Suite d’IBM par exemple), de mind mapping ou de data visualisation.

4. Obtenir l’avis du juridique ou d’un cabinet d’avocat si l’organisation manipule des données sensibles. Il est aussi possible de faire appel à des consultants externes.

5. Prioriser les actions à mener en fonction de la base juridique sur laquelle se fonde le traitement des données (vérification des mentions d’information, des mesures de sécurité en place ou nécessaires, etc.).

6. Analyser et gérer les risques. L’objectif étant de mettre en place les premières mesures pour protéger les personnes concernées par les traitements et d’identifier les traitements à risque. C’est à ce stade qu’une analyse d'impact sur la protection des données (PIA) peut être menée, si les traitements de données personnelles sont susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées.

7. Rédiger les procédures (gouvernance RGPD), disposer d’une documentation démontrant que l’organisation respecte les obligations prévues par le règlement, et savoir à qui s’adresser en cas d’incident.

8. Mise en oeuvre. Revoir les accès aux systèmes et mettre en place les moyens humains et techniques, capables d’assurer la sécurité des données.

9. Assurer la conformité sur le long terme.

19

Catégorie Titre de la norme Date

Terminologie et principes Privacy framework (ISO/IEC 29100) 2011

Lignes directrices pour mener des étudesd’impact sur la vie privée Privacy Impact Assessment (ISO/IEC 29134) 2017

Maturité dans les processus Privacy capability assessment model (ISO/IEC 29190) 2015

Bonnes pratiques génériques pour laprotection de la vie privée

Code of practice for personally identifiable informationprotection (ISO/IEC 29151) 2017

Bonnes pratiques de protection de la vieprivée spécifiques au cloud computing

Code of practice for protection of personallyidentifiable information (PII) in public clouds (ISO/IEC27018) 2014

Techniques de cryptographieRequirements for partially anonymous, partially unlinkable

authentication (ISO/IEC 29191)Blind digital signatures (ISO/IEC 18370)

20122016

Techniques d’anonymisation Privacy enhancing data de-identification techniques(ISO/IEC 20889) 2017

Des normes volontaires liées à la protection de la vie privée

20

1 entreprise sur 5 prête en 2018 ?

Á un an de l’entrée en vigueur du RGPD, la majeure partie des organisations a encore beaucoup à faire pour se mettre en conformité. Seules 20% d’entre elles ont enclenché une démarche en ce sens* et affirment qu’elles seront prêtes à l’heure dite. 6% sont en ordre de marche, mais pensent ne pas être prêtes en mai 2018 ; 46% n’ont encore rien prévu et 28% ne savent pas vraiment où elles en sont.

Reste à savoir qui pilotera cette mise en conformité. Dans 28% des cas, ce rôle n’a pas encore été attribué, la direction étant le principal acteur cité. Dans 27% des cas, les organisations interrogées affirment que c’est la DSI qui chapeautera le tout. 21% disent, en revanche, qu’il s’agira du CIL ou du DPO, 16% du service juridique et 8% de la qualité (8%).

Au-delà du contexte légal, il est important que l’organisation définisse une ambition permettant de traiter la protection de la vie privée comme une opportunité pour le développement de ses activités.

9% des organisations pensent, en effet, que le RGPD leur permettra d’améliorer leur sécurité face aux cyberattaques, 7% que cela renforcera leur image de marque, 12% que cela leur offrira une meilleure connaissance de leurs données, 13% que cela renforcera la confiance dans la relation client et 14% que cela permet d’harmoniser la gestion et le stockage des données.

Le RGPD, un mal pour un bien ? 12% des sondés estiment qu’il ne s’agit que d’une source de tracas supplémentaire et près d’une personne sur trois ne se prononce pas.

Il s’agit en tout cas d’un premier pas en Europe dans le secteur de la donnée. Cette harmonisation impacte toutes les organisations et implique un changement radical dans la façon de fonctionner. C’est aussi un travail à long terme qui va bien au-delà de la simple mise en conformité.

21*Etude SerdaLAB - Février 2017

Conclusion La donnée, un trésor à protégerToutes les données personnelles conservées dans les référentiels d’une organisation (bases de données, messagerie, systèmes de fichiers, GED, etc.) sont un trésor. De nombreuses entreprises ont, en effet, adopté un business model reposant entièrement sur la collecte et l'exploitation des données de leurs utilisateurs. Ce qui leur permet d’établir des profils individualisés, d’envoyer des publicités ciblées, de proposer des services sur mesure aux usagers (pour le service public notamment) et de développer des stratégies commerciales de plus en plus sophistiquées. Mais jusqu’où peut-on aller dans l’exploitation des données personnelles et l’analyse du comportement ? Les organisations sont aujourd’hui sur le fil du rasoir avec, d’un côté, des données à exploiter susceptibles de générer du business et de l’autre, un durcissement des règles en terme de protection. Ce

qui est sûr, c’est que l’entrée en vigueur du RGDP va obliger les organisations à ouvrir les yeux et permettre à toutes celles qui disposent d’une base « dormante » de données personnelles de s’emparer du sujet.

"Nous ne sommes qu'au tout début de l'incroyable essor que prendra, à terme, la valeur

des données personnelles. D'ici 2020, leur capitalisation pourrait en effet valoir mille milliards d'euros par an (source : Boston

Consulting Group). Sans compter les enjeux business et marketing ainsi que les actes

malveillants qu'elles pourraient susciter. Les protéger est donc essentiel !"

Thierry Brun, GDPR Ambassador / IBM.

22

Créée par des spécialistes de la gestion documentaire, Arondor propose une gamme de services et de solutions répondant à l'ensemble des besoins dans le domaine. Des solutions départementales aux grands projets, des PME aux Grands Groupes, Arondor adapte ses propositions en construisant des solutions avec les progiciels reconnus du marché.

L’entreprise gère l'intégralité du cycle de vie des données et documents, de la capture qui permet d’intégrer les flux d’information d’une entreprise dans une GED jusqu’à l’archivage qui répond aux besoins de conservation des données et des documents.

Spécialiste de l’organisation de la mémoire et du savoir depuis plus de 30 ans, le groupe Serda est un des précurseurs en la matière. La vocation de Serda est d’optimiser tout ce qui a trait aux systèmes de gestion de l’information et des données : dématérialisation, archivage papier et électronique, gestion du cycle de vie du document, knowledge management, collaboratif, intelligence économique, accès à l'information, recherche et veille.

Le groupe Serda réunit plusieurs pôles d’activité : Serda Conseil (qui accompagne les organisations dans leur projet de management de l’information), Serda Formation, Archimag et Archimag.com, SerdaLAB et L’Agence Digitale. Avec une ambition commune : vous transmettre nos compétences pour vous faire gagner en efficacité.

En partenariat avec