Cela fait maintenant plus de trois ans que le règlement général sur la protection des données (RGPD) est entré en vigueur et la confidentialité des données personnelles ainsi que l’application des principes de protection des données personnelles restent une préoccupation majeure pour les organisations. La recrudescence des attaques Cyber dont ont été victimes les organisations pendant la période de la COVID-19, ainsi que les nombreuses condamnations et amendes appliquées par les différents régulateurs internationaux, nous rappellent combien ce sujet reste d’actualité.
Ces amendes touchent aussi bien les organisations publiques que privées : les GAFA, British Airways pour plusieurs dizaines de millions d’euros mais aussi des acteurs publics : 460 K€ pour un hôpital aux Pays Bas, 2,6 M€ pour le fisc bulgare, mais aussi la Poste autrichienne.
La CNIL, à elle seule, a reçu 13 585 plaintes en 2020.
A quel stade réel de mise en conformité en sommes-nous arrivés ?
Depuis l’entrée en vigueur du RGPD, les organisations se sont mises en ordre de marche et la plupart peuvent aujourd’hui prétendre à un certain niveau de conformité. Mais quand est-il dans les faits ?
Les audits de conformité RGPD que nous avons pu conduire pour des directions de l’audit interne font ressortir le premier constat suivant, le dispositif de conformité est globalement en place. Les procédures requises ou utiles existent (demande de droit, réalisation d’un PIA, gestion d’une violation de données à caractère personnel etc.), la gouvernance est organisée et formalisée avec des solutions soit internalisées soit externalisées.
Le diable se cache dans les détails
En revanche c’est dans le déploiement que se cache le diable ! En effet, une des caractéristiques majeures de la conformité RGPD c’est qu’il s’agit d’une conformité très opérationnelle, du quotidien, qui est assurée dans les faits par l’ensemble des collaborateurs dans l’exercice permanent de leurs activités.
Or force est de constater que les enjeux de la conformité sont encore un peu éloignés de ce quotidien et qu’il reste des efforts à produire pour décliner, dans les métiers, les enjeux du RGPD. Par exemple les durées de conservation restent trop théoriques et ne correspondent pas à celles pratiquées par les métiers, de même que les règles d’archivage. La privacy by design est quant à elle peu mise en œuvre dans les projets.
Cette déclinaison doit prendre plusieurs formes, des actions de sensibilisation des collaborateurs adaptées aux enjeux de leurs métiers, en partant des risques et des particularités des traitements concernés, des ateliers transversaux thématiques pour diffuser les bonnes pratiques, des animations pour faire acquérir les bons réflexes notamment en termes de sécurité (tests de phishing par exemple) ou de transmissions de données en dehors de l’organisation.
Le sujet de la sécurité des systèmes d’information, qui n’a pas attendu le RGPD pour exister, reste encore un peu trop déconnectée du RGPD, avec des interactions entre DPO et DSI trop rare et un postulat un peu trop général visant à considérer que le sujet de la protection des données est globalement embarqué dans la sécurité des systèmes d’information et qu’en conséquence il n’est pas nécessaire d’en faire un focus particulier.
DPO externalisé, une organisation insuffisamment maîtrisée !
Autre enseignement intéressant lié au choix d’un recours à un DPO externalisé. Ce mode d’organisation est parfois insuffisamment piloté et structuré, ce qui conduit à avoir un DPO externalisé déconnecté de la réalité et du quotidien de son responsable de traitement. Le DPO agit un peu en aveugle, « hors sol » de ses enjeux de conformité, souvent en réaction face à des questions qui lui sont remontées, mais insuffisamment en mode pro action, avec un plan d’actions annuel défini, avec des priorités, un planning assurant une
« présence » du RGPD au fil du temps, des temps forts de rencontre avec le responsable de traitement. Avoir recourt à un DPO externalisé n’est pas une externalisation de la responsabilité liée au RGPD, une forme d’assurance conformité vis-à-vis de la CNIL, mais seulement un choix organisationnel, qui doit être piloté, suivi et structuré pour en assurer le bon fonctionnement. Une prise de conscience doit être faite sur ce choix organisationnel par le responsable de traitement.
Après plus de 3 ans de mise en conformité, c’est le bon moment pour diligenter un audit interne de la conformité RGPD de votre organisation pour avoir une vision indépendante et objective de votre conformité, dans un contexte où d’un côté les contrôles et les sanctions se font plus nombreuses et de l’autre les organisations sont sous la pression des attaques cyber. La question n’étant plus de savoir si je vais être attaqué mais quand.
