Le RGPD (Règlement Général sur la Protection des Données ¹) est le texte européen pour la protection des données à caractère personnel qui est entré en application le 25 mai 2018.
Près d’un an après son entrée en application, il occupe une part encore importante dans les médias, notamment à l’occasion des plaintes déposées à l’encontre de géants du Web par différentes associations comme des premières sanctions ou des messages de sensibilisations publiés par la CNIL.
Dans de nombreuses entreprises cependant, les travaux de mise en conformité se poursuivent. L’approche de cet anniversaire est l’occasion de revenir sur les enjeux liés à cette réglementation, et d’illustrer sa mise en œuvre dans un cas concret. Nous avons choisi de nous appuyer plus particulièrement sur un dispositif qu’Asigma et le Groupe Quanteam ont mis en place pour le pôle Assurance d’un bancassureur français.
Cet article sera publié en 3 épisodes : le premier revient sur le Règlement européen et ses enjeux, le deuxième présentera les besoins et le dispositif mis en œuvre pour y répondre, et enfin le dernier épisode présentera plus en détail la démarche utilisée, les facteurs clés de succès et les risques d’un tel projet.
Introduction sur le RGPD er ses principaux enjeux
Cette réglementation sur la protection des données est l’aboutissement d’un processus historique de 40 ans pour la France avec notamment :
En France : Loi Informatiques et Libertés avec la Création de la CNIL (6 janvier 1978)
Au niveau européen : Directive 95/46/CE avec la Création du G29 (24 octobre 1995)
En France : l’introduction des déclarations CNIL (6 août 2004)
Au niveau européen : la Publication du RGPD au Journal Officiel (4 mai 2016)
En France : la Loi pour une République Numérique (7 octobre 2016)
Périmètre d’application
Le règlement doit être respecté par chaque entreprise ayant un lien avec l’Union Européenne : il concerne tout traitement de données personnelles effectué dans l’établissement d’un Responsable de traitement ou d’un Sous-traitant, si cet établissement est situé sur le territoire européen, mais ce règlement est aussi applicable aux traitements de données personnelles des résidents européens, quand bien même ces traitements seraient effectués en dehors de l’UE.
Enjeux du règlement
Le respect du règlement nécessite la mise en œuvre de différentes actions ainsi que des transformations au sein des entreprises à plusieurs niveaux :
- La création de nouvelles fonctions, la redéfinition des rôles et responsabilités (notamment le Délégué à la Protection des Données², Responsable de Traitement et Sous-Traitant )
- La redéfinition de cartographies des processus et des systèmes d’informations en intégrant de nouvelles dimensions (ex. : traitements, finalités et durées de conservation)
- L’intégration de nouveaux axes d’analyse au niveau du pilotage (ex. : adéquation entre finalité, usage des DCP³ et durée de conservation)
- L’adaptation de leur communication pour faire face à de nouvelles exigences :
- Une transparence accrue vis-à-vis des clients, notamment en termes d’information de leurs droits et de réponse à leurs demandes d’exercices de ces droits
- Une démarche proactive vis-à-vis des autorités de contrôle et des clients, notamment en cas de violations de données, avec des contraintes de délai de notifications sous 72 heures calendaires.
- La mise en place d’un dispositif capable de gérer l’ensemble de ces vecteurs de transformation à la fois en phase projet et en phase de production.
Un autre enjeu du règlement est le niveau de sanctions qui est beaucoup plus élevé qu’auparavant :
- Risque maximal jusqu’à 20M€ ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu pour sanctionner le non-respect des délais de réponse lors de l’exercice des droits
- Risque intermédiaire jusqu’à 10 M€ ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu pour sanctionner les défauts suivants :
- Incomplétude du registre des traitements de l’entité
- Non présence de la clause RGPD dans les nouveaux contrats de sous-traitant
- Non formalisation de l’actualisation des analyses d’impact sur la vie privée (DPIA)
- Manquement aux missions assignées au DPO
Enfin, la démonstration de la conformité vis-à-vis de la réglementation∗ nécessite la formalisation de nombreux livrables qui se substituent aux demandes d’autorisation préalables auprès de la CNIL, formalité qui prévalait avant le 25 mai.
Le schéma ci-dessous présente une synthèse de l’ensemble des enjeux de la réglementation RGPD
Une perception assez répandue est que ce règlement nécessite des évolutions significatives dans le traitement des données personnelles ainsi que dans la gestion des droits des personnes. Il est toutefois important de rappeler que pour les pays disposant déjà d’une réglementation importante pour la protection de la vie privée, comme la France, de nombreuses obligations existaient avant l’entrée en application du RGPD.
Le tableau suivant présente une synthèse des exigences de la réglementation avant et après la date d’application du règlement en France.
¹. Il est parfois également désigné par son acronyme anglais : GDPR pour General Data Protection Regulation
². Parfois également désigné par son acronyme anglais : DPO Data Protection Officer
³. DCP : données à caractère personnel
∗. Correspond au principe d’« accountability »
[7 ]Pour la prospection ou les traitements relatifs à l’exécution d’une mission d’intérêt public ou fondés sur les intérêts légitimes du responsable de traitement.
[8]Si cette décision produit des effets juridiques la concernant ou l’affectant, et sauf si cette décision est nécessaire à la conclusion ou l’exécution d’un contrat.