RGPD : où en êtes-vous ?

Le RGPD est entré en vigueur le 25 mai 2018. Un an après, le 30 mai 2019, un ultime décret d’application a été publié au JO pour compléter les dispositions relatives aux contrôles, aux mises en demeure et aux sanctions pouvant être prononcées par la CNIL en cas de manquement.

Aujourd’hui, l’ensemble des organismes (privé et public) s’interroge sur leur niveau d’exposition au risque de non-conformité.

Quels sont les niveaux de maturité de mise en conformité au RGPD ?

La mise en conformité au RGPD peut s’appréhender selon trois degrés de maturité :

• la mise en place du dispositif de base,
• la sécurisation des données,
• le dispositif d’audit et de contrôle des processus mis en œuvre.

A ce jour, bien que majoritairement déployé, le dispositif de base (registre du traitement, nomination d’un DPO, sensibilisation des collaborateurs, recueil des consentements, etc..), ne suffit pas à garantir une couverture suffisante pour se prémunir contre les actes de malveillance tels que le vol ou le détournement de finalité des données.

C’est pourquoi le régulateur demande aux organisations de remplir les exigences menant au niveau de maturité 2, afin d’être conforme notamment aux articles 5 et 25 du règlement RGPD, à savoir la mise en place d’un dispositif de sécurisation/protection des données.

Parallèlement, outre l’augmentation de la fréquence des amendes pour non-conformité adressées par le régulateur ; l’épisode Desjardins a suscité l’inquiétude des organismes financiers et mis en exergue l’importance de disposer d’une politique robuste de sécurisation des donnés.

Le sujet est donc pris au sérieux par les entreprises. Néanmoins, il s’avère que la mise sous contrôle des enjeux réglementaires et sécuritaires est complexe à plusieurs niveaux.

Tout d’abord, la sécurisation des données n’est pas qu’un sujet réglementaire pris en charge par le DPO, il peut être aussi adressé au sein d’autres fonctions supports tels que la Sécurité SI ou la Direction Data. Par conséquent, il subsiste un flou quant à la gouvernance des projets RGPD ainsi que sur les rôles et responsabilités des parties prenantes.

Ensuite, la complexité technique provient du caractère diffus des données à caractère personnel dans les SI et de la difficulté de maintenir à jour les modèles de gestion des habilitations.

La dernière difficulté concerne l’adhésion des métiers à cette problématique réglementaire, qu’ils peuvent percevoir comme un frein qui complique leurs activités quotidiennes (modélisation, ciblages des données,etc.).

Comment faire pour se prémunir du risque de non-conformité au RGPD ?

Dans ce contexte, les organisations doivent définir la bonne approche et procéder à des arbitrages cohérents entre le niveau de couverture du risque et la facilité d’implémentation des solutions de sécurisation de la donnée.

L’approche par les risques

Victor Saint-Cricq, Partner au sein du cabinet Palmer Consulting fait la recommandation suivante : « Il est nécessaire que les organisations adoptent une approche par les risques consistant notamment à prioriser le traitement des données personnelles en fonction de leur niveau d’exposition et d’identification. Parallèlement, il est essentiel de proposer des solutions de sécurisation différentes en fonction du cycle de la donnée (entrée en relation, fin de relation, fin de conservation) en prenant en compte les usages métiers et régaliens ». Cette approche pragmatique permettrait de disposer d’un premier socle de sécurisation répondant aux exigences du régulateur et permettant de se prémunir de la fuite de données.

Sensibilisées depuis plusieurs années aux problématiques réglementaires et sécuritaires, les entreprises ont encore aujourd’hui des efforts substantiels à fournir afin d’atteindre un niveau de conformité permettant de se prémunir contre les sanctions financières.

Rédigé par Benjamin Poeymary