Le RGPD (Règlement Général pour la Protection des Données (personnelles) s’applique à l’ensemble des acteurs économiques européens ou non, traitants des informations à caractère personnel de personnes physiques résidents en Europe.
En fait la définition exacte d’une part mentionnée au Journal Officiel et d’autre-part présentée à l’article 1 du règlement Européen 2016/679, est beaucoup plus riche et porteuse de sens que le sigle RGPD : « …Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel… ».
Nous voilà donc au cœur de ce paradoxe sémantique qui recouvre des impacts forts sur l’organisation des entreprises et le fonctionnement des systèmes : Il ne s’agit pas de protéger les données mais les personnes physiques !

Le RGPD, data oriented or not ?

La réponse est clairement NON, car l’approche de mise en conformité s’articule d’abord autour des traitements. Le traitement est au cœur de l’articulation personne physique/données.
En effet, l’entreprise devra s’intéresser aux traitements récurrents et/ou automatisés réalisés sur des données à caractère personnel. A contrario, la recherche de données éparses dans les systèmes non préalablement rattachés à des personnes physiques via les traitements n’aura aucun sens….
La réponse est également NON, au regard des axes de travail « exigés » par le Règlement européen. On pense notamment à l’article 30 qui décrit clairement l’obligation structurelle de tenir un registre des traitements au sein de l’entreprise et ce pour toutes les lignes métier, l’IT compris !
Et une dernière fois NON, dans la mesure où l’instruction des droits des personnes se pensera toujours et d’abord vis-à-vis des traitements à mettre en place et/ou effectifs dans l’entreprise.

Pour les déçus, un lot de consolation conceptuel néanmoins…
• La protection des données existe déjà dans les entreprises via la PSSI (Politique de sécurité du système d’information au sens global) avec les diverses normes et outils en vigueur.
• Le RGPD acte néanmoins la nécessité de mettre en œuvre un drill-down fonctionnel pour assurer l’analyse des données et/ou répondre aux demandes des personnes physiques (cf. droit à l’oubli, droit à la portabilité etc…).

RGPD, Terminons sur une confidence… »

La mise en conformité des entreprises publiques, privées ou gouvernementales au RGPD, sera encore d’actualité bien après le 25 mai 2018 puisqu’au moins 7 chantiers, d’importances variables, restent encore à mettre en œuvre :
• Le renforcement nécessaire de l’activité de « Contrôle permanent »
• La gestion convenable de la détection des violations de données à caractère personnel
• La mise en place d’une stratégie de recueil du consentement cohérente avec les bases légales pour les traitements et cohérente avec les informations préalables à la collecte des données
• La gestion des processus d’échanges d’informations avec les autorités de contrôle et de supervision
• La révision du RACI (définition, rôle et responsabilités) concernant des acteurs clés que sont ou seront le DPO (Data Protection Officer) et les Responsables des traitements dans des organisations déjà complexes dans la grande majorité des institutions financières européennes. Ces points sont parfaitement définis dans le règlement RGPD, mais une fois mis à l’épreuve du terrain, ils nécessitent une déclinaison opérationnelle avec des modalités de mise en œuvre claires et précises
• La mise en œuvre d’une démarche budgétée officielle et structurée autour d’objectifs définis qui prend du retard
• Des modalités de mise en œuvre de l’extra-territorialité qui restent encore à définir. Certains sites marchands ont par exemple interrompu leurs ventes aux utilisateurs des pays de l’UE dans l’attente d’une réglementation plus précise.

Par Stéphane Burgevin, Directeur de Projets Governance, Risk & Compliance / Legal IT Consulting

Article
Suivant