RGPD : Poser les bases de la mise en conformité avant Mai 2018.


Les experts interrogés par la rédaction vous guident pour les premières phases à conduire en vue de la conformité avec le règlement européen sur les données personnelles : désignation d’un responsable de projet et cartographie des traitement des données. Article paru dans L’Informaticien n°160.

L ’échéance approche à grand pas. Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) entrera en vigueur. À cette date, les entreprises et administrations de l’Union Européenne devront s’être mises en conformité avec ce nouveau texte, destiné à renforcer et uniformiser la protection des données à caractère personnel sur le Vieux Continent. Mais par où commencer ? Avant même de se lancer dans les opérations de mise en conformité, d’importants préparatifs s’avèrent nécessaires.

RGPD & Sécurité : Au-delà des mesures techniques, une nouvelle culture de la donnée personnelle

La sécurité fait partie intégrante du Règlement général sur la protection des données (RGPD) et constitue même un socle sur lequel il faut s’appuyer. Pour simplifier les choses, le texte fait même mention de techniques explicitement dénommées, tel le chiffrement, mais aussi l’anonymisation et la pseudonymisation. En revanche, comme souvent sur ce sujet, il est aussi et surtout question de gouvernance et de processus, plutôt que de technique pure. Article paru dans L’Informaticien n°161.

Si vous lisez attentivement le texte du Règlement général sur la protection des données (RGPD), vous vous rendrez compte que la sécurité est omniprésente, souvent en trame de fond. Il est question de protection des données personnelles bien entendu, mais aussi de réaction, de savoir gérer une crise et y réagir convenablement, contenir une fuite de données, etc.

Rappelons à toutes fins utiles que si une fuite de données concerne dix personnes, il faudra les contacter pour les prévenir des risques encourus. Si le périmètre porte sur un million de personnes, même topo !

C’est pourquoi tous ces sujets mis bout à bout constituent le socle sécuritaire du texte et c’est bien là la difficulté première : savoir analyser et lire ce que demande précisément le règlement qui, rappelons-le, entrera en vigueur en mai 2018.

RGPD : la Cnil s’exprime sur le projet de loi d’adaptation

Il n’est pas publié mais le gendarme des données personnelles a déjà rendu son avis. Le projet de loi d’adaptation du RGPD en droit français satisfait globalement la Cnil, qui exprime toutefois quelques inquiétudes, notamment en termes de calendrier et de lisibilité.

Le RGDP représente un changement de paradigme aux yeux de la Cnil : « alors que la loi de 1978 reposait en grande partie sur une logique de formalités préalables (déclaration, autorisation, etc.), le Règlement repose sur une logique de conformité continue, tout au long du cycle de vie de la donnée, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur ». Ce qui peut être compris comme une difficulté supplémentaire pour les entreprises qui devront se mettre en conformité, d’autant que les régulateurs se verront accorder des pouvoirs de contrôle et de sanctions renforcés.

Mais encore faudra-t-il que le gouvernement et le parlement traduisent ce règlement en droit français. C’est juste le sens de ce « projet de loi relatif à la protection des données personnelles » présenté en Conseil des Ministres et sur lequel la Cnil publie aujourd’hui son avis. Le projet législatif n’a pour sa part pas encore été publié, mais le texte de la délibération livre des éléments sur son contenu, nous y reviendrons dans un article ultérieur.

Un bon point

La Cnil note que le projet de loi remplit « globalement » sa mission, à savoir appliquer en droit français les dispositions du RGPD en modifiant notamment certains articles de la loi Informatique et Libertés du 6 janvier 1978. Elle applaudit également « la prise en compte de ses observations », le RGPD laissant une certaine marge de manœuvre sur certains points. Ainsi l’étendue des pouvoirs de contrôle de la Cnil, ses possibilités d’opérer conjointement avec les autres régulateurs européens, le droit à l’oubli spécifique aux mineurs ou encore la clarification des conditions de traitement des données biométriques.

Par contre, notre gendarme des données personnelles aurait apprécié que d’autres de ses propositions soient retenues sur le terrain des algorithmes ou encore sur l’adaptation des procédures pour répondre à l’augmentation de son activité dans le cadre du RGPD. Mais en dehors des dispositions précises du projet de loi, la Cnil s’inquiète sur le texte dans sa globalité. Celui-ci présente en effet un « défaut de lisibilité de l’état du droit ».

Besoin urgent d’ordonnance

La première complexité est inhérente au texte européen. Ou plutôt aux textes : on l’oublie souvent mais le cadre européen est constitué du fameux règlement, mais aussi d’une directive. On a donc un premier texte « qui ne nécessite formellement aucune mesure de transposition en droit interne » et un autre qui doit être transposé. « Cette combinaison d’un Règlement et de textes nationaux remplacera le corpus unique que constitue aujourd’hui la loi de 1978 » signale la Cnil.

Et le projet de loi vient aggraver cette complexité, puisque la loi de 1978 n’est modifiée qu’a minima : « le Gouvernement a fait le choix de n’opérer que les modifications strictement indispensables ». La réécriture d’ensemble de la loi Informatique et Libertés se fera par ordonnance, renvoyée aux calendes grecques. Il faudra donc que le citoyen ou l’entreprise soucieuse consulte le règlement européen, la loi modifiée et d’autres éventuelles dispositions réglementaires, en une future ordonnance.

Pire encore que la difficulté de trouver l’information, le risque de tomber sur une information fausse. Certaines dispositions de la loi de 1978 restent inchangées alors qu’elles ne seront dans les faits plus applicables. « La loi du 6 janvier 1978 ne donnera pas de grille de lecture permettant aux citoyens et aux responsables de traitement de comprendre les droits et obligations différenciés qui existeront demain » écrit la Cnil, appelant à une adoption rapide de l’ordonnance.

Un peu short sur les deadlines

Ce problème de lisibilité est imbriqué avec le calendrier choisi par le gouvernement. Trop tardif selon le régulateur. La Cnil pointe « un risque réel de non-respect des délais de mise en œuvre du paquet européen ». Ce qui aura des conséquences juridiques, évidemment, mais aussi opérationnelles et symboliques, la crédibilité de la France en prenant un coup au passage.

Le RGPD doit être appliqué à partir du 25 mai 2018 (le 6 mai pour la directive). Or nous sommes mi-décembre et le texte vient tout juste d’être présenté en Conseil des Ministres. Reste encore à examiner, amender et adopter le texte, publier la loi au JORF mais aussi concocter et publier les décrets d’applications et la modification du règlement intérieur de la Cnil. Il ne va pas falloir chômer cet hiver.

La Cnil alerte sur des arnaques au RGPD

Mai arrive à grands pas et certains veulent profiter de la course à la mise en conformité. Selon la Cnil, des entreprises, surtout des PME, sont victimes d’arnaques, d’appels téléphoniques de personnes se réclamant de la Cnil et proposant des offres de mise en conformité.

A l’approche de la date d’entrée en vigueur du RGPD, les entreprises s’élancent vers la mise en conformité. Sans quoi, à compter de mai prochain, les sociétés qui ne sont pas conformes aux dispositions du règlement risquent de se voir mises à l’amende par la Cnil. Et certaines personnes peu scrupuleuses comptent bien profiter de la méconnaissance du sujet pour en profiter.

La Cnil avertit ainsi sur Twitter et sur son site Web que « des entreprises, en particulier des PME, artisans et commerçants, reçoivent actuellement des appels téléphoniques pour une « mise en conformité » avec le règlement européen sur la protection des données personnelles (dit « RGPD ») ». Or il s’agit, selon l’autorité, d’arnaques.

Le gendarme des données personnelles explique que ces « entreprises peu scrupuleuses  vendent une prestation « clé en main » qui vous garantirait la conformité de votre entreprise au #RGPD. Leur technique : insister sur les sanctions financières encourues ET se présenter comme «labellisé», «mandaté» ou «recommandé» par la Cnil ». Or la Cnil ne mandate ni ne recommande personne.

Les portes ouvertes pour une bonne vieille arnaque au président

« Ces messages peuvent avoir pour but de vous faire appeler un numéro de téléphone surtaxé, de vous faire signer un engagement frauduleux pour une « mise en conformité Informatique et Libertés (ou RGPD) » ou de collecter des informations sur votre organisation pour préparer une escroquerie ou une attaque informatique » prévient le régulateur.

La Cnil explique se tenir à disposition via son standard téléphonique pour répondre aux inquiétudes des entreprises ainsi sollicitées. En outre, elle proposera « prochainement » une information adaptée aux petites et moyennes entreprises et rappelle avoir déjà publié des ressources au sujet du RGPD et de la mise en conformité.

Le dossier de la CNIL: https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

Source L’Informaticien.