Rédaction WEB : JUST DEEP CONTENT
Registre des traitements, analyse d’impact sur la vie privée (PIA), gestion des demandes d’exercice de droit : qu’apportent les outils technologiques à la Conformité RGPD ?
Alors que le RGPD (Règlement Général sur la Protection des Données) devient une norme mondiale incontournable, les entreprises sont encore loin d’avoir terminé leur mise en conformité, malgré les budgets consacrés.
Les outils technologiques dits « legaltech » ont ici un rôle majeur à jouer à chaque étape de la Conformité RGPD : traitement des données, analyse d’impact sur la vie privée (PIA), gestion des demandes d’exercice.
Outre des automatisations et gains de temps significatifs, ils permettent aux différents services impliqués de coordonner efficacement leurs actions. Explications.
3 ans après, contexte et enjeux du rgpd
Plus de 3 ans après l’entrée en application du RGPD, le temps est venu de faire le point sur les avancées en termes de protection des données personnelles et sur les nouvelles technologies permettant de gérer la conformité.
En quelques années à peine, le RGPD est devenu la norme de référence mondiale du respect de la vie privée, dans le sillage duquel tous les pays qui comptent d’un point de vue économique se sont inspirés, ou s’inspirent encore, pour élaborer leurs propres règles.
Même si les conséquences de ces nouvelles règlementations ont déjà commencé à se faire sentir sur le terrain, celles-ci ne sont encore qu’à leur début. De plus en plus d’organisations prennent conscience de l’ampleur des transformations nécessaires et des coûts associés.
Le montant cumulés des sanctions pour toute sorte de manquements liés au RGPD s’élève au mois d’août 2021 à plus d’un milliard d’euros, avec un triplement de ce montant dès juillet.
Cette accélération brutale du montant des sanctions est décorrélée du nombre de sanctions infligées qui reste constant. Ceci dénote la fin d’une période de tolérance des autorités de protections des données européennes et l’entrée dans un nouveau mode de fonctionnement, axé avant tout sur la répression.
Source : GDPR Enforcement Tracker – list of GPDR fines
En parallèle, la conférence des Nations Unies sur le Commerce et le Développement (UNCTAD) reporte que 128 pays sur 194 ont désormais en place une législation sur les données personnelles, laissant entendre une augmentation potentiellement exponentielle de ces sanctions dans les années à venir.
les écueils de la mise en conformité RGPD des entreprises
Les entreprises françaises sont loin d’avoir achevé leur mise en conformité.
Selon une étude récente de KPMG, 39% seulement des entreprises ont déclarés avoir réalisé leur plan d’action à plus de 75%.
Les facteurs qui ralentissent la mise en conformité sont avant tout la charge de travail représentée (pour 66% des sondés) et la complexité du règlement (39%). Parmi les étapes les moins avancées figurent les analyses d’impact relatives à la protection des données (citées par 42%), la mise en place des durées de conservation (30%) ainsi que le privacy by design (21%).
Ces difficultés se présentent alors que des moyens colossaux ont été alloués par les grandes entreprises pour faire face au RGPD.
Les entreprises dépensent en moyenne 1,3 million € dans les initiatives de préparation au RGPD. En décembre 2020, les entreprises consacraient en moyenne plus de 200,000 $ par mois pour se conformer uniquement aux demandes d’exercices de droit, ce qui représente un montant intenable à dépenser sur le long-terme.
La valeur ajoutée des outils de legaltech devient alors essentielle.
impliquer les opérationnels dans les processus rgpd : l’apport indispensable des outils technologiques
Mettre en place et maintenir la conformité RGPD impose donc de mettre en place des processus outillés permettant à toutes les personnes impliquées dans la protection des données d’agir de concert.
Dans ce contexte, des outils technologiques legaltech ont émergé pour aider les entreprises à progresser plus rapidement et améliorer l’efficacité de leur conformité au RGPD, sur plusieurs axes :
un registre des traitements « augmenté »
La première étape est de constituer un état des lieux des traitements de données personnelles, sous la forme d’un registre des traitements.
L’article 30 du RGPD impose à chaque responsable du traitement de tenir un registre des activités de traitement dont il porte la responsabilité, ou qu’il met en œuvre en tant que sous-traitant. Il permet de recenser les traitements de données et de disposer d’une vue d’ensemble de ce qui est fait des données personnelles.
Un outil de registre des traitements est nécessaire pour 4 raisons :
- Le format de registre conforme à l’article 30 ne suffit pasBien que l’article 30 indique les éléments obligatoires à inclure dans le registre, le format de registre exigé ne suffit pas pour être conforme au RGPD.Comme le recommande la CNIL (Commission Nationale de l’Informatique et des Libertés), les organisations ont besoin d’un registre augmenté permettant notamment de :
- travailler sur la conformité globale des traitements,
- préciser la manière dont les droits sont gérés par traitement,
- déterminer la base légale du traitement,
- identifier les supports applicatifs du traitement,
- s’assurer de la minimisation des données en en maîtrisant les champs et non uniquement les catégories.
- Un outil de gestion du registre des traitements permet de travailler efficacement sur la conformitéLa conformité au RGPD nécessite de prouver que l’on met en œuvre les actions requises, en s’inscrivant dans une démarche globale et continue.La mise en place d’un outil de registre des traitements dédié permet notamment :
- d’historiser l’ensemble des actions réalisées sur le registre,
- d’impliquer toute l’entreprise, y compris les métiers concernés, pour démontrer les actions réalisées et la réalité du plan d’actions,
- de travailler de manière collaborative, en mode connecté,
- d’inclure facilement la conformité dans le quotidien de l’activité.
- Un outil technologique permet de piloter l’activité de conformitéLe chantier de conformité est un projet à part entière et nécessite un pilotage global. Comité RGPD, DPO (Délégué à la Protection des Données), référents, RSSI (Responsable de la Sécurité des Systèmes Informatiques), métiers, de nombreux acteurs sont impliqués dans la conformité.Un outil permet notamment :
- de définir des rôles personnalisés à chaque acteur impliqué et travailler via des systèmes de flux de travail, dits « workflow »,
- de visualiser des indicateurs de performances et de suivi de la conformité précis (KPI – Key Performance Indicator) et d’obtenir des rapports automatisés pour mettre en avant les actions de conformité en interne, auprès des clients et du régulateur,
- de définir les priorités dans les chantiers à venir : traitements sensibles, PIA (Privacy Impact Assessment), activités essentielles, mesures de sécurité …
- La technologie permet de réutiliser le travail déjà réaliséLa conformité nécessite un travail de documentation parfois redondant et chronophage. Sans outil, on ne peut pas réutiliser le travail réalisé.Un outil permet :
- d’éviter une perte sèche des informations et de pouvoir les utiliser automatiquement à un autre traitement,
- de bénéficier du fruit de la cartographie et optimiser les processus, les coûts et les moyens,
- d’identifier et de gérer les risques pour l’organisation et les risques d’incident de sécurité,
- d’éviter de multiplier les tableaux et les versions.
Les analyses de risques PIA (Privacy Impact Assessment)
La seconde étape est d’évaluer les risques associés aux traitements de données.
L’analyse des risques d’atteinte à la vie privée et de leurs conséquences potentielles en termes d’image pour l’entreprise, mais aussi la conception et l’exécution des plans d’actions de remédiation, nécessitent de s’y retrouver dans le flux constant des données personnelles.
Pour chaque événement redouté (accès illégitime à des données, modification non désirée de données et disparition de données), réaliser une analyse d’impact sur la vie privée (PIA) consiste à :
- déterminer les impacts potentiels sur la vie privée des personnes concernées s’ils survenaient,
- estimer sa gravité, notamment en fonction du caractère préjudiciable des impacts potentiels et, le cas échéant, des mesures susceptibles de les modifier,
- identifier les menaces sur les supports des données qui pourraient mener à cet événement redouté et les sources de risques qui pourraient en être à l’origine,
- estimer sa vraisemblance, notamment en fonction des vulnérabilités des supports de données, des capacités des sources de risques à les exploiter et des mesures susceptibles de les modifier.
Concrètement, la gestion des analyses d’impact est un processus continu :
- les PIA doivent être révisés régulièrement
- une bonne pratique est de la mettre à jour tous les 3 à 5 ans
- et dans tous les cas, dès lors qu’une modification intervient sur le traitement.
Sources : Dastra – le PIA : un processus itératif
La CNIL peut demander le PIA dans le cadre d’un contrôle ou de l’instruction d’une plainte.
Les avantages d’un outil de gestion des PIA sont nombreux :
- guider et réaliser les PIA selon une méthodologie unique
- les réaliser de manière collaborative
- attacher les PIA aux traitements directement dans l’outil
- personnaliser les modèles de PIA
- tracer et historiser l’ensemble des actions réalisées sur le PIA
- rendre le PIA accessible aux métiers
Source : Dastra – Exemple d’analyse de risque sur la vie privée (PIA)
Demandes d’exercices de droits : gain de temps et aide à la décision grâce aux outils technologiques
Le RGPD impose aux organisations de donner aux personnes dont elles traitent les données les moyens d’exercer effectivement leurs droits, tels que le droit d’accès, de rectification, d’opposition, d’effacement, de portabilité et de limitation du traitement.
Pour mettre en œuvre un processus efficace de gestion des demandes d’exercices de droits, les organisations ont besoin d’une vue complète de bout en bout de tous les processus et systèmes traitant des données personnelles.
Elles doivent aussi garder à l’esprit qu’il ne s’agit pas seulement d’un règlement de plus à traiter, mais une expérience complexe et potentiellement négative pour le client.
Savoir gérer cette expérience client constitue alors un atout pour l’organisation et l’opportunité de démontrer qu’elle est l’une des « meilleures de sa catégorie » dans ce domaine.
Afin de garder la confiance de leurs clients, les organisations doivent :
- mettre en œuvre des canaux appropriés pour identifier les demandes et tenir le client informé (y compris les raisons des exemptions, le cas échéant),
- gérer les détails des demandes des clients,
- rendre transparents les éléments de données pertinents et leur emplacement,
- vérifier si les données peuvent être effacées ou non,
- lorsque des tiers sont impliqués, les informer de la demande et obtenir d’eux une confirmation
- exécuter la demande de manière sécurisée
Par ailleurs, les institutions sont obligées de gérer et contrôler, pour chaque individu, la finalité et le consentement du traitement des données personnelles.
Elles doivent également être informées des autres lois liées au RGPD et des durées de conservation associées. Concernant par exemple les données des clients utilisées à des fins de prospection commerciale, le délai de conservation est de trois ans à compter de la fin de la relation commerciale, conformément aux dispositions en vigueur (notamment mais non exclusivement celles prévues par le code de commerce, le code civil et le code de la consommation).
Exemple de processus de gestion des demandes de suppression des données
Source : Banking Hub | GDPR deep dive—how to implement the ‘right to be forgotten’
Les outils technologiques permettent une gestion efficace des demandes d’exercice de droits et de respect des délais réglementaires. Ils aident notamment à :
- collecter et centraliser les demandes d’exercices de droit automatiquement, pour supprimer les temps morts et réduire le temps de prise en charge,
- documenter et comprendre de manière approfondie la finalité pour laquelle les données personnelles sont conservées,
- classer chaque élément d’information, non seulement en fonction de sa finalité, mais également en fonction de la source à partir de laquelle il a été collecté,
- mettre en place des workflows automatisés afin de permettre la validation de ces classes de données par les bonnes personnes, en rapport à la loi applicable et aux phases de conservation associées,
- mettre et à disposition des demandeurs les données requises et de manière sécurisée,
- tracer l’historique des demandes.
Planification, violations de données, consentement : orchestrer la remédiation et piloter la Conformité RGPD
Le RGPD impose aux organisations de mettre en œuvre des processus tels que la documentation des violations de données, la gestion du consentement…
Pour assurer leur efficacité à grande échelle et mobiliser de manière transverse les acteurs concernés, les organisations ont besoin de les industrialiser et de garder les preuves.
D’autant que le principe d’Accountability du RGPD impose aux organisations de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Source : Dastra – Exemple d’indicateur de pilotage, de plan d’action et de statistiques
Les apports d’un outil d’industrialisation des processus, de planification et de pilotage de la conformité RGPD sont alors significatifs. Ils permettent de :
- documenter les violations de données dès que celles-ci apparaissent et les notifications aux autorités (telle la CNIL),
- respecter les recommandations des autorités de protection des données concernant les cookies et autres traceurs
- créer des tickets, allouer des tâches, travailler en équipe sur la protection des données en mode agile
- piloter les actions réalisées via des tableaux de bord globaux de la conformité RGPD
- intégrer le suivi de la conformité dans la gouvernance existante de l’organisation et diminuer les frictions
- traçer et historiser l’ensemble des actions
- centraliser et documenter en cas de contrôle ou dans le cadre de l’instruction d’une plainte.
Cas pratique : une plateforme de gouvernance des données personnelles intégrée
Suite à une violation de données clients ayant été rendue public, une société a dû faire face à un pic de charge soudain des demandes de suppression des données et à un risque d’une procédure de la CNIL.
La société a immédiatement engagé des actions relatives à la communication de crise, telle qu’une première notification à la CNIL de la violation sous 72h et la réalisation des actions de communications vis-à-vis des personnes concernées, tout en répondant aux demandes de suppression des données dans les délais impartis.
En parallèle, les outils technologiques ont permis de rechercher les preuves techniques, d’identifier l’origine de la violation et ainsi de réévaluer le niveau de risque réel autour des systèmes concernés.
Des actions de remédiation ont pu être engagées et la documentation sur les systèmes mise à jour. Des traitements ont pu être associés avec les nouvelles mesures techniques et organisationnelles implémentées de façon à prévenir la réémergence d’une telle violation.
Source : Dastra
Le RGPD va clairement occuper les organisations pendant encore un certain temps, non seulement pour atteindre et maintenir leur conformité, mais aussi pour optimiser pleinement leurs solutions à un niveau mature et efficace.
Dans ce contexte, les outils technologiques apportent une valeur ajoutée indispensable.
Dans leur décision d’utilisation de ces outils, les entreprises devront néanmoins prendre en compte leurs coûts et avantages, mais également les possibilités en termes d’intégration et d’automatisation.
Au-delà de la seule réponse tactique au RGPD, compte tenu de la complexité de la maîtrise des données personnelles, les organisations ont intérêt à mettre en œuvre au plus tôt la feuille de route du développement futur de leur paysage informatique.
Cette approche est particulièrement valable pour la gestion du registre des traitements, du PIA et des demandes d’exercices de droit qui, à court terme, ne peuvent rester des processus manuels sans impacter considérablement les coûts de l’organisation.
Malgré les efforts et les défis, il est possible de faire du RGPD des opportunités de développement. Les organisations ont tout intérêt à s’organiser dans ce sens.
Les données sont souvent considérées comme « l’or du 21e siècle ». Par conséquent, montrer aux clients le sérieux avec lequel une institution prend le contrôle des données de ses clients sera fondamental.
Sources
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données
- Le règlement général sur la protection des données – RGPD – CNIL 23 mai 2018
- GDPR Enforcement Tracker – list of GPDR fines
- KPMG – Baromètre RGPD : 3 ans après où en êtes-vous
- IDC Data Privacy and Data Protection Survey, Décembre 2020
- Organizations Worldwide Fear – GDPR Non-Compliance Could Put Them Out of Business – Mai 2018 – Veritas
- Banking Hub | GDPR deep dive—how to implement the ‘right to be forgotten’