RGPD : une opportunité pour rebattre les cartes

Alors que la collecte et l'exploitation des données numériques se généralisent dans tous les secteurs, les entreprises se voient contraintes à porter un oeil neuf sur les traitements mis en oeuvre dans ce domaine. Notamment depuis le 25 mai 2018, date de l'entrée en vigueur du RGPD. Selon les chiffres révélés par le syndicat professionnel Syntec Numérique fin 2017, environ 958 millions d'euros sont dépensés par les entreprises au cours de cette seule année 2018 en logiciels et services divers, afin de se mettre en conformité et d'assurer la protection des données personnelles. L'an prochain, ce montant global sera encore plus élevé, en tutoyant la barre des 980 millions d'euros. Pas étonnant lorsqu'on sait qu'il y a moins d'un an, 42 % des sociétés françaises disaient tout juste prendre conscience du sujet.

Ce basculement change la donne et modifie durablement la relation aux achats et aux processus en place. Il s'agit d'un changement de fond et de remises en cause de nombreuses pratiques. " Au sein des directions achats, on pose de plus en plus la question de la sécurité et de la préservation de la donnée. Les prises de conscience autour de cette notion ne viennent pas seulement de l'évolution imposée par le RGPD. Elle provient également du constat de l'exploitation à outrance des données personnelles sur Internet, du marché que représente aujourd'hui la donnée, ainsi que du travail d'évangélisation réalisé par l'Anssi ", remarque Raphaël Basset, VP Marketing & Business Development chez Ercom, société spécialisée dans la sécurisation des communications.

Un cadre relationnel renouvelé

" Notre travail sur ce plan consiste à vérifier auprès des partenaires qu'ils sont conformes à l'état de l'art en termes de sécurité. Dans ces procédures, nous avons intégré une conformité RGPD qui permet de transférer également la responsabilité portant sur les données aux sous-traitants concernés. Pour les clients finaux, nous avons une offre prévue qui leur permet d'évaluer le niveau de sécurité et de conformité de leurs partenaires. Un des aspects particulièrement intéressant pour les acheteurs est le fait que cette prestation est gratuite pour le client final ", explique Cédric Messeguer, directeur adjoint de Digital Security, une entité d'Econocom, spécialiste de la transformation digitale.

Cette position consiste à recommander à son fournisseur une grille de critères à évaluer et respecter, pour déterminer s'il souhaite valider le niveau de sécurité et de conformité RGPD de ses partenaires. " De nombreux grands comptes adhèrent à ce principe car leur niveau de conformité dépend de celui des partenaires. Il y a un énorme travail mené actuellement par les services achats sur ce transfert de responsabilité ", poursuit-il. Il s'agit donc de revoir l'ensemble des contrats qui les lient aux sous-traitants pour y intégrer ces nouvelles attributions. Si le contrat ne mentionne rien, le donneur d'ordre conserve seul la responsabilité. La question des informations qu'on peut avoir laissé filtrer sans même le remarquer est essentielle. Pour Cédric Messeguer, " l'un des avantages du RGPD est qu'il évoque un sujet qui n'a pas été traité jusque-là, qui est la classification des données. Les informations présentes dans l'entreprise ne sont pas répertoriées comme étant personnelles ou non, sensibles ou non, confidentielles ou non. " Les objets connectés comme des équipements de santé, des équipements domotiques, des capteurs sont bien sûr aussi concernés par ces problématiques.

Une cartographie des données complexe

La mise en conformité avec le RGPD ne coule pas de source. " Dans des structures qui ne font pas forcément un travail de veille ou qui évoluent dans des domaines d'activité moins régulés, les processus en place sont moins préparés. Ces questions peuvent alors être plus difficiles à aborder ", estime Elisabeth Fabre, directeur juridique chez Natixis Assurances Métiers, Assurances de personnes. " Au sein de notre groupe, chaque entité travaille sur le RGPD depuis environ un an. En tant que structure bancaire, nous sommes très sensibilisés à ces questions. Nous avions déjà des dispositifs en place. Pour autant, les projets prennent du temps. Il y a une vraie difficulté à cartographier tous les aspects. Il faut analyser, traitement par traitement, toutes les informations collectées, leur finalité, leurs fondements juridiques. "

Le secteur de la santé fait lui aussi partie des domaines historiquement familiers avec les précautions à prendre avec les données personnelles. " La mise en oeuvre des premières actions au sein de notre organisation date de septembre 2017. Il s'agit d'un vrai projet d'entreprise ", souligne Virginie Baudin-Guillemin, directrice des risques au sein du groupe Henner, spécialisé dans l'assurance santé collective. " Nous avons affaire à beaucoup de questions, de la part des clients bien sûr, mais aussi des partenaires. Pour répondre à toutes les interrogations, nous avons décidé de mettre en ligne ce printemps 2018 un site dédié à la conformité. "

Suivre une ligne de conduite

Dans un cahier technique, l'AMRAE (Association pour le management des risques et des assurances de l'entreprise) souligne l'importance " d'une gestion spécifique des sous-traitants nécessaire dès lors que ces derniers traitent des données personnelles pour le compte de l'organisation, car ils deviennent alors responsables de traitement. " Le contrat avec le sous-traitant est le principal levier pour définir et suivre les engagements du sous-traitant relatifs au RGPD. L'article 28 du texte officiel explique que le responsable de traitement doit faire " uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits de la personne concernée . "

Le sous-traitant est lié au responsable par un contrat définissant " l'objet, la nature, la finalité et la durée du traitement, le type de données et les catégories de personnes concernées, les obligations et les droits du responsable de traitement. " En d'autres mots, le sous-traitant et le responsable de traitement sont alors co-responsables. " Au niveau des fournisseurs, la problématique est de vérifier qu'ils s'imposent les mêmes obligations que le donneur d'ordre. Nous préparons des clauses de contrat, qui nous obligent de nous rapprocher des partenaires un à un ", indique Elisabeth Fabre. Ces derniers se montrent très impliqués. " Ils proposent parfois d'eux-mêmes des clauses. Il y aura forcément des négociations dans les mois à venir. À nous de voir ce qui est acceptable pour nous. Les différents points peuvent par exemple concerner la sécurité des systèmes. Il faut vérifier et évaluer les risques d'intrusion. "

Lister les pratiques et procédures qui existent déjà et les documenter est une première étape indispensable. Il importe d'être en mesure de montrer à tout instant à la CNIL ce qui a été fait au fil du temps, étape par étape, même si l'ensemble des actions n'est pas terminé pour être pleinement en conformité. Bon nombre d'experts s'accordent à reconnaître que montrer sa bonne volonté dans les démarches est un élément important. Pour Elisabeth Fabre, " la CNIL devrait montrer de la souplesse jusqu'à la fin de l'année 2018. D'ici fin mai, il faut surtout montrer la preuve que tous les moyens nécessaires sont mis en oeuvre pour avancer dans le bon sens, que le cadre est en place, pour dans un deuxième temps réaliser les choses concrètement. Toute action non accomplie doit donc être planifiée. "

[ZOOM] Des solutions technologiques pour accompagner le changement

Les projets visant à être en phase avec cette évolution légale constituent le fil rouge de l'année 2018. Mais montrer pattes blanches vis-à-vis de la CNIL ne forme qu'une première étape. Bon nombre d'experts s'accordent à dire qu'il ne faut pas envisager une seule, mais plusieurs solutions différentes et complémentaires pour se doter d'une politique forte de protection des données. " La réponse absolue RGPD Compliant n'existe pas. Il va falloir mettre bout à bout un certain nombre de solutions, adopter des pratiques et procédures adaptées pour se rapprocher de la meilleure configuration possible ", explique Raphaël Basset.

Par exemple, lors du déploiement d'une solution de messagerie instantanée de type WhatsApp, il importe de prévoir la possibilité de récupérer de l'information, la gestion de la portabilité, du droit à l'oubli, l'effacement qui s'y rattache, faire le nécessaire pour se prémunir de la perte de données éventuelle. " Si un collaborateur télécharge une application grand public, son employeur n'a absolument aucun regard sur l'utilisation ou non de l'application dans le monde de l'entreprise. Pour répondre à ces difficultés, nous fournissons des interfaces d'administration qui permettent d'enregistrer des utilisateurs, de les révoquer, de leur donner des droits d'utilisation, avec une logique qui fait en sorte qu'on ne récupère pas les informations dans le terminal de l'utilisateur ", souligne Raphaël Basset. Il en va de même pour les outils de partage et d'échange de documents pour lesquels il faut pouvoir s'affranchir du risque de perte. " Il n'est pas rare de voir un e-mail contenant des informations très confidentielles être acheminé par erreur à l'extérieur de l'entreprise ", constate-t-il.