Une cartographie des données complexe

La mise en conformité avec le RGPD ne coule pas de source. " Dans des structures qui ne font pas forcément un travail de veille ou qui évoluent dans des domaines d'activité moins régulés, les processus en place sont moins préparés. Ces questions peuvent alors être plus difficiles à aborder ", estime Elisabeth Fabre, directeur juridique chez Natixis Assurances Métiers, Assurances de personnes. " Au sein de notre groupe, chaque entité travaille sur le RGPD depuis environ un an. En tant que structure bancaire, nous sommes très sensibilisés à ces questions. Nous avions déjà des dispositifs en place. Pour autant, les projets prennent du temps. Il y a une vraie difficulté à cartographier tous les aspects. Il faut analyser, traitement par traitement, toutes les informations collectées, leur finalité, leurs fondements juridiques. "

Le secteur de la santé fait lui aussi partie des domaines historiquement familiers avec les précautions à prendre avec les données personnelles. " La mise en oeuvre des premières actions au sein de notre organisation date de septembre 2017. Il s'agit d'un vrai projet d'entreprise ", souligne Virginie Baudin-Guillemin, directrice des risques au sein du groupe Henner, spécialisé dans l'assurance santé collective. " Nous avons affaire à beaucoup de questions, de la part des clients bien sûr, mais aussi des partenaires. Pour répondre à toutes les interrogations, nous avons décidé de mettre en ligne ce printemps 2018 un site dédié à la conformité. "

Suivre une ligne de conduite

Dans un cahier technique, l'AMRAE (Association pour le management des risques et des assurances de l'entreprise) souligne l'importance " d'une gestion spécifique des sous-traitants nécessaire dès lors que ces derniers traitent des données personnelles pour le compte de l'organisation, car ils deviennent alors responsables de traitement. " Le contrat avec le sous-traitant est le principal levier pour définir et suivre les engagements du sous-traitant relatifs au RGPD. L'article 28 du texte officiel explique que le responsable de traitement doit faire " uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits de la personne concernée . "

Le sous-traitant est lié au responsable par un contrat définissant " l'objet, la nature, la finalité et la durée du traitement, le type de données et les catégories de personnes concernées, les obligations et les droits du responsable de traitement. " En d'autres mots, le sous-traitant et le responsable de traitement sont alors co-responsables. " Au niveau des fournisseurs, la problématique est de vérifier qu'ils s'imposent les mêmes obligations que le donneur d'ordre. Nous préparons des clauses de contrat, qui nous obligent de nous rapprocher des partenaires un à un ", indique Elisabeth Fabre. Ces derniers se montrent très impliqués. " Ils proposent parfois d'eux-mêmes des clauses. Il y aura forcément des négociations dans les mois à venir. À nous de voir ce qui est acceptable pour nous. Les différents points peuvent par exemple concerner la sécurité des systèmes. Il faut vérifier et évaluer les risques d'intrusion. "

Lister les pratiques et procédures qui existent déjà et les documenter est une première étape indispensable. Il importe d'être en mesure de montrer à tout instant à la CNIL ce qui a été fait au fil du temps, étape par étape, même si l'ensemble des actions n'est pas terminé pour être pleinement en conformité. Bon nombre d'experts s'accordent à reconnaître que montrer sa bonne volonté dans les démarches est un élément important. Pour Elisabeth Fabre, " la CNIL devrait montrer de la souplesse jusqu'à la fin de l'année 2018. D'ici fin mai, il faut surtout montrer la preuve que tous les moyens nécessaires sont mis en oeuvre pour avancer dans le bon sens, que le cadre est en place, pour dans un deuxième temps réaliser les choses concrètement. Toute action non accomplie doit donc être planifiée. "