Bilan RGPD, 18 mois après son entrée en application

Notez que la linéarité de ce qui suit ne reflète pas obligatoirement la réalité, puisque de nombreuses tâches ont été réalisées en parallèle, sur des périodes plus ou moins longues, et certaines tâches restent d’actualité.

La première des tâches, réalisée en 2017, fut l’étude approfondie du RGPD (et documents afférents de la CNIL, les lignes directrices, etc.), ce qui a pris plusieurs mois (en délai, mais pas en charge).

Puisque l’étude initiale du RGPD a été réalisée par une seule personne (votre serviteur, vous l’avez compris), nous avons jugé opportun de la faire réviser, environ un an après, par un œil neuf et externe (en l’occurrence notre efficace stagiaire juridique, que je salue ici ;o). En effet, il est toujours mutuellement bénéfique de confronter sa vision avec celles d’autres personnes qui n’ont pas la même sensibilité que soi-même en fonction des thèmes (législatif, sécurité, technique, etc.). Et cela a été une très bonne expérience ! Cela nous a confirmé que notre vision était correcte. Ces échanges nous ont également permis de préciser et creuser certains sujets spécifiques ou à la marge, ainsi qu’actualiser les informations grâce à la veille sur les recommandations et conseils les plus récents (de la CNIL entre autres).

Dès 2017, après l’étude initiale du RGPD, la tâche suivante a été de mettre en place un comité de pilotage et un suivi des actions qui a permis (et permet encore) d’identifier, prioriser et contrôler régulièrement l’avancement des actions. Bien entendu, les tâches les plus importantes et/ou critiques vis-à-vis du RGPD et du domaine d’activité d’ERDIL, ont été traitées en priorité.

Un point à souligner : l’implication de la Direction était obligatoire. Elle a été effective, ce qui est indispensable pour bien montrer à toutes les parties prenantes (collaborateurs, clients, fournisseurs…) l’importance que ce chantier revêtait (et revêt toujours) pour l’entreprise.

Le comité s’est réuni toutes les semaines au début, puis au bout de quelques mois, la fréquence a pu baisser (1 fois toutes les 2-3 semaines), ce qui laissait le temps à chacun de réaliser ses actions. Au départ la charge de travail était importante mais elle a rapidement diminué. Plus précisément, ce n’est pas tant le nombre d’actions qui a diminué pour le moment, mais c’est surtout la criticité et la charge des nouvelles actions qui sont plus faibles.

Les tâches les plus critiques ont bien entendu été priorisées, et se poursuivent toujours si nécessaire : il y a des activités par nature récurrentes, telles que la formation et la sensibilisation des équipes, ou la cartographie pour les nouveaux projets.

Voici notre ressenti concernant les principales tâches :

• Cartographie de l’existant (les fichiers, les traitements, les flux, etc.), identification et/ou formalisation des typologies de données personnelles, des finalités, des durées de conservation, des responsables (côté ERDIL pour les traitements purement internes, côté clients pour les projets), mesures de sécurité, etc. Ceci n’est pas le plus compliqué à réaliser dans le domaine d’activité d’ERDIL, et parce qu’une partie des informations étaient déjà tracées bien avant le RGPD. Par contre, la cartographie « RGPD » doit être actualisée et vérifiée avec chaque nouveau projet client, c’est donc une tâche récurrente. Cette cartographie a d’ailleurs grandement simplifié la production des registres (au sens RGPD).
• Analyses des risques (PIA), à faire pour chaque catégorie de traitement (en effet, certains traitements similaires partagent les mêmes risques). Nous avons utilisé l’outil fourni par la CNIL, même si nous ne l’avons pas trouvé très pratique à utiliser (notez qu’il a évolué depuis notre première expérience). Nos principales observations sont que la version utilisée de l’outil de PIA ne donnait pas de vision globale du questionnaire, l’interface graphique n’était pas très ergonomique, et la manière de réviser un PIA (après la première version) n’était pas intuitive. Ceci dit, cet outil a au moins le mérite d’exister et d’assurer que rien de crucial n’avait été omis (notamment niveau sécurisation).
• Formations et sensibilisations : la formation RGPD a d’abord été générale (pour l’ensemble de la société, sans aucune exception), et dorénavant systématique (pour tous les nouveaux collaborateurs). La sensibilisation est une tâche par nature récurrente, les deux médias les plus pertinents sont les réunions d’entreprise et la messagerie d’entreprise (courriel et instantanée) : ce sont les moyens les plus conviviaux (car moins formels qu’une formation) pour informer / sensibiliser / échanger régulièrement sur le sujet. Les sujets sont variés, en voici un aperçu : les dernières fuites de données parues dans la presse, les mises à jour des procédures internes, les bonnes pratiques, les actualités, mises en demeures ou condamnations, issues de la CNIL, le MooC « Atelier RGPD » de la CNIL, les nouveautés sur la sécurité, les attaques/failles d’actualité, etc.
• Définition des procédures RGPD. Le fait qu’ERDIL disposait déjà d’une formalisation effective de ses procédures d’entreprise a évidemment été un gain de temps considérable. Leur mise à jour (et la définition de quelques nouvelles) a nécessité une bonne connaissance de l’ensemble des procédures et directives de sécurité d’entreprise d’une part, et des obligations du RGPD et contraintes organisationnelles d’autre part. L’objectif était évidemment d’obtenir des procédures conformes aux contraintes (RGPD, sécurité), tout en réduisant au maximum les impacts et la surcharge pour le personnel d’ERDIL. Concilier les deux n’est pas toujours aisé, c’est pour cela que les procédures évoluent, et évolueront encore, afin de les adapter et les améliorer.

La définition (formalisation) des procédures ne suffit évidemment pas, il faut ensuite les mettre en pratique. Cela peut entraîner des modifications de la configuration de certains logiciels, de certains modèles de documents, ou encore de certaines habitudes. Voici quatre exemples concrets, dans quatre domaines différents :

• Matomo, ex-Piwik (outil de statistiques des visites sur les sites et applications web ERDIL) : en plus de l’anonymisation des IP, il fallait anonymiser les identifiants utilisateurs (login) des services ERDIL et définir une purge mensuelle des logs et des rapports. Ceci a été facilité par le fait que le logiciel s’est lui-même mis en conformité en ajoutant certaines de ces fonctionnalités.
• Purge des données (contenant des données personnelles). ERDIL disposait déjà de mécanismes de purges semi-automatiques (bases de données clients, dossiers RH, logs, comptes utilisateurs, etc.), ceux-ci ont été étendus et/ou mis en conformité avec les durées de conservation définies. La prochaine étape sera de chercher comment automatiser complètement ces purges.
• Modèles de Contrat d’Interface Technique (CIT), il s’agit d’un document permettant de contractualiser chaque flux de données (à un niveau technique détaillé) des clients vers ERDIL. Certaines informations complémentaires sont désormais obligatoires (responsable du traitement, DPO du client et du partenaire – s’il y en a un -, et identification formelle des éventuels champs contenant des données personnelles).
• La procédure de traitement d’une candidature (recrutement) a été améliorée pour s’assurer de respecter le RGPD (les droits des candidats, durée de conservation, sécurisation des dossiers candidats, etc.).

Tel un iceberg, seule une petite partie du travail de mise en conformité RGPD est « visible » d’un point de vue externe à la société. Par exemple, la mise à jour des mentions légales, les clauses des contrats entre les entreprises (clients, fournisseurs, partenaires, etc.) ou encore l’information et le consentement des personnes :

• Les mentions légales et les formulaires web (comme le formulaire de contact ERDIL) ont été simples à mettre en place (en mode opt-in bien sûr).
• Les clauses de contrats sont plus problématiques : si cela a été relativement facile pour les nouveaux contrats (une fois la clause rédigée), cela est plus complexe/long à faire pour les contrats existants (qui peuvent être à l’initiative d’ERDIL, ou signés par ERDIL, à l’initiative d’un client ou partenaire, selon les cas). Il faut soit produire un avenant et en obtenir la signature, soit réclamer la mise à jour du contrat externe. Comme ERDIL, la plupart des sociétés n’ont pas attendu pour le faire dans leurs propres contrats, ce qui est accessoirement un indicateur du niveau de « maturité RGPD ».
• En complément, afin de s’assurer que tous nos correspondants (clients, fournisseurs, mais aussi candidats recrutements, services externes, etc.) soient toujours un minimum informés de leurs droits, nous avons fait le choix (en plus d’autres mesures) d’insérer une courte note d’information sur les droits des personnes, et l’adresse du DPO, dans la signature courriel de chaque ERDILien(ne) : c’était une action simple à mettre en place et complémentaire des autres mes

Il y a également deux nouveautés importantes depuis l’entrée en vigueur du RGPD : la réception de demandes d’exercice des droits et les questionnaires RGPD (et sécurité) plus fréquents / plus complets de la part de nos clients.

• Les demandes d’exercice des droits (que nous avions anticipées) sont encore peu nombreuses. Elle relèvent de deux types :
  • Demandes directes des personnes (nos prospects généralement), essentiellement des demandes de suppression. La procédure interne, et la cartographie (voir plus haut) permet de rapidement identifier de quel fichier il s’agit, ainsi que les responsables de ces fichiers, afin de traiter rapidement la demande.
  • Demandes indirectes, transmises par nos clients : il faut distinguer les demandes de consultation, de portabilité ou d’annulation du consentement (qui sont du ressort du responsable du traitement disposant de la totalité des données : le client d’ERDIL), et les demandes de suppression et modification, qui doivent être réalisées par le client et ses sous-traitants (dont notre société). Toutefois, la nature du métier d’ERDIL réduit les actions possibles à la suppression des avis indiqués (évidemment nos clients doivent fournir l’identifiant unique de l’avis à supprimer, à condition que cet avis contienne les données en question). La modification quant à elle consiste simplement en une suppression (côté client et côté ERDIL) puis une re-livraison à ERDIL des données à jour (rôle du client). Afin de limiter ces impacts (autant pour le client que pour nous), et puisque nous n’avons nul besoin de données personnelles pour nos analyses, nous préconisons systématiquement à nos clients de limiter l’envoi de données personnelles au strict nécessaire (pour l’exploitation des résultats d’analyses).
• Les questionnaires RGPD / sécurité : force est de constater que le nombre de questionnaires envoyés par les clients a fortement augmenté, en fréquence et en nombre de questions, et c’est bien légitime. Parfois ils se limitent à des questions axées exclusivement sur le RGPD, parfois ce sont des questionnaires de sécurité revisités (« RGPDisés »). Par contre, ce que nous n’avions pas anticipé, c’est qu’ils entrainent obligatoirement une charge supplémentaire, mais c’est surtout parce qu’il n’y a pas d’uniformisation, ou de norme officielle, pour ce type de questionnaire, et c’est bien dommage.

Ainsi, les principes majeurs et droits qu’impliquent le RGPD sont en place chez ERDIL. Le DPO a été désigné (vous pouvez le vérifier ;o). Il est évident qu’il restera toujours du travail : les tâches récurrentes bien sûr, et certaines actions de moindre priorité, la veille sur le sujet… C’est pour cette raison que nous devons maintenir l’effort et la vigilance de chacun au sein de l’entreprise (et former systématiquement les nouveaux collaborateurs), dans l’objectif de toujours mieux respecter les données personnelles.