RGPD (4/4) : guide de mise en œuvre et bonnes pratiques

Catégorie(s) : Sécurité - RGPD

ERDIL vous propose une série de quatre articles afin de vous présenter le RGPD (Règlement Général sur la Protection des Données). Voici le dernier, proposant un guide général de mise en œuvre et de bonnes pratiques, il fait suite à l’article Seconde plongée au cœur du RGPD. Vous pouvez également revenir au premier article de la série.

→ Les points que nous allons voir à présent ne sont pas décrits dans le RGPD lui-même, ce qui est normal puisque le RGPD est un texte de loi, et en tant que tel il décrit le quoi, et non le comment. Inutile de chercher : il ne contient pas de démarches à suivre, ni conseils pratiques, pour sa propre mise en place.

Plan d’actions

Voici une liste des principales étapes pour mettre votre entreprise en conformité avec le RPGD. Certaines étapes sont sans doute déjà réalisées dans votre organisation, mais elles peuvent être à actualiser, dans le cadre du chantier RGPD.

Note : cette partie est inspirée de l’article « Se préparer en 6 étapes » de la CNIL, et complétée avec les retours d’expérience d’ERDIL.

  1. Étudier le RGPD (et les lignes directrices, cf. le premier article de notre série : Généralités et notions principales) : en le lisant (ce qui est vivement conseillé !) puis éventuellement en complétant cette lecture par des formations, des livres blancs, ou des articles (comme celui-ci ?) ;
  2. Désigner un comité de pilotage et/ou un chef de chantier RGPD : la mise en conformité peut (doit) être gérée comme n’importe quel projet dans votre entreprise : assigner des ressources (dégager du temps, des collaborateurs, un budget), définir les priorités (en fonction du RGPD, mais aussi de vos contraintes d’entreprise) et les actions à réaliser, arbitrer les choix, planifier, etc. Si vous avez déjà un DPD (Délégué à la Protection des Données personnelles), il sera bien évidemment membre de ce comité de pilotage ;
  3. Planifier un suivi de l’avancement régulier : si vous voulez pouvoir avancer efficacement, il faut prévoir un suivi hebdomadaire ou au moins bimensuel ;
  4. Communiquer à l’ensemble de la société sur le chantier en cours, afin que les collaborateurs qui sont directement concernés puissent se manifester et participer en apportant leurs informations, remarques et contraintes. Cela vous permettra accessoirement d’identifier les acteurs clefs (responsables des traitements, service de sécurité à consulter, etc.) ;
  5. Cartographier vos fichiers et traitements : c’est l’une des étapes les plus importantes. Potentiellement complexe, ne la négligez pas : elle vous permettra d’optimiser vos tâches ultérieures. Cela consiste à identifier toutes les collectes, tous les fichiers et tous les traitements (au sens RGPD) concernant des données personnelles ;
  6. Identifier et réduire les risques : c’est obligatoire (RGPD) et pour être effectué correctement, cela nécessite que l’identification des traitements (et leurs finalités) ait été réalisée. Cette analyse des risques est spécifique aux problématiques des données personnelles, elle pourra englober certains risques précédemment identifiés dans l’entreprise (notamment les risques en rapport avec la sécurité) ;
  7. Affecter et prioriser les tâches : chaque tâche à mener dans le cadre de la mise en conformité avec le RGPD doit être affectée à des collaborateurs compétents, avec les ressources nécessaires, qui rendront compte de l’avancement. L’une des tâches sera bien entendu de désigner ou recruter un (ou plusieurs) DPD pour l’entreprise, si ce n’est pas déjà le cas ;
  8. Définir, formaliser et améliorer les processus internes : dans l’ensemble des processus de votre entreprise, certains devront être amendés pour se conformer au RGPD, mais il manquera très certainement certains processus (par exemple pour l’exercice des droits de personnes) ;
  9. Sensibiliser et former l’ensemble des collaborateurs : au RGPD bien sûr, aux risques identifiés (voir plus haut) et aux changements (nouveautés, évolutions) dans l’organisation et dans les processus.

Tracer toutes vos actions RGPD

→ Un point important, à prendre en compte dès le début du chantier RGPD, et transverse à toutes les étapes : conserver des traces de toutes les tâches qui sont menées dans le cadre du RGPD. En cas de contrôle (de l’autorité de contrôle) ou d’audit (interne ou externe), cela concourra à démontrer la bonne foi de votre entreprise, et permettra d’avoir une vision globale de l’avancement, de ce qui est déjà effectué, et ce qu’il reste à faire.
La forme du suivi peut aller d’un simple tableau (réalisé avec votre tableur privilégié) à un outil spécialisé de gestion de projet (planification, suivi d’actions, etc.), selon vos habitudes et votre budget.

Le minimum étant de pouvoir, en plus de la date de création et la description de chaque action, les affecter, les planifier, indiquer leur état courant et date de résolution finale (les dates sont importantes afin d’avoir un historique). Bien sûr, un outil de gestion de projet plus complet peut vous aider à la réalisation d’autres tâches RGPD, comme la gestion des risques, une (re)planification plus précise (diagrammes de Gantt), la gestion des ressources affectées, répartir le budget, etc.

Ceci étant mis en place, passons à l’une des tâches centrales.

Tout inventorier !

Votre entreprise dispose peut-être déjà d’une cartographie précise de votre SI (ensemble des flux, fichiers – au sens RGPD -, traitements, habilitations…). Cela devrait sensiblement vous aider pour réaliser la cartographie des données personnelles (que nous nommerons simplement cartographie RGPD), en gardant à l’esprit que cette dernière :

  • Est un sous-ensemble de la cartographie du SI (qui est plus générale) ;
  • Nécessite certaines informations qui n’étaient peut-être pas toutes présentes dans votre cartographie du SI existante.

→ Cette cartographie RGPD devrait vous permettre de répondre aux nombreuses questions qui se posent, dont voici un échantillon (liste non exhaustive, puisqu’elles dépendent de la nature et la finalité de vos traitements internes spécifiques) :

  • Quels sont les fichiers (« fichiers » au sens RGPD, donc quelle qu’en soit la forme technique) contenant des données personnelles, gérés dans votre société ? C’est la partie cruciale de la méthode, car il ne faut rien oublier.

Puis pour chaque fichier :

  • Qui est le(s) responsable(s) du fichier ? L’identification doit être nominative. Si ce n’est pas le cas, il faudra bien sûr désigner un responsable pour chaque fichier.
  • Quelle est sa finalité précise ?
  • Quelle est la durée de conservation des données ? Un mécanisme de purge est-il en place ?
  • Quels sont les traitements opérés sur ce fichier ?
  • Comment les données ont-elles été/sont-elles collectées ?
  • La demande de consentement a-t-elle été faite systématiquement ?
  • Où sont les traces des consentements explicites de chaque personne ? Quelle en est la forme (au minimum : qui, quand, quoi) ? La finalité a-t-elle été fournie, ainsi que l’information des personnes sur leurs droits (et comment les exercer) ?
  • Étant donné que la finalité, ainsi que toutes les informations fournies, peuvent évoluer : les différentes versions des conditions acceptées sont-elles tracées ? (en effet, il faudra pouvoir tracer également le consentement pour chaque changement, et en quoi consiste ces changements)
  • Comment seront contactées les personnes ? (en cas de violation, ou simplement pour les informer d’éventuels changements)
  • Comment sont gérés les droits des personnes ? (quel processus, par qui…). Par exemple, comment sont gérées les demandes de limitation des traitements et de portabilité des données.
  • Comment sont gérées les plaintes et litiges avec les personnes ?

Il faudra penser aux accès (humain et technique) aux données personnelles :

  • Qui accède aux données personnelles (accès internes et/ou externes) ?
  • Par quels moyens ? (interface graphique, directement en base, API, etc.).
  • Quels sont les flux sortants, et leurs cibles : résultats, rapports, exports, journaux, archives, etc.

Enfin les mesures de sécurité mises en place, spécifiquement pour les données personnelles :

  • L’analyse des risques a-t-elle été faite ? Si oui, quels sont les risques identifiés ? Un plan de gestion et de réduction des risques existe-il ?
  • Intégrité : comment est garantie l’intégrité des données ? Détection des changements, mécanismes de sauvegarde et restauration, etc.
  • Confidentialité : quelles sont les mesures mises en place pour assurer la confidentialité ? Cloisonnement, gestion fine des accès, journaux, chiffrement, pseudonymisation/anonymisation, etc. Ceci doit être répertorié pour tous les flux entrants et sortants, ainsi que les supports de stockage, les sauvegardes et bien entendu les accès légitimes.
  • Pérennité : quelles sont les mesures garantissant la pérennité des données ? Réplications, sauvegardes (archives au sens large), etc.

Formaliser les processus ?

Une fois la cartographie RGPD effectuée, cela devrait vous permettre d’identifier les processus (et leur formalisation, les procédures) existants qui sont conformes, ceux qui doivent évoluer, et ceux qu’il convient de définir.

À nouveau, il est important de conserver des traces écrites de tous les processus et surtout les procédures : ce qui n’est pas formalisé (et donc écrit) n’est pas une procédure. Les avantages de cette formalisation sont :

  • En cas d’audit, de contrôle ou de litige, vous devrez pouvoir démontrer que ces procédures existent effectivement ;
  • Le fait de formaliser (les procédure existantes et les nouvelles procédures) vous permettront de capitaliser et pérenniser celles-ci.

→ Mais qu’entendons-nous par « procédure » ? Il s’agit des procédures d’entreprise, qu’elles soient manuelles, automatiques ou mixtes. Une procédure d’entreprise décrit l’enchaînement des tâches à réaliser (avec les acteurs) afin de respecter un processus organisationnel et/ou technique, afin qu’il soit reproductible, et qu’aucune tâche ne soit oubliée. Ce sont généralement des processus strictement internes, souvent confidentiels. Pour faire simple, une procédure est assez similaire à une recette de cuisine.

Voici quelques exemples de procédures (à titre d’information) :

  • Mise en place d’un nouveau traitement portant sur des données personnelles ;
  • Mise en place d’une collecte de données personnelles ;
  • Demande du consentement explicite (opt-in) à chaque collecte, en indiquant clairement la finalité et toutes informations nécessaires aux personnes ;
  • Limitation de la portée des traitements, pour les personnes l’exigeant ;
  • Prise en compte d’une demande d’exercice des droits d’une personne ;
  • Mais aussi : examen d’une candidature RH.

Sécurité et protection des données personnelles

Enfin, nous insistons sur la sécurité et la protection des données personnelles, qui est au cœur du RGPD. La mise en conformité va vous imposer de prendre en compte ces aspects (si ce n’est déjà le cas) dans l’ensemble de votre système d’information, au niveau des futurs projets (relativement simple) mais également de l’existant (plus difficile) tel que vos applications, services et vos processus en place.

Cette partie du chantier RGPD peut être longue et complexe, sauf évidemment si vous aviez déjà intégré la sécurité et le respect de la vie privée à tous les niveaux dans votre système d’information.

Voici quelques exemples de règles de sécurité (concernant les données personnelles) à contrôler ou mettre en place :

  • Sécurisation de tous les flux entrants et sortants (canaux chiffrés systématiquement) ;
  • Sécurisation des espaces de stockage de données (notamment les bases de données) ;
  • Renforcement des contrôles d’accès (en externe, mais également en interne) au niveau des données personnelles ;
  • Respect des durées de conservation : mécanismes de purge, qui doivent supprimer irrévocablement les données de production mais également les archives des flux et les sauvegardes ;
  • Anonymisation (ou pseudonymisation) de vos flux sortants. Comme nous l’avons montré dans un précédent article : c’est au producteur d’un flux d’anonymiser les données personnelles, sinon l’anonymisation est sans intérêt ;
  • Minimisation des données personnelles tracées dans les journaux (logs) au strict indispensable.

En terme organisationnel, il conviendra de régulièrement sensibiliser et former l’ensemble des collaborateurs à la protection des données personnelles, ce qui implique également une mise à jour importante de la charte informatique et bonnes pratiques sur ces thèmes.

Conclusion de la série d’articles sur le RGPD

Si vous êtes arrivé jusqu’à ce point, c’est que l’objectif de notre série d’articles sur le RGPD a été atteint, et que le contenu vous a (un tant soit peu ?) intéressé.

Nous espérons que cette petite aventure dans les méandres du RGPD vous a permis d’acquérir une meilleure vision du RGPD, ou simplement une vision différente ou complémentaire à celle que vous aviez déjà acquise.

Pour compléter vos connaissances, voici une liste de références sur le sujet :

Date

04 septembre 2018

Auteur
Portrait collaborateur Arnaud (Illustration)

Arnaud Witschger

Découvrez nos autres articles