Deux ans ou presque. Le Règlement général sur la protection des données (ou RGPD pour les connaisseurs) est en vigueur depuis le 25 mai 2016. Et le 25 mai 2018, dans moins de trois mois, la Cnil pourra sanctionner les entreprises qui ne répondront pas aux exigences de cette réglementation européenne, destinée à assurer une meilleure protection des données collectées auprès des internautes, citoyens, clients ou salariés… « Ne pas être conforme à 100 % au 25 mai n’est pas dramatique », tempère Régis Delayat, vice-président du Cigref et Senior Digital Advisor auprès du président de Scor. L’essentiel étant de montrer à la Cnil que l’entreprise a un plan de marche. « L’objectif est loin d’être inaccessible », ajoute Hélène Legras, Data Protection Officer (DPO) de Areva Holding et vice-présidente de l’Association des DPO : « Le RGPD s’applique uniquement aux nouveaux traitements et à ceux antérieurs au RGPD qui viendraient à être substantiellement modifiés. ». Exemple, un dispositif de contrôle d’accès qui remplacerait le badge par un dispositif biométrique. Le responsable du traitement des données doit alors vérifier s’il est conforme aux principes du RGPD mais aussi effectuer une analyse d’impact sur la vie privée des personnes concernées. Car les informations biométriques sont particulièrement sensibles et leur traitement est interdit, sauf exception.

« L’une des complexités du texte est qu’il pose un cadre général dont l’application nécessite une analyse au cas par cas, explique Émilie Dumerain, déléguée juridique de Syntec Numérique. Une autre difficulté est que la mise en conformité va s’effectuer traitement par traitement et non globalement, au niveau de l’entreprise. Pour chaque traitement, les entreprises devront établir un état des lieux puis appliquer une série de principes afin d’aboutir à la conformité. » Cette complexité a poussé Scor, le quatrième réassureur mondial, à devancer l’appel, dès 2016. Une anticipation qui tient aussi à la spécificité du projet, explique Régis Delayat : « Nous l’avons lancé tôt car il faut du temps pour établir le périmètre de mise en conformité. Le contour du projet est essentiel car il détermine ensuite le budget et les ressources à mobiliser. »

Chez Scor, une dizaine de chantiers, désormais en phase finale, ont été divisés en deux catégories. La première relève directement de la mise en conformité et englobe la création du registre des traitements, l’évaluation des risques, l’élaboration des procédures de notification des failles de sécurité ayant abouti à une violation des données personnelles, les analyses d’impact sur la vie privée et l’intégration du principe de « privacy by design » (protection de la vie privée dès la conception) dans la conception des traitements. La seconde regroupe tous les chantiers relatifs aux logiciels métiers. « Le projet de mise en conformité RGPD mobilise dix personnes à temps plein et soixante autres à temps partiel, à hauteur de 30 %, explique Régis Delayat. Nous sommes en situation d’être au rendez-vous à la date du 25 mai. »

À l’instar de Scor, l’AP-HP qui manipule des données sensibles a pris les devants. Dès juillet 2017, un premier rapport a recensé les écarts entre l’existant et les exigences du RGPD afin d’établir un plan de mise en conformité. Une procédure chronophage car elle implique de nombreux acteurs – le délégué à la protection des données ou ses référents, le responsable de la sécurité des systèmes d’information ou ses référents, le chef de projet mais aussi les métiers maître d’ouvrage du traitement – et doit être revue régulièrement. « Nous travaillons également avec des représentants des associations d’usagers pour les associer à cette démarche », précise l’AP-HP.

Anticiper s’avère d’autant plus nécessaire que les pièges sont nombreux. Ainsi, un traitement ne doit recueillir que les informations utiles à la finalité poursuivie. Lors du recrutement, il n’est pas nécessaire de disposer du numéro de sécurité sociale, une information utile uniquement si la personne est embauchée. « Même si le logiciel le permet, il faut veiller à ne pas tout enregistrer, précise Mylène Jarossay, co-fondatrice et secrétaire générale du Club des experts de la sécurité de l’information et du numérique (CESIN). Typiquement, la date de naissance complète n’a pas besoin d’être recueillie en toutes circonstances. L’âge ou l’année de naissance peuvent suffire à certains traitements, par exemple pour une CV-thèque. Il faudra donc former les personnes chargées du recrutement et de la gestion RH. »

Installer un système de vidéosurveillance doit aussi faire l’objet d’une attention particulière, selon Wafae El Boujemaoui, cheffe du service des questions sociales et RH (direction de la conformité) à la Cnil : « L’employeur ne doit pas utiliser les images issues des caméras installées à des fins de sécurité pour contrôler l’activité de ses salariés. » Afin de réduire les litiges potentiels, il est donc préférable d’inclure les représentants du personnel dans la boucle d’analyse des traitements : « Il faut avoir des échanges si un dispositif peut aboutir à une surveillance indirecte des salariés, ajoute Wafae El Boujemaoui. La Cnil a déjà reçu des plaintes de salariés qui n’ont pas été correctement informés. Le climat social peut être assombri par une opacité, même involontaire, sur ces points. »

La mise en conformité peut aussi trébucher sur d’autres obstacles. « Trop de dirigeants se font une idée erronée de la nature des données qu’ils traitent, explique Anne Renard, avocate au cabinet Alain Bensoussan. La problématique des données sensibles peut se poser très rapidement. Par exemple, si un établissement hôtelier collecte des informations sur le régime alimentaire de son client, il est susceptible, de manière indirecte, d’en déduire sa confession religieuse. C’est une information sensible. » La mise en conformité va aussi soulever des difficultés techniques. Ainsi, la durée de conservation des données doit être limitée et cohérente avec la finalité poursuivie. Or une application peut en gérer plusieurs. « Les ERP sont dans ce cas, indique Mylène Jarossay. Au sein d’une même application, des données devront être purgées selon des durées maximales différentes. Cette complexité peut se retrouver pour d’autres exigences du RGPD comme le consentement ou l’information des personnes »

Le RGPD exige aussi que les nouveaux traitements protègent d’emblée et au mieux les données. Ce principe sera d’autant plus difficile à appliquer que temps accordé aux développeurs se réduit constamment. Pour Sarah Piot, correspondante « informatique et libertés » (CIL) de AAA-DATA, l’entreprise chargée de gérer les informations relatives aux plaques d’immatriculation, c’est un point dur de la mise en conformité : « Pour être en conformité, il faut que les exigences de la loi Informatique et libertés et du RGPD soient intégrées dans le cahier des charges des nouvelles applications et des projets. Le DPO sera alors dans la boucle et pourra en vérifier la conformité de bout en bout. »

Si les grandes entreprises ont largement pris les devants, les autres n’ont pas encore pris conscience du bouleversement qui s’annonce. « Certaines PME découvrent le RGPD maintenant, rappelle Ely de Travieso, élu de la CPME et référent sur les sujets de cyber sécurité. La plupart ne sont pas en mesure d’investir dans des audits externes pour établir leur degré de conformité. Aujourd’hui, il existe un marché naissant des DPO consultants mais une journée coûte jusqu’à 1 500 euros. C’est un coût exorbitant pour les PME qui utilisent les outils de la Cnil et font le travail elles-mêmes. Le processus de mise en conformité prendra nécessairement du temps. »

Pour soutenir les efforts de ses 300 000 adhérents, dont 80 % ont moins de 20 salariés, la CPME a entamé des pourparlers avec Bercy afin de débloquer une aide. Car le risque est réel de voir émerger un monde dual avec, d’un côté, les bons élèves, pour l’essentiel les grandes entreprises et, de l’autre, la masse des PME, contraintes à une application a minima ou inexistante du règlement et vivant dans l’espoir de ne jamais être contrôlées. Une situation d’autant plus inconfortable que l’autorité de régulation ne va pas rester les bras croisés, note Anne Renard : « Il est probable qu’il y aura des sanctions exemplaires de la part des régulateurs pour inciter les entreprises à respecter effectivement le RGPD. ». Et les infractions constatées peuvent donner lieu à des amendes administratives jusqu’à 10, voire 20 millions d’euros ou de 2 à 4 % du chiffre d’affaires annuel !

Un processus simplifié peut être mis en œuvre, explique Émilie Dumerain, déléguée juridique de Syntec Numérique : « La mise en conformité passe par une méthodologie en trois étapes : un état des lieux grâce à une cartographie des traitements et des données ; une liste des actions à mener et leur mise en œuvre. » Si le temps manque, les entreprises ont tout intérêt à prioriser leurs actions, notamment sur les informations sensibles. L’article 9 du RGPD interdit, sauf exception, le traitement des données génétiques, biométriques ainsi que celles concernant la santé, la vie sexuelle, l’orientation sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale.

1. Désigner un pilote

Le délégué à la protection des données sera le chef d’orchestre de la gouvernance des données personnelles avec un triple rôle : informer, conseiller et contrôler. Les entreprises qui disposent déjà d’un correspondant « informatique et libertés » disposent déjà de compétences clefs.

2. Cartographier les traitements de données personnelles

Ce recensement des traitements qu’effectue l’entreprise est indispensable pour quantifier l’impact du RGPD. Il aboutit à l’établissement d’un registre des traitements qui servira de base pour les actions à mener.

3. Prioriser les actions à mener

Le registre permet d’identifier les écarts entre l’existant et le RGPD. Il est alors possible d’identifier les actions à mener pour entrer en conformité. Pour graduer leur priorité, il faut établir une analyse du risque que ces traitements font peser sur les droits et libertés des personnes concernées.

4. Gérer les risques

Si des traitements de données personnelles sont « susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées », l’entreprise doit mener sur chaque traitement une analyse d’impact sur la protection des données

5. Réorganiser les processus internes

Se conformer au RGPD va exiger une révision de certains processus internes. Il faudra en effet garantir aux données personnelles, tout le long de leur utilisation, un haut niveau de protection qui prenne en compte l’ensemble des événements possibles.

6. Documenter la conformité

Les entreprises doivent prouver leur conformité au RGPD. À cette fin, elles doivent constituer une documentation listant les actions entreprises et comprenant les documents réalisés à chaque étape. Ils doivent être actualisés régulièrement afin d’assurer une protection en continue des données personnelles.