Pas évident de tracer un parcours de conformité RGPD. Hélène Legras, Data Protection Officer (DPO) de Orano (ex-Areva), le sait bien. Faute de trouver une trame adéquate dans les préconisations de la CNIL ou de l’ICO, son alter ego britannique, elle a dû élaborer sa propre procédure de mise en conformité. Résultat : un parcours en douze étapes.

Après la première étape – sa désignation au poste de DPO –, Hélène Legras a commencé par actualiser le registre hérité de sa fonction précédente de CIL (correspondant informatique et libertés), instituée par la loi Informatique et libertés de 1978. Elle y a ajouté les informations exigées par le RGPD comme le délai prévu pour l’effacement des données ou la description des mesures de sécurité techniques (cryptage des données) et organisationnelles (gestion des habilitations pour l’accès aux données).

La troisième étape a consisté à inclure une clause RGPD dans les nouveaux contrats et à ajouter un avenant aux contrats en cours afin de s’assurer de la conformité des prestataires. La Data Protection Officer a ensuite établi une typologie des différentes données à caractère personnel utilisées dans les traitements : « Il faut bien comprendre qu’une adresse IP, si elle n’est pas aléatoire, constitue une donnée à caractère personnel car elle permet d’identifier une personne, comme l’a confirmé la Cour de cassation le 3 novembre 2016. Lister toutes les données possibles facilite aussi la mise en œuvre du principe de minimisation qui a pour but de limiter le recueil de données à celles strictement nécessaires au traitement », souligne-t-elle.

Les cinquième et sixième étapes ont consisté, respectivement, à créer un fichier pour aider les opérationnels à mettre en œuvre le principe de « privacy by design » – qui implique d’intégrer la protection des données dès la conception d’un traitement – et à établir la liste des traitements à risque qui doivent faire l’objet d’une analyse d’impact sur la vie privée ou DPIA (data privacy impact assessment).

Après les huitième et neuvième étapes, centrées sur la diffusion des mentions légales qui permettent d’informer les personnes sur leurs droits (durée de conservation des données, droits d’accès et de modification, etc.), Il a fallu procéder à la mise en place des procédures qui permettent d’exercer réellement ces droits. La onzième étape a été consacrée à la création de la documentation, soit tous les documents qui matérialisent et explicitent la démarche de mise en conformité (registre des traitements, procédures internes, contrats avec les sous-traitants, échanges entre les DPO et les opérationnels au sujet des traitements, etc.).

Dernière et douzième étape : la rédaction des Binding Corporate Rules (BCR), ces règles internes aux entreprises qui encadrent les flux de données vers les pays dits « non adéquats » au sens du RGPD. « Il est possible d’avoir recours à des clauses de flux transfrontières qui existent depuis 1978 mais elles présentent un inconvénient, note Hélène Legras. Il faut en signer pour chaque pays différent alors qu’un BCR règle la question globalement puisqu’il est valable pour tous les flux internes à un groupe, indépendamment du pays concerné. »

Le RGPD exige de nommer un DPO dans trois types d’organismes : les autorités publiques, les entreprises qui effectuent des traitements à grande échelle et celles qui gèrent des données sensibles (lire aussi p. 28). « Mais il vaut mieux avoir un pilote dans l’avion de la conformité », prévient Hélène Legras. Un pilote qui doit avoir des qualités bien précises : savoir communiquer et organiser un réseau mais aussi connaître son entreprise, le droit et l’informatique. Il doit aussi être exempt de tout conflit d’intérêts. « Le DPO ne doit pas être responsable d’un traitement de données, quel qu’il soit, souligne Hélène Legras. Le 20 octobre 2016, l’autorité bavaroise en charge de la protection des données (Bavarian Data Protection Authority) a d’ailleurs condamné, une entreprise qui avait nommé un DSI au poste de DPO car le conflit d’intérêts était manifeste. Cette condamnation était fondée sur la loi allemande (BDSG), mais le RGPD reprend le même principe. »