En perspective de la table ronde du 11 octobre 2017, le CR2PA vous propose quelques lectures autour du Règlement général pour la protection des données personnelles (RGPD, ou GDPR en anglais) et de son articulation avec une politique d’archivage managérial.
L’application du Règlement sera effective pour les entreprises dans plus de six mois et les articles foisonnent déjà. Le CR2PA a retenu pour vous une sélection d’articles pour mieux comprendre les enjeux de cette réglementation.
Tout d’abord, nous vous conseillons de lire le Règlement lui-même, publié en juillet 2016.
Une fois que vous êtes familiarisé avec les expressions essentielles du texte (responsable du traitement, registre des activités de traitements, analyse d’impact, limitation du traitement…) et que vous avez survolé les 173 considérants, les 99 articles du règlement sont abordables. Les 50 premiers articles contiennent les principales obligations des entreprises, la suite ayant trait aux autorités de contrôle et litiges.
Les États relayent chacun de leur côté le document européen. La CNIL propose sur son site plusieurs textes pour s’y préparer : https://www.cnil.fr/se-preparer-au-reglement-europeen
La Belgique a de son côté déjà publié le 14 juin 2017 une recommandation relative au Registre des activités de traitements (article 30 du RGPD).
Pour documenter votre dossier RGPD/GDPR, voici une dizaine d’articles parus au cours des derniers mois, accompagnés d’extraits représentatifs (cliquez sur les titres pour accéder aux articles complets).
Protection des données : quelles opportunités pour les entreprises françaises ?
par Damien PARIZIA, publié le 29 mars 2017 dans Les Echos
Extraits:
« Outre la dimension système d’information (SI), ces chantiers doivent également intégrer une dimension organisationnelle qui présente des opportunités considérables ! »
« L’étude Veritas Global Databerg montre que seuls 22 % des données stockées par les entreprises françaises sont qualifiables de « Clean Data », à savoir identifiées, archivées, sécurisées et représentant un intérêt stratégique pour l’activité de l’entreprise. Et les 78 % restants ? Ils sont constitués à 14 % de données dites « ROT Data », à savoir redondantes, obsolètes ou inutiles pour l’entreprise et à 54 % de « Dark Data » pouvant contenir aussi bien des données redondantes que des données stratégiques! ».
RGPD : l’opportunité d’une gouvernance transverse des données
par Stéphane BOCQUILLON et Romain CAMUS, publié le 28 juin 2017 sur le site Revue-banque
Extraits:
« Le règlement vise à conférer aux individus une plus grande maîtrise concernant leurs données et l’usage que les entreprises en font ».
« Les entreprises seront tenues d’être en capacité de démontrer leur conformité au travers de leurs processus, de leur organisation, des systèmes d’information et des compétences de leurs équipes ».
« L’objectif est de concilier tout à la fois l’intégralité des sujets réglementaires en lien avec les données mais également les opportunités business ».
« Définir le langage métier commun, de façon de s’assurer que chacun utilise le même terme pour désigner la donnée identique et éviter les confusions autour de données supposées similaires en tout point, mais ayant des valeurs différentes en fonction de la provenance ».
Transformer le GDPR en avantage concurrentiel en intégrant la protection des données dès la conception des projets
par Laurent HESLAULT, publié le 18 janvier 2017 dans Les Echos
Extraits :
« 88 % des consommateurs en ligne considèrent même la sécurité des données comme le facteur le plus important lorsqu’ils choisissent de traiter avec une entreprise« .
« L’un des moyens les plus efficaces pour y parvenir consiste à intégrer la protection des données et donc de la vie privée dès la conception des projets, le fameux « Privacy by Design« .
« Par conséquent, pour transformer le GDPR en opportunité, et non en menace, les entreprises doivent appréhender ce règlement de manière globale, avec la volonté de transformer globalement le mode de gestion des données ».
Le Règlement général pour la protection des données personnelles (RGPD), Un chantier à démystifier !
par Matthieu BOURGEOIS et Franck RÉGNIER-PÉCASTAING, publié en septembre 2017 sur le site Tendancedroit
Extraits:
« Le cœur du règlement réside dans la notion de « finalité(s) ». C’est sur leur analyse que reposent ce texte et sa mise en pratique. L’approche est donc qualitative avant d’être quantitative. Ainsi l’étude et la description d’une « finalité » relèvent des équipes métier, la mise en œuvre des moyens pour y répondre appartient, souvent, à l’IT, le tout sous le contrôle attentif de la direction juridique ».
« Pour bien appliquer ce texte, trois mots d’ordre : analyser, organiser, outiller« .
Quelles incidences de la protection des données personnelles sur le droit de l’entreprise ?
par Cabinet CAPRIOLI, publié le 29 mai 2017 dans Usine-digitale
Extraits:
« Les juridictions peuvent être amenées à apprécier les méthodes de surveillance des salariés et le traitement des données obtenues ».
« Le non-respect d’une exigence de la loi informatique et liberté peut être constitutif de la nullité du contrat ».
« les TPE/PME/PMI, en ce compris les start-up, risque de ne jamais se remettre [des sanctions pécuniaires]. »
Sous-traitance et données personnelles : le RT ne peut s’exonérer de sa responsabilité par une simple clause contractuelle
posté le 30 août 2017 sur le site Virtualegis
Extraits :
« Par une délibération en date du 19 juillet 2017, la CNIL a sanctionné la société Hertz au paiement d’une amende de 40 000 € pour violation de données personnelles ».
« Le site internet permettant de proposer des réductions sur les locations de véhicules, réalisé par un sous-traitant de Hertz, comportait une faille de sécurité important donnant accès aux données personnelles de 40 000 clients de la société Hertz France… La responsabilité de Hertz est clairement engagée ».
GDPR : où en sont les entreprises ?
par InformatiqueNews, le 25 juillet 2017
Extraits:
« Limiter l’accès des anciens employés aux données de l’entreprise et supprimer leurs informations d’identification contribue à éviter les activités malveillantes, les pertes financières et les dommages causés à l’image de marque. Pourtant, 50% des entreprises qui se disent conformes déclarent que d’anciens employés ont toujours accès aux données internes ».
« Parmi les entreprises qui pensent être prêtes pour GDPR, un cinquième (18%) admettent que les données personnelles ne peuvent être supprimées ou modifiées. Et 13% d’entre elles affirment ne pas avoir les capacités de rechercher et d’analyser efficacement les données personnelles pour détecter à la fois des références explicites et implicites d’un individu ».
« GDPR » et ressources humaines : il est temps de s’en préoccuper
par Guillaume BORDIE et Basile MOORE, posté le 30 mars 2017 sur Magazine-décideurs
Extraits:
« Le GDPR supprime la plupart des obligations déclaratives auprès des autorités de contrôle, mais crée en parallèle un principe de responsabilité particulièrement étendu« .
« Le GDPR durcit considérablement le régime du consentement : le consentement doit se manifester par une déclaration ou un acte positif clair (pas de consentement par défaut) et n’est pas valable en cas de « déséquilibre manifeste » entre la personne concernée et le responsable de traitement. La charge de la preuve repose sur le responsable de traitement ».
« Le GDPR accroit considérablement le pouvoir de sanction des autorités de contrôle (la Cnil en France) ».
Le RGPD accélère la transformation de la culture des entreprises françaises
par Christophe MARRE, publié le 29 juin 2017 dans Les Echos
Extraits:
« La simple entrée dans une entreprise vaut consentement de la part du collaborateur pour que l’entreprise collecte un certain nombre de données personnelles nécessaires à son fonctionnement ; mais, avec les nouvelles lois, le droit à la transparence et la récupération de ces données par les collaborateurs vont être renforcés ».
« D’un point de vue pratique, les données personnelles doivent être cartographiées afin d’être inventoriées, classifiées et classées« .
Quatre chantiers principaux : Gouvernance relative aux moyens organisationnels à mettre en œuvre (traçabilité documentaire, désignation du DPO) ; Risques et Contrôle interne ; Système d’information (sécurité, traçabilité, notification, audibilité) ; Sensibilisation relatif aux moyens et méthodes de communication.
RGPD, 1 an de travaux : quel bilan en tirer ?
par Raphaël BRUN, publié le 6 juillet 2017 sur le site de Wavestone
Extraits:
« Mutualiser tout ce qui peut l’être. En effet, rien ne sert de réinventer la roue. Les équipes centrales peuvent contribuer à construire et proposer des accélérateurs. Ainsi, plutôt que de demander à toutes les entités de constituer leur inventaire, il est souvent pertinent de proposer un modèle avec les 70 à 80 % de traitements communs à l’ensemble des entités. Le programme s’en trouvera facilité et la charge de mise en conformité réduite de façon importante ».
« Expliquer, expliquer et ré-expliquer. Le RGDP et sa déclinaison est un sujet complexe, aux multiples ramifications et qui sollicitent de nombreux acteurs de l’organisation qui ne connaissaient rien au sujet il y a encore quelques mois. Il faut donc faire preuve d’une pédagogie sans faille et ne pas hésiter à accompagner au plus près les équipes en charge des chantiers afin de les aider à comprendre les exigences et imaginer les solutions ».
Quelques références en anglais
À noter que les articles anglais soulignent volontiers le lien entre GDPR et records management (qui est le sujet de la table ronde du 11 octobre).
The EU General Data Protection Regulation has put records management back on the business agenda
par Jon WAINWRIGHT, publié en mai 2016 sur le site Betanews
Extrait
« Most organizations that have a document management system have the ability to audit the usage of records/files/documents — i.e. how many opens, who has viewed the individual documents, date and time stamps and so on. But the question is, do they have a fully-fledged, enforceable retention policy? »
« A retention policy establishes the duration of time for which information/data/records should be managed and retained in an organization. It provides guidance and framework for employees on how they must manage information and data — from creation through to destruction — so that the organization as a whole can comply with the various laws and regulations pertaining to data management ».
Records Management and the GDPR
par Lucia STEFAN, publié en juin 2017 dans la Newsletter du jubilée de Project Consult
Extrait
- « Under the GDPR, personal data will be treated as records.It is not only about what was has been done for compliance, but why it has been done! For retention by example, not only retention schedules and disposal measures are needed, but also the justification of retention and disposal decisions ».
- « The GDPR will force a review of Records Management theory.The GDPR will also bring a new impetus to Records Management theory. So far, Records Management was mostly involved in managing documents and files located in unstructured repositories. This approach restricted the domain of Records Management, as the database systems were considered outside the Records Managers’or Archivists’domain of activity ».
