Mise en conformité GDPR : quelles sont les prochaines étapes ?

4 questions à Jean-David Benassouli, Associé PwC, Responsable de l’activité Data & Analytics

Comment mettre en œuvre opérationnellement le « Privacy by design » 1 et le « Privacy by default » ?

Les processus de mise en place des traitements et de lancement d'un projet informatique/digital doivent comporter un point de contrôle en amont permettant d'apprécier les risques sur la vie privée, compte tenu des mesures existantes ou prévues. A titre d’exemples pour les mesures, en cas de fort impact, on notera : la restriction des accès, le cloisonnement des données, le chiffrement, la pseudonymisation, etc.

Le Data Protection Officer (DPO) ou l'un de ses relais doit être automatiquement consulté avant de lancer ou modifier un traitement comportant des données sensibles, ou pouvant avoir un impact important sur la vie privée des personnes concernées. En revanche, pour les traitements nécessitant une étude d'impact (DPIA), la validation formelle du DPO est obligatoire.

(1) Mesures de protection mises en place dès la conception du traitement pour minimiser les risques. 

(2) Mesures garantissant, par défaut, que seules les données qui sont nécessaires au regard de chaque finalité sont traitées (en terme de quantité, d’étendue du traitement et de destinataire) et que seules les personnes autorisées ont accès aux données.

Comment traiter les premières demandes des clients ?

La première étape consiste à mettre à disposition des clients, les coordonnées du DPO et la procédure à suivre pour l’exercice de leur droit. Les demandes peuvent être adressées via un portail web ou une adresse mail générique, au DPO lui-même ou à une cellule dédiée comme le service client. Celles-ci seront ensuite qualifiées puis dirigées vers le bon service, sous la supervision du DPO et avec la contribution éventuelle de prestataires ou sous-traitants, en cas de SI externalisé ou hébergé. La taille de l’équipe sera quant à elle à ajuster ultérieurement, en fonction du nombre de demandes reçues.

Pour chaque type de demande, un processus permettant de vérifier l’identité de la personne et, si possible, d’automatiser la réponse doit être établi - en particulier pour les droits d’accès ou la portabilité.

Enfin, il est conseillé de mettre en place, ou de ré-utiliser, un outil de gestion des incidents ou un registre dédié afin de tracer et piloter les demandes mais aussi veiller au respect des durées de traitement exigées par le règlement - il existe en effet des délais d’un mois pour certains droits.

Comment vérifier l'opérationnalité du processus de violation de données ou « data breach » ?

En premier lieu, il est important de définir le processus sous forme d'un logigramme en responsabilisant tous les acteurs internes et externes (prestataires, sous-traitants) capables de détecter une faille éventuelle. Chacun doit connaître son rôle dans la chaîne de déclaration de l'incident et la nature des informations à transmettre pour traiter l’incident avec toute la réactivité nécessaire.

Un comité dédié à la gestion des failles, présidé par le DPO et incluant des décideurs (directions Juridique, RSSI, directions des risques, communication, etc.) doit aussi être mise en place. Un test à blanc pourra constituer un indicateur intéressant afin de mesurer la bonne compréhension des acteurs du processus de gestion des failles et leur bonne coordination.

(3) Une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Pour les clients les plus avancés, comment préparer et lancer un audit du dispositif GDPR ?

L’idéal est de mettre en place une équipe audit interne qui n’a pas participé au projet de mise en conformité GDPR. Cette équipe pourra alors lancer un audit en se basant sur l’approche en 6 étapes de la CNIL et en priorisant les sujets à auditer ainsi que la sensibilité des données traitées, ou le traitement des précédents contrôles CNIL, le cas échéant. Enfin, les plans d'audits internes peuvent être de bons éléments de départ pour élaborer un audit du "dispositif" GDPR.

Contactez-nous

Jean-David Benassouli
Associé Data & Analytics, PwC France
Tel : +33 1 56 57 72 49
Email

Suivez-nous !