Le RGPD constitue un changement fondamental dans l’approche qu’ont les sociétés dans leur gestion des données. Estimez-vous que le message soit suffisamment pris au sérieux par les sociétés luxembourgeoises ?
Nos échanges avec les entreprises pendant ces derniers mois nous ont permis de faire deux constatations à cet égard.
Premièrement, les entreprises que nous rencontrons lors de nos conférences sont souvent très inquiètes parce qu’elles ont entendu parler des sanctions ou de certaines difficultés que d’autres entreprises ont rencontrées dans leur gestion des données. Pour ces entreprises, le rôle de la CNPD est surtout de leur expliquer les principes à appliquer et de leur fournir une guidance pour qu’elles puissent avancer dans leurs efforts de mise en conformité.
Deuxièmement, nous estimons qu’il y a un grand nombre d’entreprises qui ne sont pas (ou pas suffisamment) conscientes des règles à appliquer. Malheureusement, on ne peut pas s’attendre à les rencontrer lors de nos conférences ou formations, tout simplement parce qu’elles n’ont pas encore identifié le besoin de s’informer. Un grand nombre d’entreprises ne se sentent pas concernées parce qu’elles ne traitent pas de données dites « sensibles ». Or, en réalité, ce n’est pas aussi simple. Toutes les données personnelles sont dans le périmètre. Même si on peut supposer qu’une mise en conformité pour ces entreprises ne nécessiterait pas forcément un effort énorme, celles-ci devraient quand même faire l’exercice pour vérifier leur conformité.
Notre objectif est donc que le premier groupe adopte une approche constructive et soit rassuré grâce aux informations reçues – et qu’il communique ce message au deuxième groupe.
Le CNPD remplit actuellement un rôle de validation. Cette fonction va disparaître le 25 mai prochain. Vers qui les sociétés pourront-elles alors s’orienter pour obtenir des conseils ou une certification RGPD?
La CNPD aura toujours une responsabilité pour fournir de la guidance. La guidance se différencie du conseil. Elle ne s’adresse pas spécifiquement à une entreprise, mais plutôt à un secteur. En principe, elle concerne une thématique donnée. Cette approche devrait permettre d’aider un maximum d’entreprises, ce qui ne serait pas possible à travers des « conseils » individuels. Ceci dit, la CNPD reste bien évidemment disponible pour conseiller les entreprises sur des questions plus spécifiques ou complexes qui ne peuvent pas être couvertes par la guidance.
A travers ses relations avec les nombreuses organisations qui représentent les entreprises, la CNPD espère par ailleurs leur donner les outils et éléments de guidance nécessaires pour encadrer leurs membres en matière de protection des données dans leur contexte métier donné. La CNPD a déjà, à plusieurs reprises, communiqué sur sa volonté de les impliquer et de les aider, un message qui a été bien reçu. De nombreuses initiatives très constructives sont en cours.
Quant à la certification, la CNPD est actuellement en train de travailler sur le sujet et va en informer les entreprises dès que le dossier sera suffisamment avancé. Nous voulons éviter que les entreprises pensent que la « certification » est la solution à toutes les questions et qu’elles reportent leurs efforts de mise en conformité jusqu’à ce que cette dernière soit disponible. Nous sommes conscients des attentes des entreprises et ferons avancer ce dossier au plus vite. Toutefois, nous mettons les entreprises en garde sur le fait que la certification est un outil pour « vérifier » la conformité. Il faudra donc se mettre en conformité avant.
Alors que les données structurées (type ERP) sont assez faciles à cerner, il est beaucoup plus difficile de faire l’inventaire de tous les petits fichiers et listes disparates (Excel, texte, lettres, copies d’écran…). Quelle approche recommandez-vous par rapport à ces données peu structurées ?
Nous recommandons de commencer d’abord à identifier les traitements et puis de mapper les données sur les traitements. En fait, une donnée peut être (et très probablement est) utilisée dans de nombreux traitements. Et c’est le contexte de ce traitement qui est important (p.ex. un nom sur une liste pour une newsletter n’est pas la même chose qu’un nom sur une liste de patients touchés par un cancer).
Un autre atout de cette approche peut être le fait de prioriser les traitements « à haut risque ». Il faudrait identifier dans quelle mesure des données non-structurées interviennent sur ce genre de traitement au cas par cas.
Toutefois, cette approche n’est pas obligatoire. Si l’exercice est fait jusqu’à la fin, le résultat devrait être le même. La CNPD n’est pas prescriptrice sur ce point et encourage les entreprises à échanger entre elles par rapport à des méthodes qui ont bien fonctionné.
Certains secteurs de l’économie sont plus concernés par la gestion et le traitement des données que d’autres. Est-ce que vous voyez une différence d’application du RGPD selon le secteur de l’entreprise ?
Le RGPD s’applique à tous les secteurs. Certains facteurs peuvent cependant influencer l’application du RGPD comme p. ex. la régulation d’un secteur. Si un secteur est déjà régulé, les entreprises ont peut-être plus l’habitude de suivre l’évolution règlementaire et se sont dotées de structures internes pour assurer cela.
Comment se feront les contrôles après le 25 mai 2018 ? Est-ce que le CNPD se voit dans un rôle de support ou de contrôleur après cette date ?
La CNPD veut garder un équilibre entre guidance et contrôle. Elle cherche aussi à sensibiliser au fait que les contrôles n’ont pas comme objectif unique de sanctionner. Ils devront également permettre à la CNPD d’identifier les zones d’erreur récurrentes sur base desquelles elle pourra élaborer une guidance qui aidera les entreprises à s’améliorer.
Les 4 objectifs que la CNPD s’est donnée pour les contrôles sont :
- identifier des problèmes ponctuels et récurrents ;
- vérifier l’application de la guidance fournie ;
- faire des investigations en cas de problèmes notifiés ;
- vérifier la mise en place de mesures de mise en conformité.
Trouvez plus d'informations sur le contrôle de la conformité
dans ce document.