L'économie numérique, sujet de préoccupation

Que vous soyez citoyen.ne ou expert.e en gouvernance des données, vous savez me dire quelles sont les entreprises les plus riches du Monde actuellement, leurs noms et leurs activités. L’économie numérique est un gros gâteau dont certains se sont assurés depuis longtemps les plus belles parts et mettent tout en oeuvre pour les conserver.

Voilà pourquoi la question de la gestion des données est au coeur des préoccupations stratégiques des entreprises mais également au coeur des préoccupations politiques de l’Europe. C’est également un sujet de préoccupation pour les individus que nous sommes, accessoirement conssomateur-trices.

L’injonction contradictoire en psychologie, c’est le choc entre deux injonctions qui plonge les individus en total désarroi et les rende totalement incapable d’agir.

Il y plusieurs moyens de sortir d’une injonction contradictoire. La première consiste à faire le déni d’une des injonctions.

Sur le sujet qui nous préoccupe, c’est clairement la protection de l’individu et de ses droits qui a été occultée.

Pourquoi ?

Simple, l’attrait de l’injonction à developper les opportunités de l’économie économique ont largement dépassé celui de respecter le droit à la vie privé.

Souvent par manque de connaissances et de compétences, quelquefois par pur choix du profit.

Cependant, la conscience de l’impact sur nos vies, nos sociétés que peut avoir le fichage à grande échelle inquiète de plus en plus les personnes.

On se demande ce que pourraient bien faire des gouvernements malveillants avec toutes ces informations.

En 2018, le RGPD répond à ces inquiétudes citoyennes. L’Europe s’implique car, elle aussi s’inquiète du pouvoir grandissant de ces grandes entreprises qui possèdent les informations sur les citoyen-nes qu’elle se doit de protéger.

En effet, le RGPD va être contraignant mais ce n’est pas une réglementation opportuniste, il s’inscrit dans la constitution des droits de l’homme et du citoyen et dans l’ article 9 du code civil.

C’est un rempart contre un risque qui dépasse largement la vision économique du numérique, c’est une réponse démocratique juridique au risque d’un régime tout simplement totalitaire que le fichage de chacun d’entre nous permet et autorise déjà et qu’il faut sérieusement encadrer et sanctionner les tentatives de s’y dérober.


Le registre des traitements en détails

Le registre des traitements en détails

 

L’article 30 du RGPD définit ce que doit contenir le registre de l’organisation. Ce registre identifie des points à déclarer pour chaque traitement. Ce registre contient l’ensemble de ces points pour l’ensemble des traitements.

La plupart des acteurs de la conformité qui accompagnent les entreprises depuis longtemps ont déjà modélisé le process qui permet de produire un registre. En effet, cette obligation existe depuis 1978 dans le cadre de la loi Informatique et Libertés.

C’est, pour la plupart du temps, ce qui compose essentiellement les outils qui ont été créés et mis à disposition sous forme de fichiers Excel puis de plateforme pour aider les organisations à prouver de leur conformité.

Des questionnaires sous la forme d’auto-audit ont été créés. Les réponses aux questions posées permettent de répondre à ce qui était demandé dans le registre de la loi Informatique et Libertés. Ces questionnaires ont été mis à jour pour répondre au RGPD qui, lui aussi demande un registre mais avec des éléments supplémentaires. Ce sont les déclarations de traitements.

Déclarer ses traitements via le questionnaire d’audit permet donc de viser l’ensemble des informations qui doivent être transparentes pour un tiers autorisé (y compris la CNIL).

Chez Data Transition, l’outil d’audit sera proposé en freemium et permettra de produire les fiches traitements qui regrouperont de façon claire et lisible toutes ces informations pour les enregistrées dans le registre. Elles représentent le registre et sont la preuve de l’initiation de la démarche de mise en conformité et la preuve de bonne intention que la CNIL mentionne et qui protégera les organisations pour le 25 mai 2018.

Cependant, si depuis 40 ans, il n’était pas utile de faire la preuve d’une gestion responsable des données personnelles en continu, c’est maintenant le cas. A cela il faut ajouter que de nombreux principes à respecter doivent être inclus dans les audits et démontrer par l’apport de preuves documentaires. Il en ressort que beaucoup de périmètres qui doivent être auditeur ne peuvent l’être si on se limite aux audits de traitements permettant la production du registre.

Les questions auxquelles doivent répondre les personnes qui vont déclarer ces traitements via les questionnaires d’audit sont identifiés dans l’article 30 du RGPD :

a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;

b) les finalités du traitement ;

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel ;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;

e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées ;

f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;

g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

Article 32, paragraphe 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a) la pseudonymisation et le chiffrement des données à caractère personnel ;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant :

a) le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;

b) les catégories de traitements effectués pour le compte de chaque responsable du traitement ;

c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées ;

d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

Les registres visés aux paragraphes 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.

Les obligations visées aux paragraphes 1 et 2 ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

L’audit de déclaration permet de produire un registre qui identifiera des projets transverses de mises en conformité. Si vous êtes en difficulté pour identifier les types de personnes concernées dans vos traitements ou tout autre chapitre relevant de l’article 30, cela indiquera certainement de mettre en œuvre des projets comme une politique de cartographie des données ou des supports.

Cependant, certains projets comme la violation des DCP n’apparaitront pas suite aux déclarations.

Data Transition a conçu un questionnaire qui inclut des audits permettant d’identifier le niveau de maturité des projets transverses nécessaires à la gestion des données personnelles de façon continue et d’améliorer la conformité de l’organisation dans ce que demande le RGPD par étape en mode gestion de projet.

Nos outils sont mis à la disposition de nos clients lors de nos missions et seront disponibles via une plate-forme dès qu’ils auront obtenu une validation opérationnelle de l’ensemble de nos utilisateurs.

Notre engagement d’expert-es, que ce soit en mission d’accompagnement ou uniquement via les outils que nous proposerons prochainement est l’autonomisation de nos clients sur la gestion des données personnelles et l’acquisition d’une méthode organisationnelle pour protéger l’organisation des sanctions qu’elles pourraient subir et profiter des opportunités qu’une gouvernance des données peut apporter aux organisations.


Comprendre le registre des traitements

RGPD : comprendre le registre des traitements

Pour comprendre l’importance du registre, il faut revenir…40 ans en arrière. En 1978, la Loi Informatique et Libertés impose aux organisations d’être transparentes sur l’exploitation qu’elles font des données personnelles des individus. L’autorité de contrôle, la CNIL, a été créée cette même année afin d’accompagner, contrôler et sanctionner les organisations sur ce sujet. Mais dans les faits, la CNIL a peu sanctionné et peu d’entreprises ont initié une démarche de conformité.

Celles qui l’avaient fait se reposaient sur un système déclaratif relativement confortable : elles déclaraient (succinctement) leurs traitements de données à caractère personnel à la CNIL, attendaient un éventuel contrôle (qui effectuait un audit précis qu’elles auraient dû faire en amont) et investissaient beaucoup de temps et d’argent pendant les deux mois que la CNIL leur donnait pour se mettre en conformité.

Le RGPD supprime ce système déclaratif des traitements auprès de la CNIL et passe à un système d’auto-évaluation de la conformité : les organisations doivent être en mesure de démontrer leur conformité à tout moment, et comment elles comptent améliorer leur conformité dans le temps. Elles doivent être prêtes à s’expliquer en cas de contrôle et auprès de toutes les parties prenantes de leur écosystème. C’est là que le registre entre en jeu : clé de voûte de la démarche de conformité, il contient tous les éléments relatifs aux traitements de données à caractère personnel mis en place par l’organisation.

Le registre est constitué de l’ensemble des fiches de traitement d’une organisation. Cette fiche, c’est le cœur du registre. L’article 30 du RGPD indique clairement les éléments qu’elle doit contenir : pour produire le registre, il suffit donc en théorie de répondre aux obligations de l’article 30. Mais si elle est avant tout déclarative, la fiche de traitement oblige à la production de quelques explications quant à la sécurité des données exploitées dans le traitement et la preuve de ses explications. Dans la pratique, une fiche de traitement nécessite donc au préalable d’avoir :

 

> Identifié les traitements de données à caractère personnel mis en place par son organisation

> D’en connaitre parfaitement les fonctionnements afin de pouvoir encadrer juridiquement et en termes de sécurité tous les points qui pourraient constituer des non-conformités.

Le registre n’est toutefois pas un gage de conformité – à moins bien sûr que chacun de vos traitements ne soit 100% conforme à l’ensemble des obligations du RGPD, et que votre organisation ne soit gouvernée par une gestion responsable des données personnelles ! Dans le cas contraire et avant toute chose, le registre est l’élément clé permettant de démontrer votre démarche de conformité.

 

Et les contrôles ?

Avec le RGPD, la CNIL n’est plus dans l’obligation de faire des mises en demeure et peut sanctionner immédiatement les manquements à la conformité. La CNIL va auditer (ou faire auditer par des organisations agréées) les preuves attachées au registre des traitements et poser immédiatement des sanctions car elle n’est plus dans l’obligation de mettre des mises en demeure.

La CNIL a vu très largement augmenté son pouvoir de sanctions tant en termes d’impact financier que d’impact de notoriété. Il faut ajouter à cela la plainte collective assortie de demande de dommages et intérêts qui est un risque majeur encore faible mais qui peut s’avérer dévastateur pour l’organisation.

La CNIL a récemment précisé que la production d’un registre et d’un plan de mise en conformité était clairement le signe d’une intention réelle de prendre la protection de la vie privée au sérieux.

Nous vous accompagnons dans cette production avec le Pack Registre car nous savons quelles sont les questions que vous allez devoir vous poser et comment vous aider à y répondre au plus vite. Notre méthodologie s’appuie sur une expertise et une connaissance du métier de CIL et de DPO pour faciliter le pilotage de la conformité au regard du respect des principes et obligations su RGPD.


La CNIL lance un outil d’analyse d’impacts des traitements

Le 23 novembre, la CNIL a lançé l’application PIA, un outil d’analyse d’impacts des traitements.

A partir du site, on peut maintenant télécharger l’application ou l’installer sur un serveur interne et effectuer ses EIVP (Etude d’Impact sur la Vie Privée) ou PIA (Privacy Impact Assessment).

L’Etude d’Impact sur la Vie Privée (EIVP)

Introduite dans le Règlement Général sur la Protection des Données (RGDP), l’analyse d’impact est une méthode d’évaluation de risques dédiée à la protection de la vie privée. C’est un point important.

En effet, l’ensemble du RGPD a pour unique objectif la protection de la vie privée mais en réalité, techniquement, l’ensemble des obligations du RGPD vise à la protection des données et informations personnelles, dès le moment où elles sont collectées et jusqu’à leur suppression.

Tout comme la loi informatique et libertés, le RGPD encadre principalement la sécurité des données. Du point de vue juridique, il permet aux personnes concernées de solliciter l’accès à leurs données personnelles et de comprendre leur utilisation par l’entreprise ou l’organisme ayant collecté ce type d’information.

Pour répondre à ces obligations du côté des entreprises et des administrations, la déclaration des traitements (dans un Registre) et l’audit des traitements (la Privacy by design) permettent d’identifier les points d’amélioration à mettre en œuvre avant de lancer un traitement en production, ou s’il a déjà été lancé de pouvoir corriger les points faibles.

Dans le contexte de la Privacy, le RGPD s’inscrit dans le prolongement de la loi Informatique et liberté de 1978. Certaines obligations ont été renforcées et de nouvelles règles comme la portabilité ou le droit à l’effacement des données sont désormais de rigueur. Ainsi, les organisations les plus avancées sur cette discipline maîtrisent ce cadre et, depuis bientôt 40 ans, ont eu le temps de s’y préparer. En revanche, l’analyse d’impacts sur la vie privée, dite EIVP ou PIA sort de ce cadre.

Cette approche engage une réflexion sur la donnée parce qu’elle considère que les données ne sont pas neutres. Les données et informations peuvent avoir des impacts sur la vie des personnes concernées.

Dans une société en transition où l’on voit une explosion des données produites, cet outil force les producteurs à réfléchir aux enjeux des processus qu’ils mettent en oeuvre : c’est la dimension éthique et déontologique de la gestion responsable des données.

C’est la réponse qu’attendent les usagers et clients, en termes de confiance sur la posture des entreprises et organisations qui collectent leurs données.

Nous constatons que les acteurs de la conformité les plus chevronnés sont toutefois interrogés et questionnés par ce changement de paradigme qui engage une nouvelle forme de la modélisation de cette obligation “quasi philosphique”.

 

Le PIA, toute une histoire…

L’analyse d’impact est apparue il y a plusieurs années comme un processus d’amélioration continue. Elle nous vient des anglo-saxons et sa création n’est pas sans lien avec quelques gros scandales liés à des fuites de données. Plus largement, elle a été également pensée comme un moyen de rassurer les individus, tant en termes de sécurité que d’éthique. En parallèle de la protection des données, elle visait à prévenir les impacts sur la vie privée, consécutifs aux collectes et traitements des informations personnelles.

Elle s’organise en deux actes, un audit des impacts et une gestion des risques en mode projet, afin de mettre en oeuvre les réponses juridiques, organisationnelles et techniques ayant pour objectifs de réduire les menaces.

Dans le scandale du piratage des données du site de rencontres Ashley Madison, on aurait dû inscrire dans le PIA, l’impact psychologique sur un utilisateur de la divulgation de son adhésion aux services de l’entreprise auprès de son ou sa compagne.L’évaluation de ce PIA aurait du être maximale car le suicide aurait du apparaître comme un risque, le hacking de la base de données comme une menace.

Peut être certaines mesures plus drastiques auraient pu être prises, pour des raisons éthiques et financières… Depuis 2011, se cache derrière le fil tweeter @piawatch un expert du sujet : Eric Charikhane, titulaire du master de l’ISEP, sur la protection des données personnelles, qui en parlerait mieux que moi.

Aujourd’hui, le PIA est intégré au RGPD comme une obligation, il est déclenché dans trois situations: suite à un audit de traitement, dans des cas spécifiques encadrés ou à la discrétion du DPD*/DPO/CIL sur tout objet qu’il estime devoir être évalué.

Pour ceux et celles qui considèrent la Privacy comme un enjeu social et économique, le PIA est un outil de prédilection : c’est le seul qui permette de penser la protection de la vie privée en amont de toute action et dans le temps. Pour ceux qui voient la Privacy seulement du point de vue juridique, le PIA est un véritable bouleversement car il vient alourdir une suite de contraintes déjà considérées comme complexes.

 

La CNIL doit réagir !

Depuis le vote de la réglementation, par son approche plus technique que juridique, le PIA est une question brûlante.

Les acteurs de la conformité rechignaient à sa mise en oeuvre sans une feuille de route claire et voulaient savoir de l’autorité de contrôle “comment faire” avec cette obligation dans la vraie vie.

 

La CNIL répond à l’appel !

Grâce à un appel à contributions sur le PIA pour répondre aux besoins de compréhension des DPO, la CNIL vient de produire un outil gratuit et complet qui modélise les contraintes techniques et apporte une méthodologie claire.

La CNIL a donc choisi le PIA comme cheval de Troie. Elle aurait pu choisir la déclaration des traitements pour les responsables de traitements ou la déclaration des activités pour un Registre sous-traitant, qui sont également des questions pressantes et des actions à mettre en oeuvre bien avant les PIA.

 

L’application PIA de la CNIL : une approche questionnante

Choisir le PIA comme première application mise à disposition du marché, c’est donner un éclairage fort sur la protection de la vie privée qui est la finalité de la Privacy, alors que la protection des données personnelles n’en est qu’un moyen.

Aborder la mise en conformité par cet outil, c’est aller au coeur du problème et ensuite y intégrer progressivement l’ensemble des éléments nécessaires. A titre personnel, cette approche me séduit beaucoup car elle associe immédiatement la protection des données et celle de la vie privée. Elle permet un diagnostic des risques d’impacts et des non-conformités majeures dans un même espace d’audit déclaratif.

Il est à noter que :

Le législateur a défini des critères de déclenchement pour les analyses d’impacts, il ne considère pas que l’ensemble des traitements doivent être soumis au PIA.

Cela dit les professionnels prévoient que de nombreux traitements rentreront dans ces critères. Le législateur a défini que l’analyse d’impacts pouvait porter sur d’autres objets d’analyses qu’un traitement. Les professionnels prévoient que le PIA sera un excellent outil pour des projets qui engendreront de nombreux traitements comme au hasard la création d’un chatbot.

On peut se poser la question, la CNIL veut-elle faire du PIA la nouvelle déclaration des traitements ?

L’application PIA proposée par la CNIL est parfaite pour des analyses d’impacts de traitements mais elle ne répond pas à l’ensemble des cas décrits par le RGPD. En intégrant des éléments de formalités déclaratives des traitements, on peut faire le choix de déclarer ces traitements en analysant leurs impacts simultanément, ce qui est une approche intéressante mais cela sera-t-il considéré comme conforme en cas de contôle, c’est encore à vérifier.

Que l’on considère que le PIA puisse être une façon de déclarer les traitements ou pas, l’application PIA, aussi bien réalisée soit-elle, ne permettra pas aux DPO, peu ou pas formés, de produire un registre sans l’accompagnement de professionnels de la Privacy.

 

Dans quel contexte arrive le PIA ?

Historiquement, la Privacy n’est un enjeu que pour très peu d’organisations et d’entreprises et quand elle l’est, c’est sous l’unique prisme de la contrainte légale ou réglementaire, assez peu souvent sous le prisme de la valorisation d’un capital immatériel demandant l’inclusion des différentes parties prenantes.

Passer de cette approche réglementaire à une vision de gestion responsable d’un capital sensible va prendre du temps car il existe peu de DPO expérimentés sur le marché. En majorité, ils sont déjà en postes et ceux à venir cherchent à se former.

Les CILs et DPO qui n’ont pas été formés à la discipline de la Privacy ont souvent été recrutés sur des profils juridiques. Ils n’ont pas tous les compétences techniques, managériales d’accompagnement au changement, ou encore de communication et de pédagogie souvent indispensables à leurs missions.

CIL : Correspondant Informatique et Liberté

DPO : Data Protection Officer ou DPD : Délégué à la Gestion des Données

La proposition de la CNIL sur l’inclusion des formalités déclaratives des traitements dans le PIA risque de surprendre et déstabiliser beaucoup de nos jeunes acteurs de la conformité.

 

Get on the bus !

Aujourd’hui, le marché a besoin de comprendre et de connaître ce que signifie une gestion responsable des données. Les responsables de traitements ont besoin d’évaluer les enjeux de la mise en conformité. Garants de la conformité, les responsables de la Privacy doivent sensibiliser les responsables et gérer la mise en conformité de leurs organisations. Pour mener à bien leurs missions, les DPD (DPO) ont besoin d’accompagnement et d’outils.

Réunissant des professionnels de la Privacy depuis 14 ans, l’équipe de DATA TRANSITION a conçu des outils précis et adaptés à toutes les obligations du RGPD, pour répondre aux besoins métiers de toutes les formes et tailles d’organisations. En modélisant les contraintes et l’esprit de la loi dans les outils de My DT PRIVACY, notre approche métier de la conformité répond pleinement aux besoins du marché.

Nos outils sont articulables entre eux pour couvrir toutes les problématiques à résoudre, en permettant le pilotage des projets d’amélioration de la conformité avec l’ensemble des acteurs internes et externes.

Ils intègrent diagnostics, audits, bilans et alertes PIA, actions correctives et recommandations automatisées.

Afin de transférer le plus de connaissances possibles aux utilisateurs, nos logiciels DT Privacy intègrent une aide pédagogique permanente.

Pour accompagner les organisations et les acteurs de la conformité dans leurs démarches Privacy, quels que soient leurs besoins et leur niveau de maturité sur ce sujet passionant, l’équipe d’experts es-Privacy de DATA TRANSITION propose également des programmes de mentoring.