Les 5 derniers mois
Connaissez-vous réellement le niveau d’exigence et de risque qui s’impose aujourd’hui aux entreprises, associations et organismes français ou étrangers collectant ou traitant des données de citoyens français ? En octobre 2020, Elizabeth Denham de l’Information Commissioner’s Office (ICO)[1], a commenté ainsi les deux amendes historiques prononcées à l’encontre de British Airways et Marriott suite à des fuites de données : « Les données personnelles sont précieuses et les entreprises doivent en prendre soin. Suite à l’échec [de l’entreprise condamnée], des personnes ont dû prendre des actions par elles-mêmes pour protéger leurs données personnelles parce que l’entreprise à qui elles les avaient confiées ne l’avait pas fait. ». Les manquements constatés mettaient en avant des accès insuffisamment limités aux données ou applications, l’absence de tests de cyber-attaques ainsi que l’absence d’authentification renforcée des utilisateurs et sous-traitants…
Préalablement à ces décisions, et en application du mécanisme de coopération prévu par le RGPD, la CNIL a pu se prononcer sur ces décisions tant s’agissant des manquements retenus que des montants des amendes proposées. Elle a notamment estimé que ces montants substantiels, et les plus élevés à ce jour en matière de sécurité, étaient proportionnés au regard de la gravité des manquements constatés. Au même titre que l’amende prononcée en 2019 à l’encontre de Google, qui était-elle relative aux mécanismes de consentement des utilisateurs.
Si les entreprises ont jusqu’au 25 mai 2021 pour se mettre en conformité avec le RGPD, la peur de la sanction ne devrait pas en être l’argument principal. En effet, bien anticipée, cette contrainte peut être pour les entreprises une opportunité de rassurer leurs salariés, clients et partenaires concernant la bonne gestion de leurs données personnelles et de communiquer sur leurs valeurs de respect, de maîtrise de leur système d’information et de transparence.
Aux deux tiers du chemin
Avec 21 000 DPO (Data Protection Officers) nommés par les entreprises fin octobre, la plupart des grandes entreprises sont en bonne voie pour respecter le RGPD dans les temps. Cette première étape du RGPD en passe de se terminer, consistait outre la nomination des DPO, à cartographier les données et traitements existants, préciser les contraintes pesant désormais sur chacun d’eux (accès, sauvegarde, péremption…), constater et auditer les zones à risque, prioriser et réaliser les travaux et changements de procédures nécessaires et documenter la conformité finalement atteinte.
Avec l’effervescence des technologies disruptives se profile déjà un nouveau défi pour les entreprises : comment garantir, avec le déploiement rapide de la 5G, du Big Data, de l’Intelligence Artificielle et des objets connectés, que le niveau de conformité atteint au 25 mai prochain sera conservé ?
En matière de procédures des systèmes d’information, le changement le plus structurant concerne la durée de vie d’une donnée personnelle. Jusqu’au RGPD, c’était essentiellement le type de données, ou le manque de place mémoire, qui gouvernait la décision de sa suppression à une date donnée. Aujourd’hui c’est l’usage qui en est fait qui est le critère dominant. Pour mieux expliciter ces propos : comprenez que deux données de même type, tel que le numéro de téléphone de deux clients, peuvent avoir des durées de vie non seulement différentes mais susceptibles d’évoluer si l’un des clients s’abonne, par exemple, à un service supplémentaire. Ce qui explique une complexité certaine, avec ajoutée à cela, des Systèmes d’Information qui n’étaient pas prévus pour la supporter.
L’application du RGDP n’est pas uniquement un problème SI
Loin d’être limitée aux failles de sécurité et nouvelles fonctionnalités des Systèmes d’Information, la protection des données personnelles impacte désormais pratiquement tous les process de l’entreprise. Elle doit désormais être prise en compte dans des cas de figures divers : le changement de sous-traitant ou de fournisseur, l’utilisation de matériel géolocalisable par les salariés, le développement du télétravail, l’utilisation d’outils externes de recrutement, l’installation de capteurs ou de vidéosurveillance, etc. Notons toutefois qu’il reste beaucoup à faire sur ce sujet, en matière d’évolution des procédures et de déploiement d’outils « secure by design ».
Le 25 mai est donc loin d’être le sommet de la montagne pour le DPO. Les deux challenges suivants, qui sont conserver la conformité « malgré » les nouveaux outils et accompagner les modifications de procédures non informatiques impactées par le RGPD, sont au moins aussi complexes que l’étaient ceux des 3 dernières années.
La Charte RGPD du Groupe Astek
Acteur du secteur numérique, le Groupe a relevé le défi de trouver des solutions pérennes compatibles avec des traitements de masse banalisés. Au-delà du simple respect des règles, nous entretenons et diffusons une véritable culture du respect de la donnée. Nous mettons ainsi en œuvre nos compétences RGPD à la fois dans le conseil et le déploiement de dispositifs de protection, dans le traitement de nos propres données, en tant que Responsable de traitement au sens du RGPD, mais aussi lors de nos prestations auprès de nos clients, en tant que Sous-traitant des données, au sens du RGPD.
En tant que Responsable de traitement, au sens du RGPD, nous garantissons ainsi que les données personnelles que nous collectons lors des processus de recrutement ne sont utilisées que pour nous permettre d’évaluer la capacité à occuper l’emploi proposé et de proposer le poste le plus pertinent. Et que les données des candidats non retenus sont supprimées au plus tard deux ans après le dernier contact.
Les données de nos collaborateurs ne sont utilisées que pour l’organisation du travail, la gestion administrative du personnel, des carrières et formations. Elles sont conservées au plus tard 5 ans à l’issue du contrat de travail.
Les données de tiers (clients, prospects, fournisseurs, etc.) ne sont utilisées que pour respecter les obligations contractuelles et réglementaires, maintenir les relations nécessaires à notre métier (commerciale, maintenance, approvisionnement, etc.) et l’accessibilité au Système d’Information, analyser un produit client existant ou en cours de développement à tester ou faire évoluer, ou encore pour des besoins clairement identifiés propres à un projet spécifique. Sauf indication contractuelle spécifique ces données sont conservées au plus tard 5 ans à l’issue de la relation contractuelle ou commerciale.
Dans le cadre d’un projet réalisé pour un client, nous pouvons être amenés à accéder et travailler sur les données personnelles stockées sur le système d’information de ce client, faisant d’Astek un Sous-traitant au sens du RGPD. Le client fixe alors les règles applicables et le Groupe Astek s’interdit d’utiliser ces données hors de ces règles tout en garantissant leur destruction au terme de son intervention.
Nos collaborateurs sont tenus à la plus stricte confidentialité des données auxquelles ils accèdent. Ils sont sensibilisés aux mesures de sécurité à mettre en œuvre quotidiennement et aux procédures d’urgence en cas de violations des règles de protection.
Nous veillons à la sécurité et à l’intégrité des données personnelles faisant l’objet d’un traitement. Ainsi, nous avons mis en place des mesures de sécurité adaptées afin d’assurer la protection de ces données en fonction de leur sensibilité et le respect des durées de conservation. Pour cela, notre DPO assure le maintien à jour du registre recensant ces données, en précisant l’objectif poursuivi, les catégories de données personnelles utilisées, les personnes ayant accès à ces données et leur durée de conservation.
Le Groupe garantit ainsi l’effectivité des droits d’accès, d’information, de rectification, d’opposition, à l’oubli, à la limitation des traitements et à la portabilité des données personnelles, dont la mise en œuvre suppose, si vous souhaitez faire valoir l’un de ces droits, de prendre contact avec notre DPO.