Le magazine Solutions Numériques a invité en mars 4 experts (EdenRed, Franklin Templeton Investments, Linklaters et OneTrust) pour parler des analyses d’impact des risques liées au traitement des données personnelles (AIPD) par les entreprises, Découvrez si vous êtes conforme vous aussi avec le RGPD.
Vaste sujet, qui mérite l’organisation de ce webinaire très suivi car la responsabilité juridique de l’entreprise peut être engagée si elle ne réalise pas, ou mal, une analyse d’impact des risques pour les personnes quand elle procède à un traitement des données personnelles (AIPD ou Privacy Impact Assessment en anglais).
Mais grâce aux 4 experts présents (EdenRed, Franklin Templeton Investments, Linklaters et OneTrust) lors de cette nouvelle « Table ronde de la rédaction » de Solutions Numériques, l’audience a compris comment mieux optimiser ses analyses d’impact des risques pour la vie privée (EIVP). Ces dernières sont souvent longues, complexes et coûteuses à réaliser régulièrement par des millions d’entreprises en France. D’ailleurs, toutes n’avaient pas encore fait le nécessaire pour se mettre en conformité, même deux ans après la mise en place du RGPD (Règlement européen sur la Protection des Données) selon une étude internationale réalisée fin 2019 par Tanium.
La Cnil contrôlera davantage les formulaires déclaratifs en 2021
Les entreprises ont pourtant intérêt à accélérer leur mise en conformité avec ce règlement européen. La Cnil, l’autorité française chargée de la conformité avec le RGPD, a déclaré en mars 2021 qu’elle contrôlera davantage les formulaires de recueils des données personnelles, dans la santé notamment.
Quand une entreprise réalise un traitement ou la collecte de données personnelles, ce qui arrive de plus en plus fréquemment dans notre univers hyper connecté, elle doit obligatoirement mener en amont une analyse d’impact sur la vie privée, ne serait-ce que pour s’assurer qu’il n’y a pas d’atteinte aux droits ou à la vie privée des personnes concernées, comme l’a très bien expliqué Astrid Peyrard, la responsable de la Protection des données d’EdenRed Groupe.
Elle nous a décrit les quatre grandes étapes du processus d’analyse d’impact : « Tout d’abord, l’entreprise doit décrire ce qu’elle fait avec les données, puis analyser la proportionnalité, et donc l’éventuel caractère intrusif des données – est-ce que l’entreprise va trop loin, en collecte trop ou les garde trop longtemps ? -, ensuite, elle doit identifier les risques potentiels liés par exemple à la disparition de la donnée, à un accès illégitime, etc. Enfin, l’entreprise doit présenter un plan où elle s’engage à mettre en place des actions pour couvrir ce risque jusqu’à ce qu’il soit à un niveau acceptable, et dans un délai raisonnable ».
Appliquer le règlement RGPD à la lettre
Et la tâche n’est pas si simple pour les entreprises qui ne connaissent pas bien le RGPD, comme l’a rappelé Me Cissé, avocate chez Linklaters : « Si un projet de traitement des données répond à au moins deux des 9 critères définis par le RGPD (cf. articles 30 et 35.1) pour motiver une analyse d’impact, l’entreprise doit en déclencher une. Mieux vaut pour elle de s’y conformer et de montrer qu’elle a fait le nécessaire pour éviter une sanction. Il n’y a pas de délai minimum à respecter pour déclencher l’analyse d’impact avant la mise en œuvre du projet ». Notre experte juridique a donné davantage de détails que vous pourrez découvrir dans la vidéo du webinaire ou en la consultant.
Les exemples motivant la création d’une analyse d’impact sont très nombreux
Les exemples motivant la création d’une analyse d’impact sont très nombreux comme l’a rappelé ensuite Eric Bedell, responsable Privacy Global de Franklin Templeton Investments. Le DPO de cette importante société d’investissements financiers nous a donné lui aussi quelques exemples d’EIVP dans son univers très régulé, par les Autorités financières européennes notamment. « Par exemple, pour s’assurer que nos clients ne blanchissent pas d’argent, nous devons collecter certaines informations sur leurs activités et une copie de leur passeport. L’Autorité de régulation nous oblige aussi à en collecter sur les collaborateurs que nous recrutons, pour nous assurer par exemple qu’ils n’ont pas eu de soucis avec la justice ou pour vérifier s’ils ont des conflits d’intérêt avec nos clients. Pour toutes ces raisons, nous sommes donc un peu au-dessus de la moyenne avec nos quelques 250 traitements de données personnelles déclarées dans le registre ».
Un simple tableur suffit-il pour bien réaliser une analyse d’impact ?
Alors, quel outil utiliser pour réaliser une analyse d’impact sur la vie privée (EIVP) réussie ? Astrid Peyrard nous a rappelé l’existence d’un logiciel PIA compatible avec la méthodologie de la CNIL, l’autorité française chargée de la conformité avec le RGPD, pour laquelle elle a d’ailleurs travaillé précédemment. Toutefois, si le formulaire de cette organisation publique est gratuit, il est très rudimentaire, contrairement à la solution commercialisée par l’éditeur OneTrust par exemple.
« Plus les organisations sont sophistiquées et de grande taille, plus elles commencent à investir dans des outils de PIA comme celui de OneTrust » explique Sandrine Lagrange, ingénieur Solutions de l’éditeur One Trust. « Nos solutions leur permettent de voir non seulement les traitements réalisés, mais aussi les écosystèmes tout autour (fournisseurs, marchés, etc.). Et surtout, les entreprises peuvent mettre facilement leur registre à jour et s’assurer qu’elles présentent les risques de façon claire. Une solution comme celle de OneTrust les aide à réaliser ce travail en profondeur et dans la durée »
Astrid Peyrard a aussi mis en garde l’audience contre la tentation d’acheter des outils PIA moins professionnels que ceux d’un éditeur comme OneTrust par exemple : « Attention à ne pas acheter des outils qui ne sont pas conformes, qui peuvent générer des coûts supplémentaires au final. J’insiste aussi sur le fait que le DPO doit instaurer en parallèle la culture du projet en amont avec ses développeurs et les fournisseurs ».
Quid du ROI et de l’information des collaborateurs ?
Je vous invite à regarder la vidéo du webinaire pour découvrir comment convaincre le DSI ou le Comex d’investir dans ce type d’outil et de répondre à ses questions en matière de retour sur investissement (ROI). Vous y apprendrez également comment une entreprise peut garantir à ses salariés que leurs données sont bien protégées et de manière transparente. « C’est un sujet complexe qui va au-delà du remplissage et de la rédaction correcte d’un registre PIA, lequel leur permet avant tout de vérifier les traitement mis en œuvre et de s’assurer du respect des bonnes pratiques, lesquelles doivent être également connues des salariés ».
Avec la participation de :
-
- Astrid Peyrard, Groupe Data Protection Officer d’Edenred
- Eric Bedell, Chief Privacy Officer EMEA/Luxembourg de Franklin Templeton Investments
- Sonia Cissé, avocate, Linklaters
- Sandrine Lagrange, Solution Engineer, One Trust
- Olivier Bellin, rédacteur en chef
