Faire de la conformité au RGPD autre chose que de la paperasse

L’entrée en vigueur du RGPD, le 25 mai 2018, a été une forme d’électrochoc pour de nombreuses entreprises et organisations qui découvrirent l’existence d’obligations légales en matière de données personnelles. La plupart de ces obligations remontaient pourtant à la loi du 6 août 2004, voire tout simplement à celle du 6 janvier 1978.

La conformité RGPD « sur le papier »

S’en est suivi une période frénétique de mise en conformité qui s’est souvent résumée à deux choses : rédiger des « politiques de protection des données » et vouloir faire de tout prestataire de service un « sous-traitant » au sens du RGPD tenu de signer un contrat conforme à l’article 28 du RGPD… y compris lorsque les services du prestataire n’ont rien à voir avec le fait de traiter des données personnelles selon les instructions du responsable de traitement. 

Non pas qu’il ne fallait pas réaliser ces actions de conformité, mais c’était regarder le problème par un seul bout de la lorgnette. Car le problème de la « paperasse », même quand elle peut être électronique, c’est qu’elle est à peu près obsolète au moment même où elle est produite. Pire, elle est souvent faite sans discernement : les politiques de protection des données peuvent être des déclarations qui ne sont pas mises en œuvre, les contrats peuvent mettre à la charge de sous-traitants, qui n’en ont que le nom, des obligations qui ne leur sont pas applicables.

Or, d’autres exigences de conformité au RGPD n’ont pas fait l’objet de la même attention des responsables de traitement et le moment est venu de passer à une autre dimension dans la conformité RGPD. 

Si l’on regarde les sanctions prononcées par la CNIL, on voit automatiquement émerger les sujets sur lesquels l’attention doit d’abord être portée pour assurer sa conformité RGPD, dans les faits et pas seulement sur le papier…

Sécurité des données, pertinence des données collectées, durée de conservation des données sont les trois principales sources de non-conformité au RGPD et de sanctions de la CNIL. Or, ce ne sont ni les politiques de protection, ni les contrats de sous-traitance qui vont aider les responsables de traitements à respecter leurs obligations sur ces sujets. 

La quatrième source de sanction est le défaut d’information claire des personnes concernées. Paradoxalement, même lorsqu’il s’agit de rédiger un texte, les entreprises peuvent être prises en défaut. Pourquoi ? Parce qu’il est difficile d’informer clairement les personnes lorsque le rédacteur de l’information n’est pas lui-même au clair sur ce que l’entreprise fait des données personnelles, pourquoi et pendant combien de temps.

La conformité RGPD « informatisée »

Il résulte de ce qui précède que le grand oublié de la conformité RGPD, au cours des dernières années, est le « privacy by design ». Or, ce n’est qu’en appliquant ce principe que les entreprises sortiront d’une vision « paperassière » de la conformité RGPD pour entrer dans une ère où l’outil informatique les aidera à être conformes au RGPD.

Aucune décision d’achat d’un progiciel, qu’il s’agisse d’un progiciel « Saas » ou « On premises », ou décision de lancement d’un développement de logiciel spécifique ne doit plus se prendre sans un vrai cahier des charges « privacy by design ». Et il ne s’agit pas de renvoyer le problème à l’éditeur par une simple mention de ce type : « l’éditeur garantit que le logiciel fourni est conforme à la législation en matière de données personnelles », mention qui n’a strictement aucun sens et aucun effet.

Il s’agit pour le responsable de traitement de penser réellement, en termes fonctionnels, les outils et processus qui, au sein de l’applicatif, vont l’aider à ce que ses traitements de données personnelles soient conformes au RGPD. Il convient de dérouler une méthode simple en trois temps : concevoir, formaliser, contrôler.

Concevoir c’est identifier l’exigence réglementaire RGPD à respecter et la traduire en termes fonctionnels et techniques. Formaliser c’est définir précisément dans un cahier des charges la fonctionnalité à implémenter pour respecter l’exigence. Enfin, il faudra contrôler le bon fonctionnement de la fonctionnalité lors de la recette mais également à chaque évolution de l’application. Le cycle concevoir / formaliser / contrôler doit être joué pendant toute la durée d’exploitation de l’application, à chaque évolution majeure. S’il s’avère que l’outil informatique n’est pas assez souple pour atteindre un objectif fonctionnel RGPD, alors il faudra définir des processus humains pour pallier cette difficulté.

Donnons deux exemples de mise en pratique parmi les exigences essentielles d’une conformité RGPD.

Premier exemple : la définition, dans le modèle conceptuel de données, d’une durée de validité des données afin qu’une suppression, une anonymisation ou un archivage automatisé des données soit possible. Nous le savons, supprimer les données « à la main » est concrètement difficile, si ce n’est impossible, à mettre en œuvre. Une application qui n’est pas pensée ab initio avec un système logique de suppression des données personnelles par rapport à une durée de conservation prédéfinie à la suite d’une analyse juridique est une application défaillante au regard de l’obligation du « privacy by design ». 

Dans sa décision du 20 juillet 2021, la CNIL a infligé une amende de 1 750 000 euros à SGAM AG2R LA MONDIALE principalement parce que le système d’information de l’entreprise ne gérait aucune durée et conservait au-delà des durées prévues, voire indéfiniment, les données personnelles de ses clients et prospects. 

Inutile donc d’avoir une politique de protection des données personnelles si le système d’information ne sait pas l’appliquer…

Second exemple : la définition limitative des champs de données se rapportant à un individu par rapport à l’objet du traitement. Dans de nombreux cas, les entreprises ne savent pas pourquoi elles ont, ni pourquoi elles demandent telle ou telle donnée relative à une personne. La simplicité d’obtenir des données et de les mettre en base fait qu’on les collecte sans toujours savoir pourquoi… au cas où. L’ouverture de nouveaux champs de données se rapportant à une personne doit être une opération verrouillée et seulement possible lorsqu’autorisée par un référent RGPD en mesure de valider juridiquement la pertinence de la collecte de telle ou telle donnée.

Si l’entreprise a l’ambition de se doter d’outils informatiques performants, alors elle doit aussi avoir l’ambition que ces outils l’aide à se conformer au RGPD. L’effort à produire est somme toute modeste au regard des objectifs du RGPD… et au regard des sanctions.