Avec le RGPD qui rentre en application ce 25 Mai, les entreprises s’assurent de leur conformité mais il est aussi nécessaire de s’assurer de la conformité de tous les partenaires commerciaux potentiels. Les plans du RGPD remontent à des années et de nombreuses ressources existent en ligne telles que le CNIL en France, le ICO au Royaume-Uni, et le DPC en Irlande. Chacune de ces institutions fournit des documents permettant de lire et comprendre l’étendue du RGPD. Ces six derniers mois, nous avons reçu des questions et interrogations sur ce sujet spécifique, voici nos réponses :

Quelle démarche pour être conforme au RGPD ?

Lorsque nous discutons conformité avec des fournisseurs et des clients, nous regardons le RGPD avec une approche de la protection des données fondée sur les risques et nos discussions s’orientent généralement sur trois perspectives, (1) Quels sont les droits des personnes sujettes à ces données, (2) Quels en sont les risques et plus précisément les risques concernant leur droit à la vie privée et (3) toute considération supplémentaire comprenant des catégories spécifiques de données. Ceci est un domaine très large et lorsque nous mettons en place une Évaluation d’Impact de la Protection des Données (EIPD), la conversation évolue et se concentre sur les endroits spécifiques nécessitant notre attention.

Quels sont les risques et comment sont-ils évités ?

La réponse à cette question est souvent technique et relève de l’informatique plutôt que des politiques ou procédures. De nombreux risques relèvent du manque de cryptage, de la localisation des serveurs cloud, de la transmission de données et du contrôle des accès. Si la majorité est ouverte à la critique et l’opinion, ces risques dépendent généralement de l’état actuel de la technologie en relation aux dernières menaces et contre-mesures accessibles ainsi que de savoir ce qu’est la meilleure sécurité pour les données prises en considération. Ces révisions et investissements ne doivent pas nécessairement être hors de prix, de nombreux risques peuvent être gérés en travaillant avec des professionnels informatiques qui comprennent la technologie et comment la déployer avec les meilleurs niveaux de protection. Il faut aussi mentionner qu’il n’existe rien de tel qu’un niveau de protection à 100%. Beaucoup des organisations mondiales principales de sécurité ainsi que les entreprises technologiques prédominantes ont eu des soucis de sécurité, ce qui nous permet de conclure qu’il faut approcher la sécurité de l’information comme une technologie faisant partie d’une culture beaucoup plus large de protection de la vie privée et pas seulement comme des données cryptées ou un firewall à jour.

Comment les relations commerciales vont-elles changer avec le RGDP ?

L’Article 32 (Sécurité du traitement) ne spécifie pas les mesures de sécurité exactes pour les raisons mentionnées ci-dessus et laisse le doute planer, utilisant des termes comme « assurer un niveau de sécurité approprié au risque », ce qui n’est pas la même chose concernant l’aspect relationnel de cette politique. La relation avec le sous-contractant ou contrôleur/transformateur doit dorénavant être gouvernée par un contrat contenant certaines stipulations. Avant le RGDP, les accords commerciaux devaient juste stipuler une clause précisant qu’il fallait être conforme à la législation applicable, c’est-à-dire la Directive européenne 95/46 sur la protection des données. Ces provisions étaient souvent vagues, datées et ne reflétaient pas la réalité commerciale d’une telle relation. L’Article 28 (transformateur) stipule que « Le traitement par un transformateur doit être régi par un contrat ……. Ce contrat stipule notamment que le transformateur ……. », notamment ce qui suit :

1. Avoir des instructions documentées sur la façon de traiter les données.

2. Dispositions de confidentialité.

3. Dispositions relatives à la sécurité appropriée (article 32).

4. Instructions pour n’engager que des processeurs tiers avec l’autorisation écrite du responsable du traitement.

5. Clauses stipulant que toutes les dispositions et obligations de l’accord doivent être reproduites à tous les sous-traitants supplémentaires.

6. Tenir compte de la nature du traitement et des types de données lors de l’exécution des obligations et de l’exercice des droits des personnes concernées.

7. Aider le responsable du traitement à rechercher la consultation des personnes concernées et la sécurité du traitement.

8. Des dispositions garantissant que le responsable du traitement dispose de toutes les informations nécessaires pour démontrer la conformité.

Qu’est-ce que cela signifie pour mes contrats en cours ?

De nombreuses organisations hésitent à discuter de ces nouvelles dispositions avec des clients ou des fournisseurs en raison de la crainte d’avoir à renégocier complètement un contrat. Mais en réalité, les exigences ci-dessus peuvent être satisfaites par la mise en œuvre d’un addendum de protection des données qui reflète les exigences du GDPR ci-dessus sans avoir besoin de renégocier l’ensemble du contrat.

En interne, nous sommes dans le processus d’élaboration d’une Évaluation d’Impact de la Protection des Données (EIPD), examinant le risque sur la base de ces évaluations et le traduire dans les stipulations visées par l’Article 28. Ce processus n’est pas un exercice sur papier, mais il s’agit d’une entité en direct très concrète au sein de notre entreprise, où les procédures opérationnelles sont ajustées pour refléter ce que nous devons faire afin de protéger les droits des personnes concernées. Le parti des travailleurs a mentionné concernant l’Article 29 que la façon la plus simple de démontrer la conformité est de réaliser des EIPD et que, lorsqu’elles sont effectuées correctement, il est beaucoup plus facile de se conformer aux exigences de l’Article 28. Bref, faites vos EIPD et assurez-vous que les changements sont faits et que la relation contractuelle est réfléchie et conforme!