L’importance de la General Data Protection Regulation pour les organisations

Le Bureau de Normalisation a organisé un événement afin d’expliquer comment la General Data Protection Regulation (GDPR) peut être une source d’opportunités pour les organisations. Les orateurs étaient Tom De Cordier de CMS Belgium, Jan De Meyer et Bart Kuipers de PwC, ainsi que Willem Debeuckelaere, Président de la Commission vie privée belge.

La GDPR est un cadre légal qui s’applique à toute l’Europe en vue de mieux protéger les informations personnelles des citoyens européens. En raison d’une interprétation variable de la législation précédente, les organisations devaient auparavant tenir compte de 28 cadres différents relatifs à la protection des données. Bien que cette nouvelle législation soit entrée en vigueur le 25 mai 2016, ces règles européennes ne seront appliquées qu’à partir du 25 mai 2018.

La mise en œuvre de la GDPR est un défi de taille, mais aussi une opportunité pour de nombreuses entreprises, organisations sans but lucratif et administrations.

En quoi la GDPR peut-elle les aider ? 

La mise en œuvre de la GDPR : les risques comme point de départ

Selon Tom De Cordier, partenaire de CMS, la GDPR concerne toutes les organisations. La GDPR porte sur la collecte, le traitement, la gestion et la protection des données personnelles. Il s’agit d’informations qui identifient directement et indirectement une personne.

Tom De Cordier a formulé 13 différences majeures avec l’actuelle loi sur la vie privée, citant notamment les amendes et la répression.

Selon lui, la question la plus délicate à laquelle sont confrontées les organisations est la suivante : « quels sont nos principaux risques ? ». Les organisations doivent se demander s’il est réaliste de respecter totalement la loi. Il estime primordial d’exploiter les possibilités de la législation. C’est la raison pour laquelle il faut commencer par dresser la carte des principaux risques des organisations, pour ensuite les évaluer et tenter de les atténuer à l’aide de mesures adéquates. S’il est impossible d’endiguer suffisamment ces risques, vous êtes, en tant qu’organisation, tenu d’informer la Commission vie privée.

Tom De Cordier est d’avis que la GDPR doit être utilisée comme un outil pour gagner la confiance du client (et du travailleur). Par exemple en garantissant une transparence accrue : que partagez-vous avec qui, combien de temps ces informations sont-elles conservées, et quelles sont les mesures de sécurité ?

Comment les normes peuvent-elles contribuer à la protection des données ?

  1. La GDPR promeut des codes comportementaux, des certificats, des labels, des marques, etc.
  2. Les organismes de normalisation comme le NBN ont développé plusieurs normes internationales relatives à la protection des informations et des données privées. La plus importante étant sans aucun doute la norme ISO 27001.
  3. Les normes ne garantissent en rien le respect des règles, mais proposent un cadre de référence pour l’application de la réglementation. Une norme doit être considérée comme une « meilleure pratique ».
  4. Les normes offrent en outre un cadre de référence pour la certification. Il est déjà possible de se faire certifier pour la norme ISO 27001.

Comment se préparer à la GDPR et rester en ordre d’un point de vue risques et technologie

Selon Jan De Meyer et Bart Kuipers (PwC), la confidentialité et la sécurité sont indissociables. Deux approches sont envisageables pour la GDPR :

  1. Respecter totalement la GDPR (la question à se poser alors est de savoir si c’est possible), ou
  2. Endiguer les risques (approche pragmatique)

Il importe qu’au sein d’une organisation, un cadre clair et compréhensible pour tous soit établi. La norme ISO 27001 constitue une bonne base pour la mise en œuvre de la GDPR. Mais la norme ISO 27001 est actuellement incomplète, car la protection des informations part d’une approche plus classique : le risque de l’entreprise. Pour la GDPR, cela ne suffit pas : le point de départ est le risque pour le client ou le citoyen, et les conséquences d’une utilisation illégitime de ces informations personnelles.

D’après Jan De Meyer et Bart Kuipers, la certification GDPR est importante, car elle indique si une organisation respecte ou non la GDPR. La certification gagne en importance lorsque l’on souhaite externaliser diverses activités impliquant un traitement des informations personnelles. Cela peut par exemple être le cas pour le traitement des salaires ou les laboratoires médicaux. Le donneur d’ordre souhaite que le prestataire (celui qui traite l’information) gère correctement les données personnelles. Le donneur d’ordre reste en effet responsable de ce qu’il advient des données de son personnel ou de ses patients.

Pour appliquer la GDPR, il est primordial de comprendre ce qu’il en est aujourd’hui de la protection des informations. Les modèles de maturité sont à cet égard un instrument utile. Il est en outre possible de commencer à dresser la carte des processus ou des systèmes qui présentent les plus gros risques. Sur cette base, plusieurs projets pilotes visant la conformité à la GDPR sont initiés, avec des objectifs précis en matière de protection des informations.

Le rôle de la Commission vie privée

Pour finir, Willem Debeuckelaere, Président de la Commission vie privée belge, a pris la parole.

Les entreprises qui négligent la GDPR peuvent s’attendre à de lourdes sanctions. Les amendes peuvent atteindre 2 % du chiffre d’affaires annuel. Dans les cas les plus graves, elles peuvent grimper jusqu’à maximum 20 millions d’euros.

Selon Willem Debeuckelaere, de nombreuses entreprises s’inquiètent du fait qu’à partir du 25 mai de l’année prochaine, la Commission vie privée infligera de fortes amendes, mais cela n’est pas nécessaire. Cette commission est un chien de garde et non une arme. En outre, l’obligation de justification est ce qu’il y a de plus important dans la GDPR. Les organisations doivent être en mesure de démontrer qu’elles gèrent correctement les informations personnelles. En principe, elles ne doivent signaler les risques élevés que si elles ont tout mis en œuvre pour endiguer ces risques, mais sans y parvenir.