Fermer la publicité

Parole d'expert RGPD : introduire du pragmatisme dans la mise en conformité

le - - Droit et Chiffre

RGPD : introduire du pragmatisme dans la mise en conformité
D.R. - Pour Anne Sendra, "il est nécessaire que l'entreprise adopte une démarche structurée lors des différentes étapes du déploiement de sa conformité."

Si les entreprises sont tenues de se mettre en conformité avec le Règlement général sur la protection des données (RGPD), la technicité des règles juridiques ne fait pas obstacle à l'adoption d'une approche pragmatique et agile.

Le Règlement général sur la protection des données (RGPD ; règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 entré en vigueur le 25 mai 2018) a imposé aux entreprises du secteur privé et du secteur public de mobiliser des ressources et de l'énergie pour se mettre en conformité. Les risques en cas de non-conformité sont suffisamment dissuasifs pour convaincre les plus réticents. Le montant maximum des amendes administratives s'élève jusqu'à 20 000 000 € ou 4 % du chiffre d'affaires annuel mondial de l'exercice précédent. Outre ces conséquences financières, les entreprises sanctionnées doivent également faire face à un risque d'image significatif.

A ce contexte réglementaire technique, s'ajoute un niveau de maturité très différent d'une entreprise à l'autre, ce qui a conduit certaines d'entre elles à ne pas savoir « par quel bout prendre le RGPD ». En la matière, la technicité des règles juridiques ne fait pas obstacle à l'adoption d'une approche pragmatique et agile. La question de la gestion des sous-traitants servira d'exemple pour illustrer nos propos.

Gestion des sous-traitants

Le RGPD impose aux responsables de traitement et aux sous-traitants de conclure des contrats écrits afin de formaliser une série d'engagements à la charge desdits sous-traitants : obligation de ne traiter les données personnelles que sur instruction documentée du responsable de traitement, engagement de confidentialité des salariés des sous-traitants, notification des violations de données dans les meilleurs délais, etc.

A cette obligation de formalisation contractuelle, s'ajoute le fait que le responsable de traitement est censé vérifier que les sous-traitants auxquels il fait appel présentent des garanties suffisantes pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du RGPD.

Le respect de ces exigences a de lourdes conséquences organisationnelles pour les entreprises. Elles doivent :

  • identifier les sous-traitants qui traitent des données personnelles pour leurs comptes, et ce quel que soit le service qui y fait appel (Direction des systèmes d'information, service RH, service marketing, etc.) ;
  • adresser les avenants requis aux sous-traitants (et gérer leurs éventuelles réponses ou absences de réponse) ;
  • vérifier que les sous-traitants (qu'ils soient au stade de l'appel d'offres ou qu'ils soient déjà référencés) présentent les garanties suffisantes.

Ces travaux peuvent apparaître excessivement chronophages si l'entreprise n'adopte pas une posture pragmatique.

Il est nécessaire que l'entreprise adopte une démarche structurée lors des différentes étapes du déploiement de sa conformité. Ainsi, l'entreprise pourra établir des priorités en tenant compte des risques que représentent les prestations sous-traitées : par exemple en hiérarchisant selon la nature des données traitées par les sous-traitants, la volumétrie de données traitées, le caractère transversal des prestations sous-traitées, etc.

De manière similaire, elle pourra faire preuve de pragmatisme en cas de défaut de réponse de la part de certains sous-traitants. Outre des relances (qui démontreront la « bonne foi » de l'entreprise), elle pourra également documenter l'importance de ces sous-traitants et les difficultés qu'elle rencontrerait à en changer.

Enfin, pour certains sous-traitants, le responsable de traitement pourra - dans un premier temps - documenter le fait qu'ils présentent des garanties suffisantes en se référant aux éventuelles normes ou accréditations de ces sous-traitants (ISO 27001, etc.). Dans un second temps, le responsable de traitement pourra compléter cette documentation, notamment par l'envoi de questionnaires, la demande d'assistance dans le cadre d'une analyse d'impact sur la vie privée voire la réalisation d'audits.

Ce type de démarche a également pour vertu de démystifier certains sujets complexes et de permettre une « mise en balance » des risques et des mesures déployées pour les limiter, à l'instar de ce qui est souhaité par le RGPD.




Les Nouvelles PUBLICATIONS

Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Nouvelles Publications Journal d'annonces légales et d'informations économiques et juridiques pour le département des Bouches-du-Rhône

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer