RGPD : quatre ans après, où en sommes-nous ?
Cela fait maintenant quatre ans que le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur. Si le dispositif a fait preuve de sa solidité, des faiblesses n’en demeurent pas moins dans sa mise en œuvre au sein des organisations.
Face aux principales zones de risque, deux grandes pistes se dégagent pour maîtriser au mieux sa conformité RGPD : l’audit interne et le digital.
Ne pas sous-estimer le risque de conformité RGPD
Les 384 contrôles effectués par la CNIL en 2021 ont donné lieu à des amendes en très forte augmentation : 214 M€ (+55%) selon son dernier rapport annuel d'activité. En contexte pandémique, sa mission s'est concentrée sur les données de santé, tout en assurant une continuité sur la bonne gestion des cookies et en portant une attention nouvelle à la cybersécurité des acteurs du web français.
RGPD : un dispositif solide, mais des faiblesses dans sa mise en oeuvre
La CNIL a également un rôle d'accompagnement. Pour faciliter la mise en œuvre du RGPD, elle produit des guides et ressources sectorielles qui aident à assurer une bonne gestion de la conformité RGDP.
Mais force est de constater que de nombreux écueils persistent à un niveau opérationnel au sein des organisations, quel que soit leur secteur d'activité.
Certains de ces écueils présentent une forte récurrence. Nous considérons que trois d’entre eux méritent une attention particulière : la gestion des accès aux systèmes d’information (SI), la conservation des données et la subdélégation de responsabilité auprès de prestataires.
1- La gestion des accès aux systèmes d’information
La gestion des accès aux SI est un sujet prééminent de sécurité informatique, allant bien au-delà du sujet RGPD. La sécurité logique d'accès constitue le risque principal d'atteinte aux données, le fameux “Data Breach”. Une faiblesse entraîne des sanctions qui peuvent être majorées en cas de non-respect des bonnes pratiques.
Au sein d’une organisation, la Direction des Systèmes d'Information ou le Responsable de la Sécurité des SI sont les principaux interlocuteurs garants de la sécurité des SI. Il leur revient d’apporter du confort quant au niveau de protection adéquat et capacité à répondre aux risques, qu’ils soient internes (comme les droits accordés aux collaborateurs) ou externes (comme la menace cyber).
2- La conservation des données
Nos clients s’interrogent à raison sur la bonne durée de rétention à considérer selon la nature et l’usage des données. La décision finale concernant la durée à retenir appartient au responsable de traitement, comme l'a rappelé la CNIL dans son guide pratique.
Dans ce cadre, l'organisation doit évaluer ses pratiques, besoins réels et être capable de motiver la durée de conservation retenue avec une limite de temps acceptable. En outre, des usages informatiques récents, tels que les dossiers partagés ou les fonctionnalités d’applications comme Teams avec prise de notes automatique, génèrent nécessairement de nouvelles données. L’emploi de ces supports exige d'acquérir une bonne maîtrise en termes de règles de conservation, d’archivage et de suppression des données.
3- La sub-délégation de responsabilité auprès de prestataires
Lorsqu’il y a sub-délégation (subservice provider ou sous-traitant du sous-traitant), les responsabilités en cascade accordées aux prestataires rendent de plus en plus complexe la maîtrise des données de l’organisation manipulées par des tiers et un suivi via le registre des traitements.
Les organisations sont en droit d’attendre davantage d’assurance sur la façon dont un prestataire garantit un usage, une protection et une conservation adéquates de leurs données à son niveau et celui de son propre sous-traitant. La gestion d'un écosystème croissant de prestataires aux contours souvent flous et mouvants devient une activité à plein temps, notamment de gestion des risques.
Pour les prestataires IT d'hébergement cloud et les éditeurs d'applications SaaS, viennent s'ajouter des sujets de territorialité et de transfert de données hors de l’Union européenne. Une des difficultés à surmonter pour le client est de savoir précisément où sont ses données à un instant t.
Dès lors, comment maîtriser au mieux ses risques et sa conformité RGPD ?
Au regard de cet état des lieux, nos recommandations pour obtenir un plus grand niveau d’assurance sont d’une part d’évaluer le niveau de maturité des dispositifs en place autour de la conformité RGPD, d'autre part d’envisager une solution digitale de gestion des risques.
1- L’audit interne pour évaluer les dispositifs de conformité RGPD
Il est souhaitable d'auditer de façon périodique les différents domaines de la conformité RGPD et plus particulièrement les tiers responsables pour s'assurer d'un niveau satisfaisant de protection au regard des bonnes pratiques.
Le niveau d’assurance varie selon que l'évaluation est gérée par le biais de questionnaires principalement déclaratifs, ou effectuée de façon approfondie et indépendante sous la forme d'un audit sur site. Le modus operandi recherché est un mix équilibré de ces différentes méthodes, en tenant compte de la charge de travail induite par des audits potentiellement multiples.
2- Le digital pour optimiser la gestion des risques RGPD
Par ailleurs, des solutions digitales présentent de nombreux avantages pour aider une organisation à gérer au mieux ses risques, identifier ses zones de faiblesse et développer un plan de renforcement adapté.
Mesurez simplement votre maturité RGPD
Solution Connected Risk Engine Risk & Regulatory
Une solution telle que Connected Risk Engine Risk & Regulatory permet de dérouler de façon agile un questionnaire de maturité RGPD conjuguant vision globale et points d'attention spécifiques.
L'évaluation de maturité ainsi effectuée peut constituer un bon point de départ pour un audit de conformité plus approfondi. Elle sert également à ébaucher une feuille de route permettant d’orienter le programme de conformité RGPD vers la remédiation des faiblesses recensées.
Cette démarche s’inscrit dans un contexte plus large de digitalisation du contrôle interne.