Chaque dernier mardi du mois, nous organisons un webinaire dédié au thème de la cybersécurité nommé MLSSI (Matinées Lyonnaises de la SSI). L’une des dernières MLSSI était consacrée à la gestion de projet RGPD, l’occasion pour nous de partager nos retours d’expérience sur ce type de missions.
Retour d’expérience d’une consultante en protection des données
Chercheuse en droit de la cybersécurité et DPO (Data Protection Officer), Joëlie nous a fait part de son retour d’expérience. Elle a mené de nombreuses missions RGPD (audits, accompagnements forfaitaires et en régie, formations et sensibilisations…), au cours desquelles elle a pu constater un certain nombre de non-conformités et identifier des axes d’amélioration.
Projets RGPD : quels enjeux ?
Il est important de rappeler les enjeux liés aux projets RGPD. Ils sont nombreux : respect des lois , respect des engagements contractuels, négociations commerciales et renforcement de la sécurité des systèmes d’information.
L’un des principaux enjeux est d’ordre législatif : le RGPD est un texte d’application obligatoire, et son respect permettra notamment de se prémunir contre toute éventuelle sanction pour non-conformité. Il faut toutefois garder à l’esprit que les obligations légales du RGPD vont plus loin aujourd’hui, puisqu’elles sont désormais répercutées sur des contrats, d’où l’importance du respect des engagements contractuels. Dans le même ordre d’idées, la conformité RGPD se révèle également déterminante dans des négociations commerciales : plus vos prospects et vos clients sont des grands comptes, plus il sera important pour eux de vérifier vos niveaux de conformité sur des thématiques comme le RGPD.
La Gestion de projet RGPD : les non-conformités les plus observées
Notre consultante a ainsi pu lister les non-conformités les plus fréquemment rencontrées lors de nos missions d’accompagnement et d’audits RGPD.
Le retour d’expérience a pour objectif d’en tirer les leçons qui s’imposent et de s’améliorer et en aucun cas de dénigrer des entités qui ont pu être sanctionnées.
Les non-conformités les plus courantes et les axes d’améliorations
Concrètement, nous avons identifié 5 catégories de non-conformités que nous retrouvons le plus souvent au cours de nos missions d’audits et d’accompagnement détaillées ci-dessous
#1 La cartographie des traitements
La cartographie des traitements est l’étape préalable à l’élaboration du registre des activités de traitement, rendu obligatoire par l’article 30 du RGPD. À partir du moment où vous traitez des données personnelles de manière habituelle ou récurrente dans votre organisme, vous devez établir une fiche d’activité de traitement dans un registre pour cette activité. A ce niveau, on retrouve plusieurs non-conformités en 2022, qui vont de l’absence de registre au registre complété de façon erronée, en passant par des registres qui enregistrent très peu d’activités.
#2 Le manque de transparence
Plusieurs articles du RGPD imposent un devoir de transparence, notamment les articles 13 et 14 qui donnent une liste d’informations à communiquer de façon très factuelle à la personne concernée. Les non-conformités que l’on retrouve le plus souvent à ce sujet sont soit que :
-
l’entité ne fait aucune communication à ses salariés ;
-
l’entité ne fait pas de communication aux clients professionnels, partenaires, fournisseurs ;
-
l’entité fait une communication incomplète : absence de mentions obligatoires, par exemple.
#3 L’usage illicite de cookies
On le voit moins aujourd’hui qu’il y a quelques années, mais il arrive encore que les cookies soient utilisés de manière illicite : information absente ou incomplète, dépôt de cookies sans consentement, mauvaise configuration du module de gestion des cookies…
#4 La conservation non-maîtrisée des données
Il s’agit là d’un point de non-conformité que nous voyons très souvent. Au-delà de son caractère problématique, la conservation non-maîtrisée des données est de plus en plus sanctionnée. Pour rappel, le RGPD interdit la conservation illimitée des données personnelles. Les principes qui régissent le cycle de vie des données personnelles sont issus du considérant 39, et des articles 5 et 89 du RGPD. Ils sont par ailleurs classés en deux catégories générales, la première étant l’interdiction de principe de toute conservation illimitée. Autrement dit, il n’est pas possible de conserver les données personnelles pour toujours. La seconde catégorie à trait au respect de la limitation, un principe qui consiste en l’application de la règle générale de minimisation. En d’autres termes, il s’agit de conserver les données personnelles le moins longtemps possible. Pourtant, nous observons toujours des cas de conservation illimitée, notamment dans des contextes d’entreprises peu matures en termes de RGPD. On observe aussi des conservations au-delà du nécessaire, ou encore des règles de conservation non formalisées.
#5 La manque de formalisation
Le manque de formalisation est la non-conformité que l’on rencontre le plus souvent dans le cadre de nos missions. Or, cette formalisation est d’une importance capitale pour la conformité au RGPD. Dans les organisations peu matures, il n’y a généralement aucune procédure écrite concernant les données à caractère personnel. Néanmoins, nous retrouvons des cas où des bonnes pratiques existent, mais sans être formalisées. Autrement dit, elles dépendent de la bonne volonté des équipes. Enfin, certaines entités ont tendance à ne pas encadrer les relations avec leurs sous-traitants de données personnelles (hébergeur, cabinet d’expertise comptable, solution en SaaS…), un point souvent oublié mais qui ne doit pas être négligé.
Conclusion :
Si la mise en conformité RGPD peut paraître complexe à appliquer d’un point de vue extérieur, notre consultante tient à rassurer ses interlocuteurs. La mise en conformité RGPD doit être méthodique. L'accompagnement par des spécialistes du RGPD, comme AlgoSecure ;-) , permet une mise en œuvre facilitée grâce à la connaissance des obligations de l’entreprise (liée notamment au secteur d'activité) mais aussi par l’animation des équipes internes. Pour une mise en conformité efficiente et pérenne, l’adhésion, la compréhension et l’implication des personnes concernées sont des facteurs clés de réussite.
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Enzo, Eugénie, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Ludovic, Lyse, Nancy, Natacha, Nicolas, Pierre, PierreG, Sébastien, Tristan, Yann, et bonne visite !