RGPD - les points les plus délicats
- désigner un pilote
- cartographier ses traitements de données personnelles
- prioriser
- gérer les risques
- organiser les processus internes
- documenter la conformité
Sur cette base, voici ce que nous avons constaté :
Si la désignation d'un pilote ne devrait pas poser de problème, les choses se corsent dès la deuxième étape. L'exhaustivité du registre des traitements est difficile à garantir si celui-ci n'est pas anticipé, au regard du niveau de diffusion de la donnée sensible au sein de certains Systèmes d'Information complexes. La constitution du registre des traitements peut assez facilement être réalisée si on est bien organisé et que l'on s'appuie sur les modèles à disposition (https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx), toutefois il reste difficile pour l'entreprise (selon son activité et ses effectifs) d'avoir le niveau de maturité suffisant pour garantir l'exhaustivité de cet inventaire (à l'image de l'inventaire des actifs requis pour la mise en oeuvre d'un SMSI (ISO27001)).
Pour l'étape de priorisation, mieux vaut accompagner la démarche d'une approche juridique (couverture du risque et textes de loi applicables dans son contexte Métier) car elle a le mérite d'être factuelle et donc généralement exhaustive. Par contre, cette étape peut être un frein au regard de la technicité des mesures pragmatiques à appliquer si l'on n'est pas accompagné par des profils compétents en CyberSécurité (qu'ils soient externes ou internes). Les mesures techniques peuvent être challengées si elles ne sont pas jugées réalistes au regard des attaques les plus modernes, ce qui ajoute du temps à la démarche et la nécessité de se faire accompagner. En clair, avoir un inventaire exhaustif c'est bien, pouvoir rendre des comptes sur les mesures de protection techniques effectives et réalistes c'est mieux pour être conforme.
La quatrième étape, Gérer les risques, est un grand classique. L'analyse d'impact et les risques associés peuvent assez facilement se formaliser une fois que les trois premières étapes ont été traitées. Traditionnellement les analyses de risques déjà embarquées par d'autres standards ou normes sont des mécaniques assez bien maîtrisées.
La difficulté revient dans la cinquième étape : organiser. Car un modèle d'organisation se challenge sur la durée. Bien que la « modélisation » amont du processus de gestion « sécurisée » de la donnée personnelle ne pose pas trop de problème en général, quand les premières étapes ont été respectées, il s'avère en pratique plus difficile de garantir que le processus est effectif et pérenne. Toutefois, il semble que par design, cette étape sera plutôt challengée sur la durée et ne ralentira pas directement une conformité à 100%. Le point clé restant ici d'attester, preuve à l'appui et de façon factuelle, de sa capacité à supprimer/traiter la donnée personnelle en un temps court. Pour le garantir, il est souvent nécessaire (sur le plan technique) de refaire une passe sur ses structures de données et leur design.
La dernière étape, la documentation, est l'étape chronophage à l'état pur. Par définition, les éléments de chaque étape doivent être formalisés/décrits, sans plus d'ambiguïté, mais cela demande beaucoup de temps et mobilise des ressources humaines.
Le 25 mai 2018 approche, de nombreuses sociétés ont anticipé et elles ont bien fait, la démarche demandant méthode et mobilisation de ressources pour être efficace et exhaustive, pour les retardataires, rien ne vaut un accompagnement de qualité, à la fois juridique et technique.
Sur le même thème
Voir tous les articles Cybersécurité