Comment évaluer mon niveau de conformité avec le RGPD ?

En mai 2018, une nouvelle réglementation européenne sur la protection des données personnelles (le RGPD) va rentrer en vigueur. C’est une innovation majeure qui concernera aussi bien les acteurs privés que publics. La logique actuelle de déclaration auprès de la CNIL des traitements de données personnelles laissera place à une logique d’auto contrôle et de documentation.

A cette occasion, la CNIL propose une méthode en six étapes d’aide à la mise en conformité avec les obligations du règlement. Cette méthodologie est complète mais reste difficile à mettre en œuvre pour les petites structures. La présente démarche vise à rendre relativement accessible le processus de mise en conformité avec le RGPD. Toutefois, une connaissance de la législation et des bonnes pratiques en matière de sécurité (ou un accompagnement) est nécessaire pour l’application des recommandations.

Par où commencer ?

La réalisation d’entrevues auprès des opérationnels est une étape préliminaire essentielle avant d’entamer une politique de mise en conformité avec la législation relative à la protection des données personnelles. Elle permet de se situer au regard des obligations issues de la loi informatique et libertés et préparer l’arrivée du règlement européen. A terme, l’objectif est d’obtenir une évaluation objective, de lister les points de non-conformité et de préparer un plan d’actions sur les prochains mois à venir. Pour ce faire, il est nécessaire d’établir un référentiel objectif d’évaluation de la conformité en se basant sur les recommandations et guides de la CNIL, des exigences de la loi informatique et libertés et du RGPD.

Quels thèmes aborder ?

Ce référentiel se matérialise par un document structurant les points de contrôle en thèmes d’étude. Les thèmes abordés lors de cet audit différent selon la structure de l’audité, sa taille, son secteur d’activité, sa nature (entreprise privée, collectivité territoriale…) ou encore la sensibilité des données qu’il traite.

A titre d’exemple, un Conseil Départemental a notamment pour missions l’aide aux personnes handicapées et âgées, la prévention et la protection des mineurs et des jeunes majeurs ou encore l’accompagnement et le suivi social des personnes en difficultés. Ces missions entraînent la création de traitements spécifiques et comportant des données sensibles au sens de l’article 8 de la loi informatique et libertés. Il est donc important d’interroger les opérationnels en charge de ces missions pour la gestion de ces traitements notamment au regard des durées de conservation, des destinataires des données, de l’information des personnes et sur la sécurité/confidentialité des données. Pour le cas de l’espèce, l’auditeur pourra s’inspirer des autorisations uniques AU-47, AU-048 et AU-49.

Certains thèmes restent toutefois transversaux, et s’appliquent à tout type d’organisme public ou privé. Il en est ainsi des processus de gestion de la conformité, des relations contractuelles avec les partenaires externes, de la gestion des données du personnel, des développements web ou encore de la politique de sécurité informatique.

Quels points de contrôle ?

Une fois les thèmes définis, il reste à lister et formuler les points de contrôle. Le recensement des points doit se faire à partir de fondements juridiques et de recommandations de l’autorité de contrôle. Le site internet et les guides de la CNIL sont une source importante d’inspiration pour l’élaboration du référentiel.

Reste la retranscription de ces points de contrôle. Tout l’enjeu est de retranscrire ces éléments en questions pertinentes, précises et accessibles pour les opérationnels. L’idéal est de proposer une possibilité de réponse limitée afin de réduire les risques d’évaluation subjective de la part de l’auditeur.

  • Les salariés sont-ils informés individuellement de la finalité du dispositif de contrôle de l’utilisation d’internet et de la messagerie électronique ? ☐ Oui ☐ Non
  • La procédure de sauvegarde prévoit :
    • ☐ Le chiffrement des sauvegardes elles-mêmes
    • ☐ Le chiffrement des données à la source
    • ☐ Le stockage des données dans un lieu sécurisé

Les questions posées aux opérationnels peuvent, et dans certaines situations doivent, être liées les unes aux autres afin d’apporter une évaluation complète sur un point nécessitant un approfondissement.

Quels interlocuteurs choisir ?

L’interlocuteur (l’opérationnel) varie selon le thème choisi, il est donc nécessaire de planifier préalablement les entrevues. Pour ces entrevues, il est important de faire appel à la personne « métier », celle qui réalise les traitements, qui collecte les données personnelles. A titre d’exemple, il sera plus pertinent d’interroger la personne des ressources humaines en charge du recrutement au sujet du déroulement des entretiens d’embauche plutôt que la personne en charge du système d’information RH. Cette dernière pourra répondre aux questions sur la localisation des données et sur les mesures de sécurité mais ne pourra apporter de réponses sur les données effectivement collectées ou encore sur l’information fournie aux candidats sur leurs droits (accès, rectification…).

Avant chaque début d’entretien, il est important d’expliciter à chaque interlocuteur l’objet de l’entrevue et de le rassurer sur l’éventuelle découverte de non-conformités. L’objectif de ces entretiens est de comprendre comment les opérationnels appréhendent la législation sur la protection des données personnelles, s’ils en ont connaissance et à défaut de les sensibiliser à ces enjeux. Un point d’information sur la loi, les termes utilisés (définition de données personnelles, traitements…) peut parfois se révéler nécessaire afin d’optimiser le déroulement de l’entretien. Chaque opérationnel doit se sentir libre d’obtenir des informations complémentaires afin d’expliciter une question. Il doit également pouvoir s’abstenir de se prononcer sur une ou plusieurs questions.

Lorsque Digitemis réalise cette prestation pour ses clients, les consultants interrogent nécessairement le Correspondant Informatique et Libertés (CIL) désigné ou à défaut la personne en charge de la conformité au sein de l’organisme, le responsable du service juridique, le responsable des ressources humaines, les personnes en charge du développement web et le responsable de la sécurité du système d’information (RSSI) et/ou le directeur des systèmes d’information (DSI).

Comment illustrer les résultats obtenus ?

Une fois que le référentiel a été défini et que le déroulement des entrevues s’est achevé, la prochaine étape est la mise en forme des résultats obtenus. Chaque question posée à un opérationnel doit correspondre à un point de contrôle. Une réponse conforme à la législation, aux recommandations de la CNIL, à sa doctrine ou à sa jurisprudence est un point de contrôle ne nécessitant pas d’actions : « Actions entreprises ». En revanche, une réponse non conforme à ces textes est un point de contrôle nécessitant une action de mise en conformité et est donc à répertorier dans les « Actions à entreprendre ». Dès lors qu’une ou plusieurs actions restent à entreprendre dans un thème, ce thème est considéré comme non conforme.

Chaque thème est ensuite classé selon le niveau de criticité des actions à entreprendre (sensibilité des données) et selon le niveau de difficulté de mise en œuvre des recommandations (compétences, temps et moyens financiers).

La représentation des résultats pourra par la suite se faire au travers de diagrammes relatifs au niveau de conformité de l’organisme audité, de criticité des actions à entreprendre et de difficultés de mise en œuvre.

Quel plan d’actions ?

Le plan d’actions est à réaliser en prenant en compte les résultats de l’audit, la criticité et les difficultés de mise en œuvre des actions. La hiérarchisation des actions à entreprendre doit également se faire au regard des moyens humains et financiers de l’organisme.

La mise en œuvre du plan d’actions sera abordée prochainement dans les articles portant sur la cartographie et la mise en conformité des traitements, la rédaction documentaire et la mise en place des processus.

La méthodologie décrite dans cette publication est appliquée par Digitemis dans le cadre de la prestation d’audit « Etat des lieux RGPD ». Notre intervention permet d’accélérer le processus d’évaluation, de s’assurer d’un haut niveau d’expertise juridique et technique et d’obtenir des résultats en toute impartialité qui pourront être adressés aux comités de direction.