RGPD : règlementation, processus et technologies. Quel avenir et que faire avant le 25/5/2018 ?

Les 6 et 7 mars derniers, nous avons organisé une conférence consacrée au règlement général sur la protection des données (RGPD ou « GDPR » en anglais) à Bruxelles.

L’objectif était double. D’une part la conférence visait à conseiller les organisations dans leur chantier de mise en conformité au RGPD qui sera applicable ce 25 mai 2018 et ce, des points de vue juridique, technologique et pratique. D’autre part, la conférence a fait le point sur les avancées et perspectives législatives belges et européennes en particulier concernant la protection des données, la mise sur pied de l’Autorité de protection des données et les transferts internationaux des données.

 

A l’égard du transfert de données en dehors de l’Espace économique européen, une attention particulière a été portée au Privacy Shield (transferts vers les USA) et à la procédure initiée à son encontre devant le Tribunal de la Cour de justice de l’Union européenne.

Au niveau belge, le législateur doit adopter des dispositions de manière à intégrer différentes contraintes réglementaires qu’apportent le RGPD, mais aussi la directive 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (communément appelée « directive NIS ») et encore, la directive 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données (directive « Police-Justice »). Notons depuis lors qu’un avant-projet de loi concernant la protection des personnes physiques à l’égard des traitements de données à caractère personnel a été adopté par le Conseil des ministres le 16 mars 2018.

 

La conférence a permis de mettre en exergue une méthode d’audit pour les organisations, avant de proposer une méthodologie de mise en conformité au RGPD et de soulever des difficultés d’implémentation organisationnelles et juridiques déjà rencontrées.

Nous avons eu l’opportunité grâce à un de nos intervenants de détailler non seulement les qualités à rechercher dans la ou les personnes qui doivent endosser la mission de Data Protection Officer mais aussi les formes que ce DPO peut prendre. Parmi l’examen de ses responsabilités politiques, stratégiques et opérationnelles, l’accent a notamment été mis sur celles de documentation et de reporting des choix pris au sein de l’organisation, ainsi que sur celles de coordination avec les acteurs de la sécurité de l’information et des systèmes d’information.

 

Quelles sont les différentes solutions cryptographiques existantes et en développement ? Cela a été exposé  en mettant en lumière la plus ou moins grande efficacité de ces solutions au regard de différents paramètres, tels que ceux de confidentialité, d’authenticité et de sécurité des données.

 

Les droits des individus et la manière dont ceux-ci peuvent être mis en œuvre dans le cadre de l’organisation n’ont pas été laissés en reste. Un accent particulier a été mis sur la visualisation d’hypothèses qui peuvent se présenter en pratique dans le cadre de l’exercice du droit à la portabilité des données et de celui du droit à l’oubli. La question de l’obligation de transparence qui s’impose aux organisations par rapport au cycle du traitement des données a été approfondie à l’aune des recommandations du Groupe 29 quant à l’approche à plusieurs niveaux (« layered approach »). Les entreprises et organismes publics devront en outre se poser la question de la source de l’information avant d’examiner la manière dont elles vont communiquer l’information.

 

La problématique des sous-traitants et des « sous-sous-traitants » a également fait l’objet d’une étude de manière à aiguiller les organisations sur les clauses ou contrats à modifier avec ceux-ci. L’auto-qualification juridique de « responsable du traitement » ou de « sous-traitant » par les acteurs économiques semble faire l’objet de dissensions entre eux.

Des recommandations ont été faites concernant, d’une part, les mesures à prendre en amont (« privacy by design” et “by default”) et, d’autre part, les procédures à mettre en place pour diminuer le risque d’atteinte à la vie privée en cas de fuite. Les voies de recours des individus et les sanctions pour les organisations ont aussi été sujettes à examen.

 

Un panel de discussion orchestré par le président de la Commission de la protection de la vie privée (CVP appelée à devenir l’Autorité de protection des données) a clôturé les 2 journées de la conférence en partageant les difficultés rencontrées et solutions échafaudées jusqu’ici par les DPO de différentes organisations.

 

Jean-Félix de Saint-Marcq
Conference Manager
IFE Benelux

Laisser un commentaire