Rares sont les organisations qui n’ont toujours pas de programme RGPD en place. Selon une enquête en ligne réalisée par EY Luxembourg le 11 janvier dernier, seulement 4 % des participants n’avaient pas encore initié de programme RGPD. Néanmoins, plus de la moitié des participants à l’enquête sont à ce jour à mi-parcours dans la mise en oeuvre de leur programme. A l’heure où RGPD fait partie intégrante de notre quotidien, 2019 marque le passage d’une définition des exigences du RGPD à une gestion efficiente des programmes.

2019 marque le passage d’une définition des exigences du RGPD à une gestion efficiente des programmes.
2019 marque le passage d’une définition des exigences du RGPD à une gestion efficiente des programmes.
 

La mise en place d’un programme RGPD implique de nombreux changements au sein d’une organisation : procédures, modifications contractuelles, registres, DPIA (Data Protection Impact Assessment) ou recrutement d’un délégué à la protection des données, ou encore d’experts juridiques, sécurité et respect de la vie privée. Les exigences formelles et le savoir-faire des experts constituent des piliers essentiels. En outre, tout programme RGPD doit être vécu au quotidien par l’ensemble de l’organisation pour assurer son succès.

RGPD : des avantages certains

La menace de sanction – égale au montant le plus élevé, entre 4 % du chiffre d’affaires mondial et 20 millions EUR – a été, pour beaucoup d’organisations, un élément déclencheur de la mise en place de programmes RGPD. Selon l’enquête EY, 2019 marquera l’année de la finalisation du projet de mise en oeuvre du RGPD et le début du premier cycle de révision. 

Les projets RGPD sont transversaux et multidisciplinaires. Les processus ont été contestés du point de vue de la confidentialité, entraînant le développement de processus modernisés. Avec pour premier objectif la protection de la vie privée, un programme RGPD permet également l’amélioration de la conformité. La refonte des processus vise une mise en place de processus plus intelligents, mieux sécurisés, automatisés et intégrés techniquement. Dans certains secteurs, la conformité aux normes RGPD a révolutionné la documentation, plus digitalisée désormais, et les échanges d’informations, notamment grâce à la généralisation des courriers électroniques et à la multiplication des échanges de données (fichiers transmis entre professionnels et clients) tous deux sécurisés. Ainsi, les programmes RGPD ont contribué à élever le niveau de professionnalisme au sein d'organisations et de secteurs entiers via des partenaires commerciaux motivés.

Implémentation RGPD : ses limites

Bon nombre d’organisations n’ont que peu d’informations en ce qui concerne le degré de maturité de confidentialité. Plus encore, elles n’ont pas forcément la capacité à prévenir, détecter et gérer les violations de manière appropriée. 

Certes, le RGPD aide à numériser et à automatiser, mais les contrôles de confidentialité ne sont pas toujours efficients. Sachant qu’en 2010, un peu plus de 1 zettaoctet de données avait été rassemblé, le volume pour 2020 devrait franchir la barre des 40 zettaoctets (source Symantec). Cela implique une gestion difficile des données sur tout un cycle de vie. Ainsi, avec une minimisation efficace des données (une récupération minimale des données requises pour leur traitement légitime) à la réception, mais aussi une transformation complète des données transitant par plusieurs systèmes (copies, enrichissement, stockage), les défis sont élevés pour tout le monde et à tout moment.

Une certification RGPD indépendante approuvée par la CNPD

Pour s’assurer d’une gestion efficace du RGPD au quotidien, il peut s’avérer utile de demander un avis indépendant via un rapport d’attestation GDPR-CARPA (GDPR – Certified Assurance Report based Processing Activities). Cette certification est aujourd’hui possible grâce aux rapports d’attestation de confidentialité (basés sur ISAE 3000 tels que publiés par l’autorité de protection des données CNPD). L’avantage est d’avoir un cadre avec des objectifs et des contrôles sur les données personnelles, utile pour évaluer la mise en oeuvre et l’état de préparation. En tant que norme au Luxembourg, ces rapports sont également reconnus au niveau international depuis de nombreuses années. En outre, au regard des nombreuses violations de données, les autorités sont appelées à prendre en considération ces rapports, qui constituent une ressource fiable pour juger les programmes internes du RGPD et aider à identifier efficacement les améliorations à apporter.

La démarche à suivre

Obtenir en amont une certification peut s’afficher comme outil bien utile en cas de violation de données, mais représenter également un avantage concurrentiel et un signe de qualité visible pour ses partenaires commerciaux et clients. Il est important que les organisations débutent, dans un premier temps, par une sélection de processus. 

Le rapport d’attestation de confidentialité et la certification nécessitent certains prérequis pour tout programme RGPD. Cependant, des processus peuvent être librement sélectionnés à des fins de certification. La certification et l’attestation seront donc spécifiquement liées au domaine choisi, en maintenant les coûts et des efforts limités et gérables. 

Le premier exercice consiste à identifier les processus prioritaires. La deuxième étape consiste à s’assurer que les éléments standard minimums requis sont en place et que les objectifs de contrôle pour les processus sélectionnés sont définis. Des contrôles adéquats soutiendront les objectifs de contrôle et leur efficacité sera testée par des auditeurs externes qualifiés. Un rapport d’attestation est valide pour une durée d’un an, mais pas moins de six mois. 

Bien sûr, toutes les organisations peuvent obtenir de la part d’auditeurs qualifiés un rapport d’attestation indépendant du RGPD pour 2019. Néanmoins, ce rapport est un rapport d’attestation indépendant utile, mais n’est pas approuvé en tant que tel par l’autorité de protection des données. 

Pour obtenir la certification RGPD approuvée par la CNPD, l’auditeur agréé fondera le certificat sur le rapport d’attestation RGPD. Le certificat sera délivré par l’organisme d’accréditation et sera publié dans le registre de certification RGPD de la CNPD. L’attestation et la certification seront référencées en même temps afin d’éviter toute incohérence de temps entre la publication du rapport d’attestation RGPD et la délivrance du certificat RGPD.

Conclusion

Le rapport d’attestation GDPR-CARPA, via notamment la certification RGPD émise au Luxembourg, est une première en Europe. Ce rapport permet ainsi au Grand-Duché d’être à la pointe de l’innovation professionnelle. 

Pour les organisations, plus concrètement, cela permet d’attester de l’efficacité du programme RGPD dans son ensemble ou d’un processus sélectionné. Ce rapport permet également de profiter d’un label de qualité visible pour les partenaires commerciaux et les clients. 

Grâce à ce rapport GDPR-CARPA, les autorités de protection des données accèdent à un rapport international reconnu au Luxembourg et internationalement.

Michael Hofmann Associé RGPD et Cybersécurité, EY Luxembourg
Michael Hofmann Associé RGPD et Cybersécurité, EY Luxembourg