Les 10 mythes de la GDPR…

la GDPR en 10 Mythes

Ces dix-huit derniers mois, notre rédaction a souvent été amenée à aborder les thèmes de la GDPR avec les DSI.

Parfois mal informés, parfois peu concernés, nombre d’entre eux semblent encore aujourd’hui se faire de fausses idées sur la réalité de cette importante législation européenne et sur les risques qu’ils encourent.

Histoire de remettre les choses à leur place, voici 10 mythes souvent entendus par notre rédaction et contre lesquels il est important de se battre pour que la GDPR soit bien comprise et unanimement acceptée…

1 / « La GDPR, c’est comme les radars, ça n’a qu’un seul but : Nous prendre toujours plus de pognon en nous filant des amendes à gogo »

L’objectif premier de la GDPR est de rappeler aux entreprises du monde entier que l’Europe n’a pas la même conception que les USA de la donnée personnelle. Elle cherche à faire prendre conscience aux entreprises de toutes tailles qu’elles sont responsables des données privées qu’elles récoltent et que ces données ne leur appartiennent pas, mais appartiennent aux personnes.

Elle étend également la définition de la donnée privée (notamment en considérant les données indirectes). Derrière la GDPR, se cache aussi la volonté de réglementer l’explosif marché de la donnée à caractère personnel que l’Europe ne veut pas laisser aux grands acteurs américains (les GAFAMs).

2/ « Le texte est inapplicable, il sera forcément réécrit »

Fruit d’une longue réflexion européenne, le texte n’impose finalement aux entreprises que des bonnes pratiques qu’elles auraient dû depuis longtemps mettre en œuvre (gouvernance, chiffrement, anonymisation, Privacy By Design…).

Le texte n’a rien d’inapplicable, mais se mettre en conformité peut prendre du temps car il impacte de très nombreux processus (collecte, traitement, stockage, archivage, accès).

C’est pourquoi le législateur avait laissé deux ans, mais la plupart des entreprises ont réagi tardivement.

3/ « On trouvera toujours le moyen de s’arranger avec la CNIL, comme on l’a toujours fait »

Il ne s’agit plus d’un texte national, mais d’une réglementation européenne. Et les différents organismes de régulation semblent attachés à adopter une approche commune et des amendes similaires.

S’il sera toujours possible de négocier avec la CNIL, les marges de manœuvre seront plus faibles qu’avant.

Et il est fort peu probable que les entreprises qui vivent de la donnée personnelle en aient la moindre idée.

4/ « Les données personnelles déjà collectées ne sont pas soumises à la GDPR »

Toutes données à caractère personnel, y compris celles déjà collectées, et y compris celles recueillies sur papier plutôt que par voie informatique, sont soumises aux contraintes de la GDPR.

Qu’elles soient anciennes ou nouvelles, vous devez être en mesure de prouver que vous avez protégé ces données et bien identifié et délimité les processus qui les exploitent.

5/ « Toutes nos données à caractère personnelles sont stockées dans le cloud. Nos traitements sont externalisés. Donc ce n’est pas de ma responsabilité »

Faux, archifaux ! Toutes les parties prenantes (donc l’entreprise elle-même et tous ses prestataires, ses sous-traitants, ses hébergeurs) sont responsables chacune pour la totalité des dommages subis.

Et n’oubliez jamais que la GDPR ne se focalise pas sur les données, mais porte aussi sur les pratiques et les finalités de vos traitements.

Et pour finir ….

Le Mythe suprême
« La loi entre en vigueur le 25 mai 2018. Je m’en préoccuperai à ce moment-là… »
Le décret d’application a été publié en 2016 ! Le législateur a laissé jusqu’au 25 mai 2018 aux entreprises pour se mettre en conformité, date à partir de laquelle la CNIL pourra sanctionner… La CNIL se montrera probablement, au début, assez compréhensive envers les entreprises qui auront déjà entamé leur réflexion, mais seront en retard dans leur mise en conformité. Elle le sera probablement moins pour les entreprises qui vivent des données personnelles ou qui n’auront pas entamé le processus de réflexion.

6/ « Il suffit que l’on chiffre toutes nos données pour ne plus tomber sous le joug de la GDPR »

Là encore, c’est entièrement faux. Le chiffrement, comme l’anonymisation, fait partie des méthodologies reconnues et préconisées par la GDPR pour protéger les données.

Mais chiffrer les données n’est qu’une toute petite partie des obligations de la GDPR qui impose notamment d’avoir aussi cartographié les données et d’avoir listé les processus de traitements.

Le simple chiffrement de toutes vos données ne vous dédouane pas de vos devoirs en matière de collecte et ne vous protègera pas des amendes et sanctions.

7/ « On va tous avoir besoin d’un DPD / DPO »

Le DPD (délégué à la protection des données) aussi désigné par son acronyme anglais DPO (Digital Privacy Officer) est un peu l’équivalent de l’ancien CIL (Correspondant Informatique & Libertés) avec des prérogatives beaucoup plus étendues.

Toutefois, ce dernier n’est obligatoire que dans trois cas : pour tous les organismes et autorités publiques, pour toutes entreprises dont l’activité de base consiste à suivre des personnes avec des traitements réguliers et systématiques de leurs données personnelles, et enfin pour toutes entreprises traitant des données sensibles ou pénales.

Interface entre la CNIL et l’entreprise, le DPO peut être mutualisé entre plusieurs entreprises. Il n’en demeure pas moins une compétence importante que bien des entreprises auront intérêt à acquérir.
Reste que toutes les entreprises doivent se conformer à la GDPR, même les TPE et même les associations à but non lucratif.

Mais les entreprises de moins de 250 employés ne sont pas toutes obligées de tenir un registre des traitements (en revanche toutes les entreprises qui doivent avoir un DPO doivent aussi tenir un registre des traitements même si elles ont moins de 250 employés).

 8/ « Les individus ont un droit ABSOLU à l’oubli » (articles 17, 6 et 9)

Le droit opposable de l’usager est l’une des colonnes dorsales de la GDPR. S’y adjoint le droit à la portabilité des données et le droit d’accès aux informations personnelles stockées par l’entreprise.

Si la GDPR instaure le droit à l’oubli, elle ne confère pas non plus des droits absolus aux individus.

Notamment, l’effacement des données peut être refusé s’il va à l’encontre des autres obligations légales (Européennes ou Françaises) qui pèsent sur l’entreprise, s’il nuit à la liberté d’expression ou d’information, etc.

Les articles 6, 9 et 17 de la GDPR définissent les limites du droit à l’oubli.

9/ « Les amendes prévues sont considérables, irréalistes en réalité. Aucune chance qu’elles soient appliquées »

Si vous croyez ça, vous allez vers de grandes désillusions. Nul ne doute que dès 2018, les autorités de régulation feront des exemples pour frapper les esprits. Même si l’idée du texte est plutôt d’encourager des sanctions proportionnées et graduelles.

Le texte prévoit que les sanctions pourront aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial (le maximum des deux limites étant retenu).

Par ailleurs le texte européen précise que les juridictions locales pourront décider de confisquer la totalité des bénéfices réalisés en violation du règlement.

Mais au-delà des amendes, les entreprises s’exposent aussi aux poursuites des victimes pour le préjudice subi.

10/ « Je suis déjà conforme ISO27001 et PCI-DSS. Je n’ai donc pas à me soucier de la GDPR »

Cela n’a rien à voir. La conformité à ces règlementations ne vous dédouane pas d’une conformité à la GDPR. Cependant une bonne partie du chemin pour se mettre en conformité a déjà été parcouru.

D’un côté la GDPR a des exigences qui ne sont pas dans ISO27001 et d’un autre côté, vos processus PCI-DSS ne couvrent probablement toutes les données personnelles en votre possession.