Avec le nouveau règlement européen de protection des données personnelles, les entreprises se posent la question de l’approche à adopter pour se mettre en conformité par rapport à ce règlement. Dépendant de leurs niveaux de maturité en conformité et en gestion des risques, ces entreprises ne partent pourtant pas de zéro : elles ont par exemple identifié et déclaré les traitements de données à caractère personnel, ou bien mis en place les processus de gestion des risques liés à la conformité.
Les méthodes de gestion des risques « traditionnelles » peuvent être mises à profit pour intégrer la gestion des risques conformité Informatique et Libertés :
Cette approche s’inspire des méthodes et outils de gestion des risques, notamment les risques SI et de Sécurité des SI. Une telle approche permet d’identifier les actifs à protéger, pour évaluer les risques pouvant les affecter et les mesures adéquates à préconiser.
Nous voyons donc le rapprochement qui peut être fait avec les processus existants au sein de l’entreprise.
Analyse et processus et identification des actifs à protéger
Avant de proposer une série de mesures destinées à mettre en conformité une entreprise, il faut cibler les « actifs » à protéger, ici les données à caractère personnel, et déterminer l’enjeux d’un risque sur ces actifs.
Le règlement rappelle la primauté de la personne, et la nécessité du respect de ses droits. Les traitements de données doivent donc être priorisés selon cet angle de vue. Une échelle de criticité peut être appliquée, pour identifier pour chaque traitement le niveau d’impact pour les personnes. La criticité doit, entre autres, tenir compte du nombre de personnes concernées, de la sensibilité des données (en s’écartant des critères définis par la CNIL si besoin), du fondement légal du traitement – et in fine de la perception de la sensibilité par les personnes elles-mêmes, si nécessaire en les consultant.
Identification des écarts de conformité
Les écarts par rapport au règlement se traduisent en risques de conformité pour l’entreprise. Pour une approche efficace, une démarche d’audit peut être adoptée. Il s’agit alors d’établir une grille d’audit, avec pour base les obligations du règlement. Le Règlement définit les obligations du responsable de traitements en son chapitre IV, articles 24 à 34, et en propose une synthèse dans l’article 84, définissant les sanctions afférentes. La grille d’audit contiendra donc les thématiques du règlement (par exemple : maitrise des finalités, minimisation des données), avec des points de contrôle pour chacune des thématiques et une évaluation des écarts en fonction des réponses fournies.
Cartographie des traitements et proposition de plan de mise en conformité
Avec cette double approche nous obtenons une évaluation sur deux axes : la criticité des traitements et les écarts au règlement :
Comme pour la cartographie des risques, cette cartographie des traitements nous permet alors de prioriser les traitements à mettre en conformité.
Cette approche unitaire doit bien entendu être consolidée par une approche globale, qui permet notamment d’identifier la Gouvernance à mettre en place, les rôles et responsabilités au sein du dispositif de conformité et les politiques et chartes à rédiger ou à mettre à jour.
Ainsi, les méthodes d’analyse de risques, peuvent être mises à profit, pour réaliser un diagnostic des écarts de conformité et identifier les premières mesures à appliquer.
En particulier, le processus d’analyse de risques SI et SSI, très populaire et assez démocratisé dans les cycles de vie des projets. Ce processus en particulier peut constituer un point de départ pour mettre en place et adapter une des obligations du règlement : L’analyse d’impact relative à la protection des données.
Estelle
Comments