Publié dans Les Echos Entrepreneurs, le 3 décembre 2019, Erick Haehnsen,
Les cabinets spécialisés sont encore consultés pour des diagnostics de mise en conformité au RGPD. De très nombreux professionnels sont concernés : médecins, avocats, site de vente sur Internet… qui minimisent souvent leurs risques.
Le Règlement européen pour la protection des données personnelles (RGPD) , pourtant entré en vigueur le 25 mai 2018, est toujours loin d’être appliqué par l’ensemble des entreprises. « Fin 2019, on nous consulte encore pour des missions d’audit, de diagnostic ou pour engager un DPO (Data Protection Officer), reconnaît Youcef Dammane, responsable de la protection des données personnelles chez TNP Consultants. Sur ce terrain, les entreprises du secteur privé sont plus avancées que les administrations, notamment les collectivités territoriales. »
Pour commencer, le cabinet conseil recommande de désigner un DPO. « Il est entre autres obligatoire pour les organisations publiques. Le DPO peut être désigné en interne ou en externe et pourra être mutualisé sous certaines conditions, par exemple dans le cadre d’un groupement hospitalier de territoires (GHT) », reprend Youcef Dammane. Quoi qu’il en soit, le DPO va initier et piloter la mise en conformité au RGPD et s’assurer qu’elle sera opérationnelle dans le temps. Notamment en établissant un diagnostic qui mettra en lumière l’écart entre la situation actuelle et les exigences de la réglementation.
Etape clef, le registre des traitement des DCP. Salariés, clients, fournisseurs, partenaires… le DPO va d’abord traquer les listes d’adresses e-mail, les tableaux Excel de contacts, les bases de données utilisées par les logiciels applicatifs comme la gestion commerciale, la gestion de la relation clients ou encore la paie. A ce stade, il est obligatoire de détruire les données dont on n’a pas l’utilité.
Outre les données, le registre indique les parties prenantes (dont le DPO) qui interviennent dans le traitement, les catégories de données traitées, leur finalité, qui y accède et à qui elles sont communiquées, combien de temps elles sont conservées et comment elles sont sécurisées. Pour cela, les petites et moyennes entreprises sont invitées à télécharger un modèle de registre des traitements de données aux formats Microsoft Excel, OpenOffice Calc, LibreOffice Calc sur le site de la Commission nationale Informatique et libertés (CNIL).
Attention, il existe des DCP « banales » (nom, prénom, coordonnées…) et des DCP « sensibles ». En particulier dans le secteur de la santé : données biométriques, diagnostics, poids, taille, taux de glycémie, traitements médicaux, les résultats d’examens, résultats d’imagerie médicale, comptes rendus d’actes chirurgicaux… Le site du Conseil national de l’Ordre des médecins a réalisé un guide de 40 pages à télécharger gratuitement pour aider les professions médicales à se conformer au RGPD. « Les structures de santé doivent mentionner les applications métier qu’elles utilisent et stocker leurs DCP chez un hébergeur de données de santé (HDS) certifié », souligne Cédric Thellier, expert en cybersécurité et directeur technique d’Akerva.
La santé est sur ce point un secteur particulièrement sensible. « Le sujet n’est pas suffisamment bien traité dans les établissements de prestation de soins. En particulier, ceux-ci doivent faire figurer au registre des traitements ceux qui sont réalisés par des machines connectées au réseau (scanners, IRM…), soulève Jean-Baptiste Guillaume, directeur associé en charge du secteur santé d’IAC Partners, un cabinet de conseil en compétitivité industrielle. Le problème, c’est que ces équipements n’ont pas toujours la capacité à réaliser leurs mises à jour logicielles à distance. » Dans ce cas, un expert doit se rendre sur place…
Notaires, avocats, sociétés d’ingénierie, sociétés commerciales… d’autres professions manipulant des données personnelles et sensibles sont également concernées. « Ces professionnels sont parfois regroupés en syndicats ou ordres professionnels, poursuit Cédric Thellier. Certains d’entre eux ont mutualisé leurs bonnes pratiques. Cependant, celles-ci ne sont pas toujours publiées sur Internet. » Un conseil alors : interrogez votre fédération, association ou syndicat professionnel !
[…]