Le Règlement européen sur la protection des données personnelles RGPD est entré en vigueur le 25 mai 2018. AFNOR Certificiation propose une certification aux entreprises souhaitant se démarquer par leurs bonnes pratiques en termes de protection des données personnelles. Présentation.
Pas une semaine ne passe sans nouvelle affaire de fuite de données, suite à une négligence ou une attaque informatique. Adresses mails divulguées, informations clients dérobées… Dernier scandale en date : janvier 2018, DARTY se fait sanctionner à hauteur de 100 000 euros par la CNIL pour la violation des données personnelles de certains de ses clients. L’enquête a montré que la faille venait d’un prestataire mais la décision de la CNIL a rappelé que la responsabilité de la protection des données personnelles appartenait bien au responsable de traitement.
En quelques années, la sécurité des données personnelles s’est imposée comme un enjeu majeur pour les entreprises qui les collectent, pour celles qui le font pour d’autres, comme pour les particuliers qui hésitent de plus en plus à les fournir. Et aujourd’hui, cet enjeu dépasse largement le cadre de la vie privée pour s’inviter sur le terrain économique.
RGPD : la France bien armée
Matérialisé par la CNIL (Commission nationale de l’informatique et des libertés), la France dispose depuis 1978 d’un cadre réglementaire exigeant. Mais dès le 25 mai 2018, l’Europe passe à la vitesse supérieure avec son Règlement général sur la protection des données (RGPD), une mesure coercitive finalisée en 2016, et auquel un projet de loi français traitant plus largement des données personnelles fait aujourd’hui référence, pour toiletter la loi Informatique et libertés. « Le RGPD reprend beaucoup de dispositions législatives actuelles, comme le droit à l’accès aux données, à leur rectification ou à la portabilité, détaille Sandra Di Giovanni, responsable du pôle Confiance numérique d’AFNOR Certification. Mais il ajoute de nouvelles règles pour plus de protection. » Les entreprises devront par exemple se soumettre au principe du « privacy by design », c’est-à-dire pouvoir prouver que, dès la phase de conception d’un outil informatique traitant des données personnelles, la protection de ces données a bien été prise en compte. Dans certains cas, elles devront même désigner un délégué à la protection des données.
Autre nouveauté : la prise en compte des sous-traitants. « En 2014, la CNIL a sanctionné un opérateur téléphonique français qui s’était fait dérober 1,3 million de données clients et prospects. L’enquête a montré que la faille venait d’un prestataire », raconte Benoît Pellan, chef de projet AFAQ Protection des données personnelles, le signe distinctif qu’AFNOR Certification développe à l’attention des entreprises désireuses de montrer patte blanche. Au sens du RGPD, les donneurs d’ordre devront désormais s’assurer que leurs sous-traitants respectent eux aussi les règles de sécurité et qu’ils sont en capacité de les informer très rapidement des violations de données personnelles. « Nous sommes souvent face à des chaînes complexes, où les responsabilités pouvaient paraître partagées. La nouvelle réglementation clarifie les rôles et les obligations entre le responsable de traitement, le co-responsable de traitement et le sous-traitant en fixant, par exemple, les clauses attendues dans un contrat », poursuit Benoît Pellan. Et ces règles ne concernent pas uniquement les entreprises européennes. Dans certains cas, les structures qui collectent et traitent des données personnelles relatives à des citoyens de l’UE sont tenues de respecter ces obligations, quelle que soit leur implantation.
Prouver sa bonne foi
Alors comment se prémunir ? AFAQ Protection des données personnelles, le nouveau signe de confiance que développe AFNOR Certification avec le cabinet d’avocats Artemont, aspire à obtenir l’agrément de la CNIL, lorsque celle-ci aura défini les conditions, ce qui confèrera à son détenteur présomption de conformité au RGPD. Une fois délivré, ce certificat sera valable trois ans, avec un audit de surveillance chaque année. « Cet audit est constitué d’une phase documentaire et d’un audit sur site pour analyser l’effectivité les procédures mises en place pour gérer les données personnelles » précise Benoît Pellan.
C’est à ce titre que le RGPD, dans son article 42, encourage la démarche de certification, en tant que démarche « volontaire et accessible via un processus transparent ». Le texte précise que « les besoins spécifiques des micro, petites et moyennes entreprises [doivent être] pris en considération ». Mais en filigrane, il défend une idée forte : la certification revêt clairement un intérêt économique. « Elle crée un espace de confiance entre partenaires. Elle permettra à un donneur d’ordre de s’appuyer sur le contrôle d’un tiers de confiance dans le choix de ses prestataires. Elle pourrait même devenir un critère dans les appels d’offres », appuie Benoît Pellan.
Pour Farid Bouguettaya, avocat associé du cabinet Artemont, « à l’heure où chacun s’intéresse à la protection de ses données personnelles, la certification pourra constituer un véritable atout vis-à-vis de clients, donneurs d’ordres ou autres partenaires commerciaux».
Questions à Benoît Pellan, chef de projet AFAQ Protection des données personnelles
Quel rôle joue la certification AFAQ Protection des données personnelles ?
L’article 42 du RGPD recommande aux entreprises de s’engager dans une démarche de protection des données personnelles sur le long terme. C’est l’ambition de notre certification AFAQ. D’une part, elle prouve la bonne foi de l’entreprise et son action pour protéger les données personnelles, ce qui rassure ses clients. D’autre part, elle démontre un engagement structurel sur le long terme pour garantir la pérennité et la continuité des moyens.
Quand commencer ?
Dès que vous êtes en ordre de marche ! Pour délivrer le certificat, l’auditeur devra disposer d’un recul suffisant afin de contrôler la traçabilité des données et les suivre sur un temps relativement long. Cette certification proposée depuis le 25 mai permet de répondre au besoin immédiat de confiance. AFNOR Certification proposera aux certifiés AFAQ Protection des données personnelles une transition vers la certification au titre de l’article 42, dès que la CNIL en donnera l’autorisation.
En savoir plus sur la certification AFAQ protection des données personnelles…