RGPD : prenez les devants avec la certification AFAQ Protection des données personnelles

Le Règlement européen sur la protection des données personnelles RGPD entre en vigueur le 25 mai 2018. Aux entreprises, il recommande de prouver leur rigueur en affichant une certification. AFNOR Certification en offre justement une. Présentation.

Pas une semaine ne passe sans nouvelle affaire de fuite de données, suite à une négligence ou une attaque informatique. Adresses mails divulguées, informations clients dérobées… Dernier scandale en date :  janvier 2018, DARTY se fait sanctionner à hauteur de 100 000 euros par la CNIL pour la violation des données personnelles de certains de ses clients. L’enquête a montré que la faille venait d’un prestataire mais la décision de la CNIL a rappelé que la responsabilité de la protection des données personnelles appartenait bien au responsable de traitement.

En quelques années, la sécurité des données personnelles s’est imposée comme un enjeu majeur pour les entreprises qui les collectent, pour celles qui le font pour d’autres, comme pour les particuliers qui hésitent de plus en plus à les fournir. Et aujourd’hui, cet enjeu dépasse largement le cadre de la vie privée pour s’inviter sur le terrain économique.

RGPD : la France bien armée

Matérialisé par la CNIL (Commission nationale de l’informatique et des libertés), la France dispose depuis 1978 d’un cadre réglementaire exigeant. Mais dès le 25 mai 2018, l’Europe passe à la vitesse supérieure avec son Règlement général sur la protection des données (RGPD), une mesure coercitive finalisée en 2016, et auquel un projet de loi français traitant plus largement des données personnelles fait aujourd’hui référence, pour toiletter la loi Informatique et libertés. « Le RGPD reprend beaucoup de dispositions législatives actuelles, comme le droit à l’accès aux données, à leur rectification ou à la portabilité, détaille Sandra Di Giovanni, responsable du pôle Confiance numérique d’AFNOR Certification. Mais il ajoute de nouvelles règles pour plus de protection. » Les entreprises devront par exemple se soumettre au principe du « privacy by design », c’est-à-dire pouvoir prouver que, dès la phase de conception d’un outil informatique traitant des données personnelles, la protection de ces données a bien été prise en compte. Dans certains cas, elles devront même désigner un délégué à la protection des données.

Autre nouveauté : la prise en compte des sous-traitants. « En 2014, la CNIL a sanctionné un opérateur téléphonique français qui s’était fait dérober 1,3 million de données clients et prospects. L’enquête a montré que la faille venait d’un prestataire », raconte Benoît Pellan, chef de projet AFAQ Protection des données personnelles, le signe distinctif qu’AFNOR Certification développe à l’attention des entreprises désireuses de montrer patte blanche. Au sens du RGPD, les donneurs d’ordre devront désormais s’assurer que leurs sous-traitants respectent eux aussi les règles de sécurité et qu’ils sont en capacité de les informer très rapidement des violations de données personnelles. « Nous sommes souvent face à des chaînes complexes, où les responsabilités pouvaient paraître partagées. La nouvelle réglementation clarifie les rôles et les obligations entre le responsable de traitement, le co-responsable de traitement et le sous-traitant en fixant, par exemple, les clauses attendues dans un contrat », poursuit Benoît Pellan. Et ces règles ne concernent pas uniquement les entreprises européennes. Dans certains cas, les structures qui collectent et traitent des données personnelles relatives à des citoyens de l’UE sont tenues de respecter ces obligations, quelle que soit leur implantation.

Prouver sa bonne foi

Alors comment se prémunir ? AFAQ Protection des données personnelles, le nouveau signe de confiance que développe AFNOR Certification avec le cabinet d’avocats Artemont, aspire à obtenir l’agrément de la CNIL, lorsque celle-ci aura défini les conditions, ce qui confèrera à son détenteur présomption de conformité au RGPD. Une fois délivré, ce certificat sera valable trois ans, avec un audit de surveillance chaque année. « Cet audit est constitué d’une phase documentaire et d’un audit sur site pour analyser l’effectivité les procédures mises en place pour gérer les données personnelles » précise Benoît Pellan.

C’est à ce titre que le RGPD, dans son article 42, encourage la démarche de certification, en tant que démarche « volontaire et accessible via un processus transparent ». Le texte précise que « les besoins spécifiques des micro, petites et moyennes entreprises [doivent être] pris en considération ». Mais en filigrane, il défend une idée forte : la certification revêt clairement un intérêt économique. « Elle crée un espace de confiance entre partenaires. Elle permettra à un donneur d’ordre de s’appuyer sur le contrôle d’un tiers dans le choix de ses prestataires. Elle pourrait même devenir un critère dans les appels d’offres », appuie Benoît Pellan.

Pour Farid Bouguettaya, avocat associé du cabinet Artemont, « à l’heure où chacun s’intéresse à la protection de ses données personnelles, la certification pourra constituer un véritable atout vis-à-vis de clients, donneurs d’ordres ou autres partenaires commerciaux».

La conformité au RGPD n’est pas un sprint, mais une course de fond. Dans cinq mois, l’étape de la première mise en conformité devra être franchie. La certification AFAQ Protection des données personnelles, c’est organiser sa conformité pour trois ans !

« N’attendez pas le 25 mai 2018 ! »

Trois questions à Benoît Pellan, chef de projet AFAQ Protection des données personnelles

Benoît Pellan, chef de projet AFAQ Protection des données personnelles

Que va-t-il se passer le 25 mai 2018 ?

La CNIL répète qu’il ne s’agit pas d’une date-couperet. C’est une évidence, toutes les entreprises ne seront pas matures sur cette réglementation d’ici là. Cependant, elles devront avoir franchi une première étape sur les fondamentaux du RGPD et être en capacité de démontrer qu’elles ont initié des actions.

Quel rôle joue la certification AFAQ Protection des données personnelles ?

L’article 42 du RGPD recommande aux entreprises de se prémunir en se faisant certifier. C’est l’ambition de notre certification AFAQ. D’une part, elle prouve la bonne foi de l’entreprise et son action pour protéger les données personnelles, ce qui rassure ses clients. D’autre part, elle démontre un engagement structurel sur le long terme pour garantir la pérennité et la continuité des moyens.

Quand commencer ?

Dès que vous êtes en ordre de marche ! Pour délivrer le certificat, l’auditeur devra disposer d’un recul sur trois mois au moins, afin de tracer les données et les suivre sur un temps relativement long. C’est pourquoi nous proposons déjà une version pilote de cette certification. Elle sera finalisée à partir de mars 2018, une fois que la CNIL et ses homologues auront fixé les critères d’éligibilité. Nous demanderons alors l’agrément officiel.

 

En savoir plus sur la certification AFAQ protection des données personnelles… 

Écouter les explications d’AFNOR Certification en vidéo…

Tout sur le RGPD en une web-conférence d’1h…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *