L’Amrae publie un cahier technique pour se mettre en conformité avec le RGPD

Date de publication : 21/03/2018  |  V.D.

Photon_photo/Fotolia
Photon_photo/Fotolia

Lors de ses rencontres début février 2018 à Marseille, l’Amrae a publié, en collaboration avec le cabinet de conseils CGI Business consulting, un cahier technique relatif au règlement général sur la protection des données (RGPD) qui s’applique à partir du 25 mai 2018.  

Dans son  cahier technique sur le RGPD intitulé « La protection des données du citoyen européen par l’entreprise », l'Amrae, en partenariat avec CGI BUsiness Consulting, donne des éléments pour initier le projet ou renforcer certains aspects déjà initiés dans l’entreprise. « L’entreprise qui n’a pas commencé à mettre en place le RGPD dès maintenant ne sera pas conforme le 25 mai, lors de son entrée en vigueur », prévient toutefois François Beaume, administrateur de l’Amrae et président de la commission Systèmes d’information.

Le rôle du risk manager

Le risk manager est partie prenante dans la mise en place du RGPD. Il doit intégrer la protection des données dans sa gestion des risques. « Le RGPD doit se construire comme une démarche d’entreprise qui implique de nombreux acteurs et services avec, à leur tête, un chef de projet », précise Sophie Mauvieux, administratrice de l’Amrae et directrice des risques et du contrôle interne de Gemalto.

Ce chef de projet, le délégué à la protection des données (DPO – Data Privacy Officer), a un devoir plus important que le correspondant informatique et libertés (CIL). Il a un rôle de conseil, de contrôle en faveur du respect de la réglementation et de relais avec l’autorité de contrôle. Plusieurs fonctions stratégiques peuvent être nommées DPO dont, en premier lieu, le risk manager tout comme le directeur des systèmes d’information, le directeur juridique et/ou conformité, le contrôle interne, les RH ou d’autres directions (marketing, vente…).

Établir une analyse de risque

Selon Sophie Mauvieux, le chef de projet doit connaître l’organisation pour bien comprendre le RGPD. La direction doit le rendre légitime pour agir sur différents départements. Pour cela, il doit connaître les risques auxquels l’entreprise est exposée, la typologie des clients, les données à protéger, les activités, les protections mises en place… Le risk manager gère déjà ce type de problématique transverse en collaboration avec différents acteurs à l’aide d’outils d’amélioration continue. « Toutefois, s’il n’est pas lui-même chef de projet, le risk manager doit être présent pour coacher les chefs de projets sur une approche risk management », ajoute Sophie Mauvieux.

Le RGPD réclame une obligation de résultats. En premier lieu, un diagnostic ou état des lieux doit être établi pour connaître le niveau de conformité de l’entreprise au RGPD au travers d’une analyse d’écarts entre les mesures existantes et les exigences du règlement. Un plan de mise en conformité est ensuite établi pour intégrer les actions à appliquer. Un registre de traitement, une cartographie des risques sont autant d’outils à mettre en place pour un suivi des actions dans le temps par les différents interlocuteurs. « Nous sommes dans une véritable analyse de risque », note Hélène Dubillot, directrice de la coordination scientifique de l’Amrae.

Des garanties assurantielles

En cas de non-respect de la loi sur les données personnelles, le responsable légitime est le mandataire social de l’entreprise. Le risque cyber est assurable au travers de garanties assurance cyber avec une police d’assurance spécifique qui couvre les modalités et les amendes administratives. « Nous n’avons pas encore assez de recul sur le déroulement des contrôles de la Cnil. Il n’existe pas de moratoire pour certaines obligations. Pour le moment, nous ne voyons pas l’autorité de contrôle en capacité de multiplier ces contrôles sur l’année 2018 », déclare Hervé Ysnel, vice-président de CGI Consulting. Il ajoute : « La mise à jour du processus de gestion de crise et les obligations de notification envers les clients et les partenaires peuvent être coûteuses. Pour les petites entreprises, les cyber-assurances peuvent offrir ce service ».

Une fuite de données ou une non-conformité au RGPD peut avoir de multiples impacts pour les prestataires, les partenaires et les clients mais surtout pour l’entreprise elle-même en termes d’image et de réputation. 

« Les exigences vont venir du client. À terme, le risque est d’aboutir à des "class actions" de la part de clients ou d’actionnaires », souligne Hélène Dubillot, faisant référence à l’affaire Target où 110 millions de clients ont été touchés par un vol de données bancaires en janvier 2014.

« Une crise bien gérée, en toute transparence, une communication efficace peut amener vos clients à avoir davantage confiance en vous », conclut Sophie Mauvieux.