Près de la moitié des organisations luxembourgeoises sont à mi-chemin de la mise en œuvre du Règlement Général sur la Protection des Données, entré en vigueur le 25 mai 2018. Michael Hofmann, Associé et RGPD Leader chez EY Luxembourg revient sur les derniers progrès en matière de protection des données, sur la nouvelle certification de la CNPD, et ce, avec un focus sur le secteur de la santé. Interview.
U
n an après l’entrée en vigueur du RGPD, une étude EY révèle que si 39% des organisations ont presque terminé leur mise en œuvre de la réglementation, 3% d’entre-elles ne savent toujours pas si elles sont conformes ou non…
Il y a un an, beaucoup pensaient encore que le RGPD ne les concernerait pas; depuis, un changement de mentalité s’est opéré et une réelle prise de conscience a émergé. L’année écoulée a été celle de la mise en œuvre des aspects formels (aspects légaux, politiques et procédures, DPIA, registres, …). Force est néanmoins de constater les différences de maturité dans les programmes d’implémentation.
De manière générale, les secteurs réglementés sont en principe plus avancés et si beaucoup ont cherché des aides extérieures auprès de juristes ou de conseillers spécialisés, les résultats sont extrêmement différents d’une entreprise à l’autre. Le principal problème étant que la mise en œuvre d’un programme de protection de la vie privée entraîne des coûts humains, techniques, légaux et financiers non négligeables.
Les efforts déployés sont parfois conséquents mais ils ne déchargent en aucun cas du principe de responsabilité en cas de violation. Le RGPD implique de tenir une documentation rigoureuse et de se doter d’une politique interne de bonne gestion. En cas de fuite des données personnelles, le signalement des infractions à la Commission Nationale pour la Protection des Données, tel que défini dans le règlement, provoquerait une investigation dans laquelle la documentation et la politique interne pourraient porter préjudice à l’organisation. Se doter d’une ligne de conduite, c’est bien, la suivre, c’est mieux. C’est pourquoi EY Luxembourg met à disposition de ses clients des délégués à la protection des données (DPO ou Data Protection Officier) qui vont beaucoup plus loin que le simple conseil en gérant, au quotidien, l’implémentation de programmes RGPD.
Qu’en est-il plus particulièrement du secteur de la santé?
Les informations personnelles de santé doivent être protégées en considération de leur caractère ultra-sensible. Du médecin généraliste à la CNS, en passant par les hôpitaux, les services spécialisés ou encore les laboratoires, les mécanismes de protection de l’information doivent alors être respectés.
Prenons l’exemple d’un laboratoire qui est un élément central de la santé au Luxembourg, dans la mesure où il est amené à communiquer avec tous les secteurs susmentionnés. Il est évident que les données récoltées, notamment celles dans le cadre d’enquêtes judiciaires, ne doivent pas être accessibles à tous les acteurs. Le laboratoire s’est donc doté d’une politique de sécurisation des données et des messages envoyés qui ont significativement amélioré le service rendu au patient. Les canaux traditionnels moins sécurisés comme le papier ont notamment été délaissés au profit du numérique, plus rapide et plus sûr. De plus, chaque employé du laboratoire a suivi une formation, non seulement générale sur le RGPD mais aussi spécifique à son contexte particulier.
Le secteur n’a pas attendu le RGPD pour veiller à ne pas divulguer les informations personnelles de ses patients. Cette conscience professionnelle, partagée par bon nombre d’autres professions, existait bien en amont du règlement. L’implémentation du RGPD a néanmoins permis de régler des questions sous-jacentes et d’améliorer les processus.
Quelle est la maturité du Luxembourg en termes de protection des données sur la scène européenne?
L’année passée, ce sont 900 questions qui ont été posées à la Commission Nationale pour la Protection des Données, qui a significativement augmenté ses effectifs pour être aujourd’hui un régulateur moderne et professionnel. Le RGPD prévoit que les autorités nationales de protection des données puissent se doter d’une certification et le Luxembourg se positionne comme précurseur en la matière. Nous avons pris de l’avance sur les autres pays membres de l’Union européenne et c’est un atout non-négligeable sur la scène internationale!
En effet, cela fait deux ans et demi que la CNPD travaille sur une certification et si pour l’heure aucune n’a encore été délivrée, les premières devraient arriver dans le courant de l’année. Le Luxembourg a choisi de baser sa certification RGPD sur une norme internationalement connue et acceptée, en l’occurrence ISAE 3000. La certification contrôle les structures afin de réduire les risques et il est possible de certifier un processus choisi ou l’ensemble d’un programme RGPD.
Une grande partie de la richesse qui transite par le Luxembourg est générée par des entreprises internationales. Si les antennes luxembourgeoises sont parfois minuscules par rapport au groupe, le risque reste pourtant le même. Car le RGPD donne aux autorités de contrôle le pouvoir d’imposer des amendes allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, selon le montant le plus élevé. La certification se présente alors comme l’unique mécanisme sûr de protection.
Un dernier mot de conclusion…
Le RGPD ne saurait être l’apanage des spécialistes mais doit être vécu par l’ensemble des forces vives d’une organisation. Implémenter un système est relativement aisé mais l’éprouver quotidiennement pour le faire exister est plus difficile. Les organisations sont tenues de reporter à l’autorité de contrôle, toute violation de données à caractère personnel dans les 72 heures. Et nombreux sont les employés qui ne se sentent pas tout à fait à l’aise avec cette obligation.
