RGPD : un défi à toute épreuve

Al’ère de la digitalisation et de la gestion d’importants volumes des données, la mise en conformité avec le RGPD reste un défi crucial pour les entreprises. Les exigences opérationnelles d’un côté et les approches des régulateurs de l’autre font de la mise en conformité une procédure continue. 

Pourquoi la mise en conformité RGPD constitue un réel défi pour les entreprises ? 

La plus grande difficulté que rencontrent les entreprises dans le cadre de la mise en conformité RGPD est liée à la découverte des données personnelles qu'elles traitent. L’identification de données collectées figurent parmi les étapes indispensables au traitement ultérieur de demandes d'exercice des droits des personnes concernées. Ceci inclut le droit à l'effacement et le droit d'accès, ainsi que le respect des périodes de rétention prévues par la loi. En l'absence d'un outil de cartographie automatique des données, il s'avère compliqué pour les entreprises de localiser, ou tout au moins de localiser avec un degré de précision satisfaisant, les données personnelles qu'elles traitent. Le volume de données personnelles à traiter, voire à supprimer et/ou anonymiser est d’autant plus considérable qu’il est susceptible d’exposer chaque entreprise à une non-conformité RGPD et donc à des amendes de la part des autorités de contrôle.

Quelle est l’approche d’EY à cet égard ? 

Le cabinet EY, conscient des difficultés de mise en conformité RGPD auxquelles font face les entreprises, a développé une solution technologique de pointe visant à identifier, corréler, mapper et visualiser les données personnelles dans tout type de base de données (data centres ou cloud), y compris des données non-structurées (file server/email) Ensuite, cette technique innovante permet aussi une analyse comparative du registre des activités de traitement avec les données techniquement identifiées dans les multiples bases. Dans un deuxième temps, EY procède aussi à une analyse automatisée des périodes de rétention des données découvertes afin de permettre aux entreprises de se conformer à leurs obligations légales. Le nettoyage est l’étape suivante et consiste à effacer et/ou anonymiser les données personnelles ciblées ainsi qu’à améliorer la gouvernance des données. Un tel exercice permet aux entreprises de vérifier tant la nécessité que l'exactitude des données collectées, en minimisant ainsi le risque de non-conformité au RGPD et donc le risque d’amende.

Quid du futur ?

Un peu plus de deux ans après l'entrée en vigueur du RGPD, la protection des données et la mise en conformité restent toujours d'actualité. Les amendes infligées par les autorités de contrôle et la mise en cause par la Cour de justice de l'Union européenne (UE) des transferts des données personnelles vers les Etats Unis y contribuent. Les amendes récemment infligées par la CNIL pour les cookies démontrent que les entreprises, implantées au sein de l’UE ou ciblant des personnes concernées européennes, n’ont plutôt pas intérêt à négliger l’analyse de conformité de leurs cookies. Il reste trois évènements majeurs liés à 2020 à prendre en considération pour toutes les organisations qui traitent des données à caractères personnels. Les conséquences pour les organisations de l’invalidation du Privacy Shield par la Cours de Justice de l’UE (voir Arrêt Schrems II) rendue le 16 Juillet 2020 n’ont pu être clarifiées qu’en novembre 2020 par le European Data Protection Board (EDPB). De la même manière, les organisations doivent se préparer aux changements induits par le Brexit. Les professionnels du secteur et les organisations doivent s’attendre à des amendements à l’accord UE-RU dans les 6 mois à venir. Le dernier élément toujours à l’agenda des autorités et des organisations est la conciliation entre la gestion de la crise sanitaire de la COVID-19 et le respect des données à caractère personnel. Ceci constitue un élément ayant soulevé des débats d’ordre philosophique, avec de surcroît un impact sur les fondements même de la sureté (médicale et en matière de confidentialité).

Michael Hofmann, Partner, EY Luxembourg

Alejandro Del Rio, Senior Manager, EY Luxembourg

Marina Tsikintikou, Consultant, EY Luxembourg

Cet article a été publié dans Paperjam Trending.