AGEFI Luxembourg, February 2019

RGPD - Le Luxembourg, leader pour une solution innovante dont l'Europe a besoin

  • Share

Au Luxembourg, 42% des organisations sont à mi-chemin de la mise en œuvre du Règlement général sur la protection des données (RGPD) alors que 39% d’entre elles ont presque terminé cette première phase.

Dix mois après l’entrée en vigueur du RGPD, nombreux sont ceux qui n’en ont pas encore terminé avec les efforts considérables déployés pour se conformer à cette réglementation. Même avec un engagement total, encore 3% des organisations ne savent toujours pas si elles sont conformes ou non (selon le rapport annuel 2018 de IAPP-EY sur la gouvernance de la vie privée). Au 11 janvier de cette année, 42% des organisations à Luxembourg étaient à mi-chemin de la mise en œuvre de la règlementation, tandis que 39% avaient presque terminé leur mise en œuvre.

 

2019 sera l'année de l'efficacité

Au cours des années 2017 et 2018, les efforts de mise en œuvre ont été dominés par des aspects formels : aspects légaux, politiques et procédures, DPIA, registres…. Les éléments propres aux outils et à la gouvernance ont été la plupart du temps développés en interne par les organisations (par exemple, le nombre de DPO a plus que doublé). 2019 sera sans aucun doute l'année de l'efficacité. Sur base de notre expérience intersectorielle au Luxembourg, mais également de notre expérience européenne, nous confirmons que les efforts ont été considérables et sont toujours en cours pour mettre en œuvre des modèles de protection des données. Leur point de départ des organisations était remarquablement contrasté et a influencé fortement les niveaux de maturité de chaque secteur.

Les structures, programmes, politiques et procédures de protection de la vie privée doivent être vécus par tous les membres et employés d'une organisation et ne peuvent certainement pas être gérés uniquement par des spécialistes. Nous savons tous que le risque peut être atténué, que les craintes des employés peuvent être traitées et que la protection de la vie privée, par construction, peut être transformatrice, mais personne ne peut exclure que souvent les violations ou  cyber-violations classiques résultent également en violations de la protection des données.

 

Personne ne peut exclure les violations et les cyber-violations sur la vie privée

La recommandation est simple : Installez un programme de protection de la vie privée et un cyber-programme pragmatique et efficace.

Au fil des années d’évaluation, de mise en œuvre et d’exécution des programmes RGPD, il ne fait aucun doute qu’une mise en œuvre intelligente n’est pas facile du tout, car cette mise en œuvre entraîne des coûts humains, techniques, légaux et financiers non négligeables.

Au Luxembourg, des violations de données ont été signalées depuis l'entrée en vigueur du RGPD. En réalité, le Luxembourg est au même niveau que d’autres pays européens. Néanmoins, le signalement des infractions à la La Commission nationale pour la protection des données (CNPD) est une nouveauté pour tous et la volonté de signaler ne se situe manifestement pas au même niveau dans tous les secteurs, ce qui pourrait nécessiter une réévaluation par les acteurs. Il devrait être clair que le fait de ne pas signaler une violation à la CNPD (telle que définie dans le règlement) pourrait en fin de compte se révéler être une erreur impardonnable pour l'organisation.

 

Faites ce qu'il faut, soyez ouvert et transparent

Alors, faites ce qu'il faut, soyez transparents et suivez les règles. Statistiquement, il est presque impossible que vous n’ayez pas eu de violation à ce jour. Et si aucune violation n'est connue de votre organisation, peut-être serait-il judicieux d’envisager d’évaluer la maturité de votre organisation et l'efficacité de votre programme, avant qu’un problème sérieux ne se présente. Et dans ce cas, vous n'aurez plus beaucoup de possibilités de défense.

 

Tous les efforts de mise en œuvre du RGPD me protègeront-ils vraiment ?

 A l’heure actuelle, beaucoup d’organisations sont encore très occupées à compléter les éléments manquants et améliorer la première mise en œuvre. La question qui se pose est alors la suivante : tous les efforts de mise en œuvre du RGPD me protègeront-ils vraiment ?.

Une chose est sûre, en cas de problème, nous devrons tous démontrer avoir adopté une approche basée sur les risques.  Cela ne suffit malheureusement pas à nous exonérer de toute responsabilité !

Un programme de protection de la vie privée bien conçu, n’implique pas nécessairement une mise en œuvre parfaite et une efficacité sans faille. Il existe une grande part de jugement dans les différentes mesures prises et certaines pourraient finalement d’avérer insuffisantes ou même mauvaises.

 

La CNPD, un régulateur moderne et professionnel

En 2018, plus de 900 questions nécessitant un traitement de la CNPD ont été posées au régulateur. Malgré l’augmentation considérable de charge de travail, la CNPD a pu trouver les solutions attendues par le marché, non seulement au Luxembourg, mais dans l’ensemble de la zone UE.

En effet, le RGPD prévoit que les autorités nationales de protection des données aient le droit de présenter une certification RGPD., Le Luxembourg se positionne comme le premier acteur dans ce domaine.

 

Certification RGPD - En avez-vous vraiment besoin ?

Le RGPD est une réglementation moderne qui laisse à chacun la possibilité de définir les modalités pratiques d’implémentation qui lui sont propres en fonction de son appétit au risque.

Comment, dans ces conditions, être sûr d'avoir bien agi ? Une évaluation en interne est toujours possible, mais elle présente de fortes limitations de par son caractère partiel et peut-être même partiale.

 

La nécessité d'un cadre commun acceptable

La nécessité d'un cadre commun acceptable offrant une réelle valeur ajoutée est incontournable au Luxembourg, mais aussi en Europe et dans le monde.

Le Luxembourg a choisi de baser la certification RGPD sur une norme internationalement connue et acceptée, ISAE 3000 (la CNPD a mis à disposition gratuitement le standard de certification RGPD, CARPA, que vous pouvez télécharger via le site suivant : https://cnpd.public.lu/dam-assets/fr/actualites/national/2018/GDPR-CARPA-Criteria-v10.pdf), qui a été entièrement développée pour vous et pas seulement sur les principes du RGPD. Plus encore, elle donne des exemples de contrôles possibles, qui vous permettront de mesurer la conception et l’efficacité d’un processus choisi, voire même de l’ensemble de votre programme RGPD si vous le souhaitez.

 

La certification RGPD, un plus pour vous ?

Mais, avez-vous besoin d'une certification RGPD? 

Disposer d’un cadre vous permettant de vous évaluer et de vous aider à identifier l’un ou l’autre des domaines qui pourraient ne pas correspondre au niveau souhaité est excellent, mais, se comparer à soi-même n’est pas optimal. Et même si cela peut aider à améliorer l'efficacité de votre programme RGPD, cela ne vous apportera pas beaucoup plus d'assurance si un incident se produit. Par contre, en cas d’émission d’un rapport d’assurance par une partie tierce, il est possible d’atteindre un niveau supérieur de protection, ce dont vous aurez besoin dans des cas spécifiques.

Ce qui fait toute la différence est que ce rapport d’assurance CARPA pourra être reconnu dans le monde entier grâce à l’approbation de la CNPD, qui tiendra un registre des certifications délivrées par les futures sociétés d’accréditation, comme EY par exemple.

Ainsi, dans le pire des scénarios, vous pourrez non seulement démontrer que vous avez conçu un programme RGPD approprié, mais également en garantir l'efficacité. Le « plus » réside dans la possibilité d’obtenir l’attestation et la certification de ce programme sur une période de trois ans par un cabinet d'audit agréé, spécialisé, et avalisé par l’agence luxembourgeoise de protection des données (la CNPD).

La reconnaissance à l’échelle internationale de cette certification luxembourgeoise est une première en Europe et confère au Luxembourg une place de pionnier en la matière.