Suite à notre participation au CYBER-DAY 2019 (événement organisé par l’Ecole de Guerre Economique et Veille Magazine) et notamment à l’animation d’une table ronde avec la CNIL, voici ci-dessous un article publié par Veille Magazine.
Matthieu Grall, chef du service de l’expertise technologique de la Commission nationale Informatique et libertés (CNIL), à co-annimé, une table ronde dédié au RGPD lors du Cyber-Day 2019 le 20 février 2019 avec GAC Group.
Au cours de cette table ronde sur le Règlement général pour la protection des données (RGPD), il a dressé l’état des lieux des actions menées par la CNIL pour accompagner la mise en œuvre de ce cadre normatif européen en France, neuf mois après son lancement en mai 2018.
Pouvez-vous nous faire un bilan d’étape des actions mises en place par la CNIL depuis le lancement du RGPD ?
Le service de l’expertise technologique de la CNIL, que j’anime, a pour mission d’aider les citoyens et les entreprises à appréhender les nouvelles technologies et les enjeux qui y sont associés en matière de protection de la vie privée.
Dans le cas du RGPD, il s’agit de les aider à se mettre en conformité. En plus d’avoir ardemment travaillé à l’interprétation du texte, nous avons élaboré divers outils. Parmi eux, il y a des référentiels dans des domaines variés : gestion clients et prospects, gestion des impayés, vigilance sanitaire, ressources humaines ou encore gestion des cabinets médicaux. La CNIL a aussi adopté deux référentiels pour la certification de compétences des délégués à la protection des données (DPO). L’un pour agréer des certificateurs, l’autre pour qu’ils évaluent les candidats à la certification. Nous envisageons la délivrance des premiers agréments au cours du 1er semestre. Une autre forme de texte, inédite, est le règlement-type qui fixe un cadre exigeant et protecteur pour le contrôle d’accès par biométrie. Nous travaillons aussi sur l’élaboration d’une dizaine de codes de conduite.
Qu’il s’agisse de recommander, certifier ou réglementer, ce sont tous des textes cadres qui actualisent la doctrine de la CNIL au regard du RGPD et listent les conditions à respecter pour s’y conformer. Certains seront portés au niveau européen via l’European Data Protection Board (EDPB), qui coordonne une douzaine de groupes de travail. Toutes les autorités de contrôle n’ont pas les mêmes moyens, mais il y a une vraie volonté de se coordonner et d’harmoniser les processus au niveau européen.
Le RGPD doit aussi permettre de mieux lutter contre la cyber-criminalité : quelles mesures sont nécessaires pour répondre aux exigences du règlement ?
La cyber-sécurité fait partie intégrante de la protection de la vie privée. Dans son article 32, le RGPD rappelle que les mesures doivent être proportionnées aux risques sur les droits et libertés des personnes – qui proviennent d’atteintes à la disponibilité, à l’intégrité ou à la confidentialité des données. Les mesures citées dans le RGPD – chiffrement, pseudonymisation, etc. – ne sont que des exemples, qui ne sont pas des arguments de protection suffisants.
Il convient d’intégrer sécurité et protection de la vie privée dès la conceptualisation des projets. Mesures de base, mesures d’hygiène informatique, et si nécessaire, étude de risques de sécurité. Les recours aux bonnes pratiques, aux normes internationales type ISO/IEC 270xx et aux prestataires et produits certifiés, contribuent aussi à traiter ces risques et à apporter la confiance.
En 2018, la CNIL a reçu 190 000 appels et 11 000 plaintes. Elle a aussi permis d’infliger une amende record à Google. A-t-elle les moyens de renforcer encore ses actions ?
Le lancement du RGPD a provoqué un « effet buzz », une soudaine prise de conscience qui s’est notamment traduite par l’explosion du volume de plaintes car les citoyens et/ou salariés ont compris qu’ils avaient des droits à défendre. Il y a aussi eu un réel effet dans le milieu de la sécurité, au sein duquel il existait peu de réglementation.
Depuis la sortie du RGPD, près de 40 000 structures ont désigné un DPO, le site de la CNIL a été visité 8 millions de fois et nous avons reçu 1200 notifications de violations de données. Et puisque notre effectif -même s’il ne diminue pas- ne va pas non plus doubler en 2019, nous avons dû trouver des solutions pragmatiques pour démultiplier nos forces. Plutôt que de traiter chaque question unitairement, la CNIL a développé une stratégie à destination des têtes de réseaux : associations, clusters régionaux, etc. Ces entités bien organisées sont nos interlocuteurs directs et nos relais auprès de leurs réseaux.
Dans la même dynamique d’optimisation des efforts, nous allons très prochainement mettre en ligne un MOOC sur les principes fondamentaux du RGPD, destiné à toute personne ayant à traiter des questions de vie privée et de protection des données. Enfin, nous allons accompagner plus spécifiquement les collectivités locales et les PME qui ont encore besoin d’être rassurées, via des fiches sur divers thèmes qui les intéressent particulièrement, comme le téléservice, la mutualisation, la sécurité…
Le RGPD ne doit pas être envisagé uniquement comme un cadre limitatif, car il offre de nombreuses opportunités aux entreprises et constitue plutôt un facteur de confiance pour leurs partenaires et leurs financeurs. La mise en conformité est à la fois un pas vers la transformation numérique et un levier d’amélioration en matière de gestion et d’efficacité commerciale, qui peut être créateur de valeur.
Ainsi, l’intérêt marqué qui se manifeste actuellement, reste à concrétiser. Les organisations doivent désormais consolider leur prise de conscience, savoir s’évaluer pour s’améliorer. En un mot, elles doivent développer leur maturité.