La mise en conformité avec le Règlement général sur la protection des données (RGPD) de l’UE est depuis longtemps une tâche compliquée et laborieuse, mais les responsables de la conformité s’accordent sur un point : le risque lié au RGPD pour les entreprises ne cesse d’augmenter.
La Cour de justice de l’Union européenne (CJUE) a rappelé ce point à tout le monde fin 2023, lorsqu’elle a rendu une décision historique où les entreprises peuvent être tenues responsables d’infractions au GDPR (RGPD en anglais). En bref, l’arrêt donne aux régulateurs de la confidentialité des données plus de latitude pour imposer des amendes en cas de violation du RGPD, ce qui signifie que les entreprises ont d’autant plus de raisons de mettre en place leurs programmes de conformité au GDPR.
Commençons par l’affaire elle-même et la manière dont elle s’est déroulée. Il s’agit d’une société immobilière allemande, Deutsche Wohnen. En 2019, les régulateurs allemands de la protection de la vie privée ont condamné Deutsche Wohnen à une amende de 14,5 millions d’euros pour avoir conservé les données personnelles des locataires plus longtemps que nécessaire, ce qui constitue une violation de l’article 6 du GDPR.
Deutsche Wohnen a fait appel. Elle a fait valoir que pour que les autorités de contrôle de la protection de la vie privée puissent imposer une sanction pécuniaire à une entreprise, elles doivent d’abord lier la violation du RGPD à une « personne physique » de l’entreprise ; généralement un membre de l’équipe de direction de l’entreprise. Ce n’est qu’après avoir prouvé que la direction était au courant de l’infraction que l’autorité de régulation peut imposer une responsabilité à la « personne morale », c’est-à-dire à l’entreprise elle-même.
Le 5 décembre 2023, la CJUE a rendu sa décision : c’est non ! Les régulateurs peuvent tenir les personnes morales (c’est-à-dire les organisations corporatives) responsables des violations du GDPR, que ces violations aient été commises par la direction directement ou « par toute autre personne agissant dans le cadre des activités de ces personnes morales et pour leur compte ».
D’un point de vue pratique, cela signifie que les régulateurs sont plus libres de prendre des mesures d’exécution contre les entreprises qui ont enfreint le GDPR. Plutôt que de devoir démontrer que la direction était au courant des violations et n’a rien fait (ce qui était la norme en vertu du droit national dans plusieurs États membres de l’UE), ces régulateurs peuvent directement tenir votre entreprise pour responsable.
La solution, comme toujours : une conformité rigoureuse
Le respect effectif de toute réglementation (en matière de protection de la vie privée ou autre) commence toujours de la même manière : vous effectuez une analyse des lacunes, en comparant les politiques, les procédures et les contrôles actuels de votre entreprise à un cadre qui définit ce que devrait être votre état de conformité idéal.
Bien qu’aucun cadre de protection de la vie privée ne soit aussi strict que le GDPR, nous avons quelques choix de cadres qui orienteront les organisations dans la bonne direction. L’un d’entre eux est le cadre de protection de la vie privée du NIST, élaboré aux États-Unis par l’Institut national des normes et de la technologie. La norme ISO 27701, élaborée par l’Organisation internationale de normalisation, est une autre norme de protection de la vie privée qui présente un intérêt plus global. Pour le Royaume-Uni, la norme BS 10012:2017 serait un choix évident. Vous pouvez suivre les détails du RGPD lui-même autant que possible, ou faire de même avec HIPAA, la loi sur la protection de la vie privée dans le secteur de la santé aux États-Unis.
En effet, tous ces cadres sont largement similaires, bien qu’aucun ne soit identique. Il serait souhaitable de disposer d’un logiciel de GRC qui fonctionne avec toutes les normes, en cartographiant leurs exigences croisées et en indiquant où vos opérations répondent, ou non, aux attentes en matière de protection de la vie privée.
Vient ensuite le travail, parfois pénible, de mise en œuvre de nouveaux contrôles pour combler les lacunes constatées. Ces contrôles peuvent prendre plusieurs formes :
- Des contrôles techniques, tels que le cryptage des données ou l’utilisation d’une authentification multifactorielle pour certaines transactions. (La Deutsche Wohnen a également été blâmée pour la faiblesse de ses contrôles techniques dans le cadre de la mesure d’exécution qui a déclenché toute cette affaire).
- Les contrôles de processus, qui régissent la manière dont les données sont traitées. Par exemple, vous pourriez avoir besoin de définir des processus pour détruire les données personnelles inutiles en temps voulu, ou mettre en œuvre de nouveaux processus d’approbation avant que les employés ne commencent à collecter de nouvelles données personnelles.
- Les contrôles organisationnels, tels que la formation à la sensibilisation à la sécurité, les tests de confidentialité ou le recrutement d’un nombre suffisant d’employés chargés de la protection de la vie privée et de la sécurité.
En plus de tout cela, vous aurez également besoin d’une gestion fiable des risques liés aux tiers, car, rappelez-vous, l’arrêt de la CJUE stipule que la responsabilité peut être engagée par « toute autre personne » agissant pour le compte de votre entreprise. Cela inclut les fournisseurs de technologies basées sur l’informatique en cloud, les partenaires de coentreprises, la main-d’œuvre contractuelle, les distributeurs et bien d’autres encore. Vous devrez vous assurer qu’ils disposent de programmes de protection de la vie privée suffisamment solides avant de leur confier des données personnelles que vous contrôlez.
Comme toujours, c’est maintenant qu’il faut commencer
Dans une certaine mesure, les détails exacts de cette décision de la CJUE n’ont plus beaucoup d’importance pour les grandes organisations. Si votre entreprise n’est pas déjà soumise au GDPR, elle est probablement soumise à une autre loi sur la confidentialité des données similaire (le California Consumer Privacy Act, par exemple) que vous pourriez tout aussi bien vous contenter de vous conformer au RGPD de toute façon.
C’est peut-être là le point le plus important et le plus pragmatique : les règles onéreuses en matière de confidentialité des données font partie de la vie des entreprises, et les équipes chargées de la conformité doivent se donner les moyens de s’y conformer. Travaillez avec vos dirigeants et vos unités commerciales en première ligne pour comprendre comment ils souhaitent utiliser les informations personnelles identifiables, et expliquez-leur qu’une culture d’entreprise soucieuse de la protection de la vie privée est une nécessité dans le monde moderne.
L’arrêt de la CJUE ne fait que souligner ce point, qui était déjà vrai depuis un certain temps.
NAVEX propose des solutions conçues pour vous aider à mettre en place des contrôles appropriés afin de rester en conformité avec le GDPR et d’autres obligations de conformité internationales.
