RGPD : en route vers la certification

Huit mois après sans naissance, le Règlement général pour la Protection des Données (RGPD) marche déjà sur ses 2 pieds et on commence à avoir une visibilité sur ses impacts et sur la manière dont les entreprises l’ont intégré. Vendredi 11 janvier, Ernst & Young organisait une conférence sur la certification GDPR. L’occasion de faire un état des lieux et de mettre en lumière des retours d’expérience.

Après une introduction par Michael Hofmann, Partner EY, François Thill a expliqué l’importance de la GDPR pour l’économie luxembourgeoise en revenant sur les prémices de la réglementation. « Certains lobbies voulaient développer un capitalisme de surveillance qui aurait organisé un grand marché des données complètement dérégulé. Chaque pays aurait développé sa propre législation et le ‘digital single market n’aurait jamais pu se développer ». Et François Thill d’insister sur le but fondamental de la GDPR « qui n’est pas de punir mais d’encourager la collaboration »…  qui constitue justement un des points forts du Grand-Duché. La stratégie nationale en matière de cybersécurité vise notamment à renforcer :

  • la confiance du public dans l’environnement numérique ;
  • la protection des infrastructures numériques ;
  • la cybersécurité comme facteur d’attractivité.

Pour y parvenir, le gouvernement compte soutenir la création de nouveaux services en accord avec les régulateurs. Ces services devraient notamment se développer dans le domaine de la gestion du consentement (périmètre, période de rétention…), des plate-formes d’échange, de tiers de confiance en matière d’anonymisation et de minimisation des données, de services de sécurisation des données…

Karel Šlajs, Associate Partner & Alejandro del Río, Manager, tous deux pour EY, ont ensuite dévoilé les premières leçons de la nouvelle réglementation. Ils en ont profité pour lancer des sondages en live, auxquels chacun pouvait participer à l’aide de son smartphone ou autre appareil connecté. La 1ère question concernait l’avancement de la mise en conformité RGPD.

Les résultats de ce panel composé de quelques 80 votants :

  • 9% font les premiers pas ;
  • 42% estiment qu’ils sont à mi-chemin ;
  • 39% estiment qu’ils ont presque conformes ;
  • 6% estiment qu’ils sont totalement conformes.

Il s’agit déjà d’une belle progression par rapport au sondage réalisé l’an dernier, car à l’époque seulement 32% estimaient qu’ils étaient presque conformes  alors que 55% n’étaient qu’à mi-chemin.

Le Laboratoire National de Santé traite un grand nombre de données personnelles, dont certaines sont ultra-sensible. Il est amené à échanger ces données avec des interlocuteurs dont la nature et la finalité sont très différentes. Il s’agit notamment des hôpitaux, des médecins libéraux, des patients, des laboratoires, des autorités judiciaires… Il est évident que chacun de ces acteurs ne doit pas avoir accès à toutes les données récoltées, notamment celles qui sont récoltées dans le cadre d’enquêtes judiciaires. D’un autre côté, le laboratoire participe à des projets de recherche nationaux sur certaines formes de cancer ou sur la résistance aux antibiotiques. Ces recherches nécessitent la manipulation d’un grand nombre de données personnelles qui doivent être anonymisées.

Le LNS a donc mis en place une politique de sécurisation des données et des messages qui sont envoyés à ses différents interlocuteurs. Au final, les canaux traditionnels comme le papier sont nettement moins sécurisés que les canaux numériques. Mais la technologie ne fait pas tout : c’est pourquoi chaque employé du LNS a suivi une formation générale sur la RGPD, complétée par une formation spécifique à son contexte particulier.

Gary Cywie (Counsel chez Elvinger Hoss Prussen) et Christophe Buschmann (Commissaire pour la CNPD) ont ensuite développé leur vision d’une certification de la RGPD. Pour le régulateur, il s’agit surtout d’assurer que les certificats soit pertinents et que les entités certifiantes soient accréditées pour cette tâche par la CNPD. Les entreprises ayant montré un vif intérêt pour la mise en place d’un outil de certification durant la phase de préparation à la RGPD, la CNPD a pris les choses en main, conjointement avec les professionnels du secteur.

Les critères de certification sont divisés en 3 grandes sections :

  1. Critères de responsabilité (procédures, enregistrement des activités de traitement, Data Processor Officer…)
  2. Principes relatifs au traitement des données (pour les contrôleurs)
  3. Principes relatifs au traitement des données (pour les responsables des traitements)

La CNPD travaille aussi sur les critères d’agréments, suite à une consultation publique lancée en juin 2018. L’état des lieux de cette consultation peut être consulté sur le site de la CNPD.