La conformité au RGPD | KPMG | CA

La conformité au RGPD

La conformité au RGPD

Une approche pragmatique

Associé et leader national, Enquêtes technologiques

KPMG au Canada

Contacter

Contenu connexe

Une approche pragmatique

Le Règlement général sur la protection des données (RGPD) préoccupe bon nombre d'entreprises canadiennes. Pourtant, si le nouveau règlement européen accroît la responsabilité des organisations en matière de gestion des données relatives aux citoyens de l'Union européenne (UE), il offre aussi à celles qui surmonteront leurs difficultés d'adaptation initiales l'occasion de devenir des chefs de file du marché au chapitre de la protection des données et de la vie privée.

Qu'est-ce que le RGPD?

Approuvé par le Parlement européen en avril 2016, le RGPD remplacera l'actuelle Directive sur la protection des données à caractère personnel (1995) à compter du 25 mai 2018. Il étendra alors la portée de la loi de l'UE sur la protection des données et de la vie privée à toutes les entités qui recueillent, gèrent ou traitent des données recueillies auprès de résidants de l'UE. En outre, il tiendra ces mêmes organisations responsables de veiller à ce que leurs fournisseurs et leurs partenaires se conforment aussi aux règles du RGPD, sous peine de pénalités financières pouvant atteindre 4 % de leur chiffre d'affaires mondial.

Conformité oblige

Les entreprises ne seront pas toutes prises au dépourvu par les exigences du RGPD. Des acteurs nord-américains de secteurs très réglementés, comme la banque et les soins de santé, se sont déjà adaptés à l'évolution des mesures de protection des données (cf. la Loi sur la protection des renseignements personnels et les documents électroniques et la Gramm-Leach-Bliley Act), et l'adoption au Canada de lois sur la notification obligatoire des atteintes à la vie privée, qui entreront en vigueur le 1er novembre, a poussé bon nombre d'entre elles à prendre des mesures préventives.

​Toutefois, le RGPD incite les entreprises à bien inventorier leurs données et à jeter les bases d'une stratégie permanente et proactive de gestion des risques liés aux données.

Pour concevoir cette stratégie, la direction et toutes les parties prenantes ayant un intérêt direct dans l'exploitation de leur capital informationnel doivent d'abord se poser les questions suivantes :

  • Recueillons-nous des données auprès de résidants de l'UE?
  • Employons-nous des personnes au sein de l'UE?
  • Nos partenaires et nos fournisseurs recueillent-ils, traitent-ils ou stockent-ils des données de l'UE?
  • Ciblons-nous des personnes de l'UE en leur offrant des produits et des services ou en surveillant leurs témoins de connexion et leur comportement en ligne? Dans ce cas, quelle est notre exposition au risque?

Si vous répondez par l'affirmative à l'une ou l'autre de ces questions, vous devez ensuite cerner où résident vos données liées à l'UE. Cette étape consiste à mettre les données en correspondance afin de savoir exactement où elles se situent au sein de l'organisation, comment on les recueille, à quelle fin, et comment on les utilise pour réaliser les objectifs opérationnels.

L'article 30 du RGPD souligne l'importance de la mise en correspondance des données et de l'obtention de ces renseignements : « Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité [et] chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement. »

L'importance de données exactes

La nécessité de mesures de protection des données et de la vie privée s'impose plus que jamais. À la suite d'innombrables cas de fuite de données et d'atteintes à la vie privée, les consommateurs prennent conscience des risques que pose une utilisation erronée ou mal intentionnée de leurs données sensibles.

​Des mégadonnées prises hors contexte ou recueillies incorrectement peuvent amener des entreprises à prendre des décisions aux conséquences néfastes sur leurs clients, voire sur leur personnel : évaluation négative du crédit, refus d'emploi, hausse de primes d'assurance ou incapacité d'obtenir un service à cause d'inférences ou de conclusions erronées fondées sur leurs données personnelles. On comprend donc le bien-fondé d'initiatives comme le RGPD.

Risque lié aux tiers

Aucune organisation ne fonctionne dans l'isolement. La conformité au RGPD exige un niveau accru de contrôle diligent à l'égard du choix et de la gestion des fournisseurs. Il importe de se rappeler que le responsable du traitement et les sous-traitants auront désormais des comptes à rendre; ils seront donc tenus de faire preuve de conformité ou de fournir des garanties suffisantes prouvant qu'ils ont mis en œuvre des méthodes avisées en matière de risques et des mesures de protection répondant aux normes du RGPD à l'égard de la protection des données et de la vie privée.

​Bref, le RGPD s'accompagne d'une modification de la reddition de comptes. D'ici mai 2018, toutes les organisations seront tenues de revoir leurs ententes avec leurs fournisseurs et leurs sous-traitants et de prendre des mesures afin que tous les participants au réseau de l'écosystème des données protègent un atout aussi précieux.

Adopter la méthode qui convient

Pour se conformer au RGPD, il n'y a pas de cases à cocher, pas de tâches uniques à déléguer à un chef de la sécurité. Cette initiative enjoint essentiellement les organisations d'adopter une méthode proactive de gestion des risques, c'est-à-dire d'instaurer les processus et les outils nécessaires et, surtout, une culture qui accorde une priorité absolue à la protection des données et de la vie privée.

Le RGPD énonce la nécessité de cette approche fondée sur le risque, en particulier dans l'article 32 : « Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins. »

​On constate que la conformité au RGPD n'est pas une obligation à assumer une fois pour toutes. Il n'existe pas de stratégie idéale pour réaliser la conformité intégrale. L'approche d'une organisation dépend de sa propre exposition aux risques, de ses contrôles de sécurité des données déjà en place et des mesures concrètes à prendre pour remédier à ses lacunes et à ses faiblesses à cet égard. La méthode qui convient sera définie par un examen organisationnel à l'échelle de l'entreprise, avec l'apport de toutes les fonctions, dont les champions de la protection de la vie privée, qui doivent être engagés tout au long de la mise en œuvre de la conformité.

L'importance de la documentation

On ne saurait sous-estimer l'importance de la documentation. L'une des différences fondamentales entre le RGPD et les directives ou les lois antérieures en matière de protection des données et de la vie privée tient à la nécessité permanente de vérifier et d'attester la conformité.

Heureusement, le règlement reconnaît les sceaux et les attestations garantissant la protection de la vie privée ainsi que les examens ou les audits menés par des tiers externes. Voilà en quoi les programmes de protection intégrée de la vie privée peuvent fournir une évaluation neutre et spécialisée, permettant de cerner les lacunes et les points à améliorer et de recommander des solutions.

​N'oubliez pas que le RGPD n'a que faire de suppositions et de promesses en l'air. La conformité doit être prouvée au moyen d'un contrôle diligent afin de démontrer qu'on a pris de bonne foi les mesures nécessaires pour se conformer aux 99 articles du règlement, et ce, de manière uniforme et exacte.

Appel à tous

On dit souvent que les données constituent à la fois un actif et un passif. Si elles procurent une information précieuse sur le marché et permettent aux entreprises de cibler leurs clients avec précision, le défaut de protéger ces renseignements sensibles peut entraîner des conséquences financières ou juridiques et nuire à la réputation.

​Il n'incombe pas à une seule personne ou à un seul service d'assurer la sécurité des données et la protection de la vie privée. Il s'agit d'un enjeu aux multiples facettes qui exige l'apport et l'engagement des cadres supérieurs et des professionnels des TI, de la sécurité, de l'exploitation, des services juridiques et des services de première ligne. Certes, il peut être difficile d'amener diverses équipes internes à modifier les processus, les systèmes et la culture d'entreprise. Toutefois, cette approche globale est essentielle afin de se montrer responsable et digne de confiance en matière de collecte de données.

Le compte à rebours est commencé

Il est urgent d'agir. Au lieu de considérer la conformité au RGPD comme un fardeau, les organisations peuvent s'inspirer du règlement pour devenir des chefs de file en matière de gestion des données et ainsi acquérir et conserver la confiance de leurs clients. Après tout, le RGPD ne concerne pas uniquement la protection de la vie privée; il vise à promouvoir une bonne gouvernance des données et une bonne reddition de comptes, qualités qui deviendront d'importants facteurs de différenciation sur le marché alors que de plus en plus de consommateurs prendront conscience des risques de l'ère numérique.

Communiquez avec nous

 

Appel d’offres

 

Soumettre