La transparence du traitement

Deloitte Luxembourg

Le 25 mai prochain, le Règlement Général sur la Protection des Données (RGPD) sera applicable en Europe. Anciennement commissaire à la CNPD, Georges Wantz, directeur Technology & Entreprise Application chez Deloitte Luxembourg, revient avec nous sur les démarches qu’il reste à accomplir dans le secteur public pour une mise à jour avant l’application du règlement.
 
Comment épauler le secteur public dans sa préparation à cette nouvelle réglementation?
La nouveauté de ce règlement est surtout qu’il provoque une prise de conscience: la protection des données est un droit fondamental en Europe qu’il est temps de faire respecter.
Ainsi, il vise à supprimer les démarches administratives telles que des notifications et des demandes d’autorisation auprès de la CNPD en les remplaçant par un principe d’obligation pour tout responsable de traitement de données à caractère personnel de prouver qu’il protège les données personnelles et qu’il informe les citoyens des traitements qui seront opérés sur celles-ci. Il restreint également leur usage au traitement initial seul et oblige à la suppression de ces données une fois le traitement fini.
Le secteur public est touché par ce règlement car les communes traitent constamment des données à caractère personnel de leurs citoyens ou même de leurs employés. Elles devront donc analyser leurs besoins en traitement des données et les mesures de sécurité qui doivent être mises en place par rapport à ceux-ci. Il ne s’agit dès lors pas uniquement de mesures informatiques, mais surtout organisationnelles. De plus, la démarche devra à présent être entièrement transparente pour laisser la possibilité au citoyen de consulter ses données et d’en connaître le traitement.

Comment identifier les données concernées?
Une donnée à caractère personnel est une donnée liée directement ou indirectement à une personne physique. La question essentielle à se poser dans ce cadre est «pourquoi dois-je traiter cette donnée?». La définition du traitement est également très large: la collecte, la destruction, le stockage, et tout autre démarche effectuée avec les données est identifiée comme un traitement et pour chacun d’entre eux, une finalité, primaire ou annexe, doit être définie entre autres pour identifier le moment où la donnée pourra être supprimée. Il est important de définir le responsable du traitement pour remettre en cause sa légitimité et savoir s’il a le consentement, la base ou l’obligation légale de traiter ces données.

Quel sera le rôle d’un délégué à la protection des données?
Premièrement, il devra assumer un rôle de conseil au sein de son organisme. Il sera également la personne de contact en cas d’exercice de droit d’une personne dont les données à caractère personnel ont été utilisées et devra justifier dans ce cas le traitement opéré. Il aura aussi la responsabilité de traiter avec la CNPD en cas de problème décelé par l’autorité.
Le délégué devra impérativement être une personne indépendante, c’est-à-dire qu’il ne pourra pas être trop impliqué dans le traitement des données à caractère personnel pour ne pas manquer d’impartialité. En fonction de la taille de l’entité, il est envisageable que ce délégué s’occupe également de réunir la documentation garantissant la conformité du traitement des données, bien que cela ne fasse pas partie de ses obligations.
En faisant appel à un conseiller externe pour cette tâche, un organisme aurait la garantie de ses bonnes compétences en la matière et pourrait même réaliser des économies. En revanche, cette personne serait moins disponible et moins réactive qu’un employé interne à l’entité. Le juste milieu entre ces deux alternatives serait de faire appel à un seul délégué pour plusieurs entités au sein d’un même groupe, ou dans le cas des communes, d’attribuer cette tâche au Syvicol pour assurer l’harmonie et la cohérence des traitements au sein de toutes les communes luxembourgeoises.

Pensez-vous que les communes soient suffisamment préparées?
Les communes ne semblent pas encore tout à fait saisir l’ampleur de la démarche et je pense qu’il leur faudra un délai plus long avant de se mettre à jour quant à cette règlementation.
Le règlement prévoit des mesures contraignantes, sous la forme d’amendes par exemple, en cas de non-respect. Ces dernières pourront s’élever à 20 millions d’euros ou atteindre 4% du chiffre d’affaires d’une entreprise selon les cas de figure, ce qui représente un incitateur fort pour les organismes devant appliquer ce règlement. A échelle européenne, les autorités de contrôle auront pour obligation de vérifier sa mise en application et les organismes ne l’appliquant pas devront en assumer les conséquences économiques.

Quel conseil pourriez-vous donner aux communes à l’aube de ces changements?
 
Le plus important est d’adopter une démarche pragmatique et d’avancer étape par étape pour ne rien oublier et ne pas s’éparpiller. La protection des données ne sera jamais effective à 100%. Le règlement impose qu’il y ait une réflexion à ce sujet et que des mesures soient prises pour favoriser au maximum cette protection des données.

Cette démarche, bien que laborieuse, est en réalité plutôt simple. Il faut bien s’informer sur le niveau de détails à fournir et sur les processus à mettre en place, la mise en application est quant à elle assez simple. La première étape pour une commune sera de se renseigner sur la protection des données et d’en comprendre l’impact sur son entité. Il faut donc commencer par désigner une personne en charge de l’identification et de la caractérisation des traitements et des problèmes qui y sont liés et de les prioritiser. Il faudra ensuite d’établir un plan de résolution pour être le plus en règle possible le 25 mai 2018.