swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

Conseils pratiques pour la mise en place d’un programme de gestion de la protection des données

Juliette Ancelle et Alexandre Jotterand, le 30 octobre 2020
Nous mettons en ligne, de manière pério­dique, les contri­bu­tions d’au­teurs externes nous ayant fait l’hon­neur d’ac­cep­ter d’ac­com­pa­gner le lance­ment de Swissprivacy. Nous accueillons cette semaine la contri­bu­tion de Juliette Ancelle, avocate asso­ciée au sein de l’Étude id est avocats Sàrl et Alexandre Jotterand, avocat colla­bo­ra­teur au sein de la même étude 

Le programme de gestion de la protec­tion des données (data protec­tion mana­ge­ment programme ou DPMP) peut se défi­nir comme un cadre mis en place au sein d’une entre­prise rele­vant d’une approche struc­tu­rée et multi­dis­ci­pli­naire de la protec­tion des données. Son utilité dépasse souvent la confor­mité régle­men­taire (compliance), bien que celle-ci demeure sa fonc­tion prin­ci­pale. Ainsi, de nombreuses entre­prises étendent le cadre de leur DPMP au-delà des strictes obli­ga­tions régle­men­taires, notam­ment en se confor­mant volon­tai­re­ment à des stan­dards édic­tés (p. ex. la norme ISO/IEC:27001 ou le NIST Privacy Framework) ou en alignant toutes leurs acti­vi­tés sur les stan­dards les plus élevés (souvent ceux du RGPD), indé­pen­dam­ment des lois qui leur sont appli­cables. Ces démarches peuvent viser à simpli­fier les proces­sus au sein de l’en­tre­prise ou à servir de diffé­ren­tiel concur­ren­tiel, en accrois­sant la confiance des consom­ma­teurs et en renfor­çant la répu­ta­tion de l’en­tre­prise. Elles permettent égale­ment de limi­ter les risques de viola­tion de la sécu­rité des données, de respon­sa­bi­lité ou de procès et, dans l’en­semble, d’ap­por­ter un retour sur inves­tis­se­ment inté­res­sant pour les entreprises.

S’il n’est pas mis en place correc­te­ment, un DPMP peut toute­fois être inef­fi­cace (car il n’est pas suivi), voire être contre-produc­tif, en bloquant les acti­vi­tés de l’en­tre­prise.  Cet article liste nos conseils pratiques, regrou­pés en cinq étapes, afin de mettre en place un DPMP réussi.

  1. Définir des objec­tifs adaptés

La première étape clé dans la mise en place d’un DPMP consiste à déter­mi­ner le « contexte » de l’en­tre­prise, c’est-à-dire son posi­tion­ne­ment dans l’éco­sys­tème de protec­tion des données (lois appli­cables et autres réfé­ren­tiels auxquels l’en­tre­prise adhère volon­tai­re­ment), ainsi que son expo­si­tion et appé­tence aux risques. Ces éléments sont essen­tiels pour cali­brer le programme et prio­ri­ser les actions à entre­prendre. Un programme mal cali­bré ou trop ambi­tieux risque d’échouer. Il est donc souvent préfé­rable de fonc­tion­ner par étapes et de fixer dans un premier temps des objec­tifs plus modestes, qui seront mieux adap­tés aux besoins de l’en­tre­prise et ainsi mieux accep­tés par les équipes busi­ness.

Il est conseillé de défi­nir la vision et mission de l’en­tre­prise en lien avec la protec­tion des données (company vision et mission state­ment), en résu­mant dans un docu­ment de façon claire et concise (30 secondes de lecture au maxi­mum) la posi­tion de l’en­tre­prise en matière de protec­tion des données, afin de guider la mise en place et l’im­plé­men­ta­tion du DPMP.

  1. Définir les rôles et respon­sa­bi­li­tés au sein de l’entreprise

La gestion d’un DPMP ne peut pas être inté­gra­le­ment délé­guée à une seule personne, ou unique­ment à un service (souvent le service juri­dique). Elle néces­site une forte colla­bo­ra­tion au sein de l’en­tre­prise et l’al­lo­ca­tion des ressources néces­saires. Naturellement, la répar­ti­tion des rôles dépen­dra du type d’en­tre­prise, de son fonc­tion­ne­ment (plus ou moins centra­lisé) et de sa taille : alors que les équipes des grandes entre­prises seront compo­sées de juristes, spécia­listes IT et des respon­sables des dépar­te­ments les plus concer­nés (RH, Marketing, Procurement, etc.), les entre­prises plus petites s’ap­puie­ront prin­ci­pa­le­ment sur une seule personne, en veillant à ce qu’elle puisse béné­fi­cier de l’as­sis­tance de ses collègues. Toutes les entre­prises (grandes et petites) devraient toute­fois s’as­su­rer de l’ap­pui d’un membre de la direc­tion (souvent dési­gné project spon­sor), qui assume la respon­sa­bi­lité du succès du programme et s’as­sure que les ressources suffi­santes soient affec­tées au projet.

 

  1. Analyser les flux de données (data mapping) et iden­ti­fier les lacunes (gap analy­sis)

Une approche struc­tu­rée de la protec­tion des données néces­site une connais­sance précise des infor­ma­tions qui sont trai­tées par l’en­tre­prise – de ce qu’elle en fait et à qui elle y donne accès – pour l’en­semble du cycle de vie de la donnée (de sa collecte à sa destruc­tion ou son anony­mi­sa­tion). Pour ce faire, la première étape consiste à dres­ser un inven­taire de tous les services et supports de données – qu’ils soient physiques (ordi­na­teurs, flash drives, smart­phones, photo­co­pieuses et autres équi­pe­ments) ou virtuels (logi­ciels, services web et autres solu­tions) – qui traitent des données person­nelles de l’en­tre­prise. Les sous-trai­tants ayant accès à des données de l’en­tre­prise doivent égale­ment être iden­ti­fiés. Lors de la consti­tu­tion de cet inven­taire, une approche dyna­mique devra être privi­lé­giée, dans la mesure où ce docu­ment sera amené à être régu­liè­re­ment mis à jour au sein de l’entreprise et il s’agira donc d’adopter un format flexible et inté­grant éven­tuel­le­ment les outils néces­saires à une mise à jour facilitée.

Une fois cette étape ache­vée, les flux de données, ainsi que les acti­vi­tés de trai­te­ment (ce qui en est fait et pour­quoi), doivent être analy­sés (data mapping), au regard des exigences posées par les lois appli­cables et autres réfé­ren­tiels. A ce sujet, il convient de rele­ver qu’il ne s’agira pas unique­ment ici d’identifier les flux de données mais bien de comprendre les projets commer­ciaux dans lesquels ces flux s’insèrent, et les objec­tifs visés par ces projets. Ceci effec­tué, la dernière étape consiste à dres­ser la liste des lacunes consta­tées par rapport aux réfé­ren­tiels sélec­tion­nés (gap analy­sis) et à prio­ri­ser les mesures à entre­prendre pour les résoudre, compte tenu des objec­tifs défi­nis dans le cadre de l’étape 1 (action plan).

  1. Implémenter le programme

L’étape 4 consiste à implé­men­ter les mesures défi­nies, qui peuvent notam­ment porter sur la correc­tion de certaines acti­vi­tés (cesser/​modifier un trai­te­ment, sécu­ri­ser certains outils), la révi­sion ou la conclu­sion de nouveaux contrats et la rédac­tion de poli­tiques et direc­tives internes. Les mesures d’im­plé­men­ta­tion doivent s’étendre à la gestion des sous-trai­tants, en s’as­su­rant qu’ils traitent les données en confor­mité avec le cadre légal appli­cable et les contrats conclus.

Les lois sur la protec­tion des données imposent souvent une réac­tion rapide à certains évène­ments, avec poten­tiel­le­ment des consé­quences impor­tantes, tant répu­ta­tion­nelles que finan­cières. Il en va ainsi des demandes de droit d’ac­cès, qui doivent être iden­ti­fiées et trai­tées dans des délais courts, ainsi qu’en matière de sécu­rité. Sur ce dernier aspect, l’en­tre­prise doit non seule­ment limi­ter les risques de viola­tions de la protec­tion des données, mais égale­ment se prépa­rer à devoir résoudre et noti­fier l’in­ci­dent le plus rapi­de­ment possible. Pour se prépa­rer au mieux, il est donc conseillé de conce­voir à l’avance un Incident Response Plan.

  1. Assurer le suivi

Un bon DPMP doit être connu des personnes impli­quées et conti­nuel­le­ment mis à jour. Des forma­tions internes doivent donc être mises sur place pour s’as­su­rer que chaque employé est conscient de ses obli­ga­tions en matière de protec­tion des données. Le programme doit égale­ment être régu­liè­re­ment audité et mis à jour, en fonc­tion notam­ment de déve­lop­pe­ments externes (p. ex. réformes légis­la­tives) ou internes (p. ex. un nouveau produit ou nouveau marché).

Enfin, comme indi­qué dans l’étape 1, un programme n’est jamais exhaus­tif dès le début. Les objec­tifs et prio­ri­tés initia­le­ment fixés doivent donc être pério­di­que­ment revus et améliorés.



Proposition de citation : Juliette Ancelle / Alexandre Jotterand, Conseils pratiques pour la mise en place d’un programme de gestion de la protection des données, 30 octobre 2020 in www.swissprivacy.law/21


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • L’établissement d’un plan de réponse en cas de faille de sécurité
  • Protection des données et intelligence artificielle : une gouvernance indispensable
  • Une annonce (très) rapide d’une fuite de données ou une amende salée
  • L’impact des travaux de Daniel J. Solove sur l’appréhension de la privacy
Derniers articles
  • Collectes de données personnelles par des étudiants dans le cadre de travaux académiques : qui est responsable du traitement ?
  • La LPD refoulée en clinique : des sanctions pénales plus théoriques que pratiques
  • La protection des personnes physiques à l’égard du traitement des données à caractère personnel en vertu de l’art. 58 par. 2 RGPD
  • 2e révision des ordonnances de la LSCPT : vers une surveillance de tout un chacun toujours plus intrusive pour l’internet suisse
Abonnement à notre newsletter
swissprivacy.law