Politique & Collectivités

Comment assurer et démontrer sa conformité avec le RGPD?

Julien Brun / Publié le 21:01 08.01.2023 | 08 min


Bien que mis en place en 2018, il est encore difficile d’évaluer le niveau de conformité des organisations au Règlement Général pour la Protection des Données. En revanche, “nous constatons chez les personnes physiques un haut niveau de sensibilité sur la protection de leur vie privée, ce qui pousse les entreprises à être de plus en plus transparentes en matière de traitement de données à caractère personnel”. Interview croisée de Lionel Gendarme, Associé Business Advisory et Shariq Arif, Directeur Business Advisory chez Grant Thornton Luxembourg.

Comment pourrait-on présenter Grant Thornton ?

LG: Grant Thornton est un des plus grands réseaux internationaux actifs dans la fiscalité, l’audit et le conseil. Au Luxembourg, Grant Thornton compte quelque 300 collaborateurs dont 40 dans l’Advisory. Nos lignes de service couvrent entre autres le conseil sur la protection des données, la gouvernance et la conformité dans le secteur financier, la sécurité de l’information (y compris la cybersécurité), la gestion de projet, les volets ESG, RSE et durabilité, et le conseil stratégique. Nous sommes depuis toujours actifs dans le secteur financier, et depuis quelques années nous le sommes également chez les institutions financières de l’UE au Luxembourg et à Francfort.

Pouvez-vous nous rappeler en quelques mots ce qu'est le Règlement Général pour la Protection des Données?

SA: Le Règlement Général pour la Protection des Données (RGPD) est un ensemble de règles qui visent à mieux protéger l’utilisation des données personnelles des personnes physiques. Il concerne une grande majorité des organisations, qu’elles soient privées ou publiques, amenées à les collecter ou à les utiliser. Et dans la mesure où la technologie avance à un rythme plus élevé que les cadres juridiques, le RGPD a été pensé comme une base sur laquelle les organisations peuvent, de manière uniforme au sein de l’Union européenne, revoir leurs processus de traitement et de conservation. Le RGPD est un règlement européen qui donne aux autorités nationales de protection des données le pouvoir d’attribuer aux organisations qui ne respectent pas les règles, des amendes administratives dont le plafond peut atteindre 20.000.000€ et 4% du chiffre d'affaires mondial.

“Le RGPD renforce les droits des personnes physiques sur les données personnelles les concernant et de facto, renforce les obligations des organisations qui les détiennent.”

Lionel Gendarme

D’après votre expérience, quels sont les impacts de ce règlement sur vos clients et comment le gèrent-ils ?

LG: Cette réglementation renforce les droits des personnes physiques sur les données personnelles les concernant et de facto, renforce les obligations des organisations qui les détiennent. Pour une entreprise, le RGPD a des implications en termes de gouvernance (ex: avoir un Délégué à la Protection des Données (DPO), une politique de protection des données approuvée par la direction), en termes opérationnel (ex: tenir des registres d’activité de traitement des données personnelles, avoir des processus concernant les demandes des personnes souhaitant en savoir davantage sur leurs données), en termes de sécurité de l'information (ex: obligation de protéger les données personnelles des fuites internes ou d’attaques externes), etc. Bien que les principes soient clairs, la mise en place de ces éléments est relativement complexe et nécessite une certaine méthodologie et un savoir-faire.

SA: Depuis sa mise en application, nous assistons à une exigence croissante de la part des entreprises qui ont compris l’importance de se conformer au RGPD. Certains secteurs sont bien évidemment plus impactés que d’autres et je pense tout particulièrement aux secteurs public et de la santé auxquels les personnes physiques et les patients doivent pouvoir confier leurs données personnelles sensibles en toute confiance. Les exigences en matière de sécurité des données personnelles y sont plus élevées que pour d’autres secteurs. D’une manière générale, nous constatons que plus une organisation possède de données à protéger, plus elle souhaite renforcer et améliorer sa politique interne. Nos missions de conseil sont ainsi devenues plus complexes, car les exigences des clients sont de plus en plus élevées.

Et quand est-il de la sécurité des données? Entreprises privées, hôpitaux, mairies; l’actualité est régulièrement marquée par des fuites de données, dues à de la malveillance ou à des actions de piratage informatique.

SA: Dans une économie digitale telle que la nôtre, la sécurité des données est tributaire des avancées technologiques, mais aussi de l'organisation. Il existe déjà plusieurs normes bien établies dans le monde de la sécurité informatique comme par exemple l’ISO 27001. Néanmoins, il faut aussi établir une gouvernance adéquate qui prenne en compte les spécificités des données personnelles et leur cadre légal. Nous suggérons que le DPO œuvre en étroite collaboration avec la personne chargée de la sécurité de l'information afin de s'assurer que toute situation où la confidentialité, l'intégrité ou la disponibilité des données personnelles est compromise soit rapidement traitée. Si une entreprise n’a pas les moyens de nommer un DPO, elle peut se faire accompagner par un cabinet externe de conseil comme le nôtre.

Si nous nous plaçons maintenant de l'autre côté du miroir, comment être sûr qu'une société qui traite nos données personnelles, le fait conformément aux obligations du RGPD?

LG: Bonne question ! Toute personne physique qui consulte le site Web d’une entreprise peut normalement y trouver un “privacy statement” dans lequel elle trouvera des déclarations sur l’utilisation que l’entreprise fera de ses données personnelles. En pratique cependant, il est difficile d’avoir la garantie sur l’utilisation effective qui en sera faite. C’est pourquoi au Luxembourg, la Commission Nationale pour la Protection des Données a récemment mis en place un cadre de certification (GDPR-CARPA - "GDPR Certified Assurance Report-Based Processing Activities") par lequel elle approuve des organismes agréés qui peuvent ensuite, à la demande de certaines entreprises ou administrations, auditer et certifier les traitements de données personnelles que ces entités effectuent.

Il faut savoir que la certification GDPR-CARPA est basée sur une norme d'audit et d'assurance internationalement reconnue, connue sous le nom d'ISAE 3000, qui teste l'efficacité opérationnelle des contrôles. La certification doit être réalisée par un réviseur d'entreprises. Elle donne ainsi l’assurance que les activités de traitement des données à caractère personnel soumises à cette évaluation sont menées selon des normes de qualité très élevées.

SA: Le GDPR-CARPA est donc une avancée importante pour assurer la transparence et la sécurité des données à caractère personnel. La CNPD en a annoncé le lancement officiel lors d'un événement qui s'est tenu en juin 2022 où Grant Thornton a participé en tant que candidat à l’agrément. C’est le premier mécanisme de certification au titre du RGPD adopté au niveau national ou international.

Le GDPR-CARPA permet aux entreprises, autorités publiques, et autres organisations établies au Luxembourg de démontrer leur conformité au GDPR pour des traitements de données spécifiques.

Quels types d’organisations peuvent faire certifier leurs traitements de données à caractère personnel ; et pourquoi?

LG: En théorie, presque toute organisation, privée ou publique, traitant des données à caractère personnel dans le cadre de son activité établie au Luxembourg. Mais rappelons que la certification n’est pas obligatoire, c’est une démarche volontaire qui vise à renforcer ou établir la confiance entre les personnes physiques et les organisations qui traitent leurs données personnelles. Nous pensons entre autres aux acteurs de la santé, de la banque de détail, des paiements en ligne, de l’éducation, des acteurs sociaux et de tous ceux qui traitent de données dites sensibles, et ce, indépendamment du secteur d’activité. En cas d'audit réalisé par la CNPD, l'existence de la certification (avec ses audits réguliers par des tiers) permettra de démontrer les efforts d'une organisation pour se conformer aux exigences du GDPR, et potentiellement diminuer le degré d'examen. Pour un sous-traitant, se faire certifier permet également de démontrer la présence de garanties suffisantes en matière de protection de données.

“Le RGPD oblige à une bonne gouvernance qui s’étend jusqu’aux fournisseurs et sous-traitants.”

Lionel Gendarme

En quoi la certification peut avoir un impact structurant sur l’environnement d’une entreprise?

LG: Prenons le cas d’une plateforme informatique d’une organisation publique qui concentre beaucoup de données personnelles. Dans le cadre de ses activités, l’organisation publique permet à l’un de ses fournisseurs d’y avoir accès, tout comme l’entreprise qui l’a développée et celle qui l’héberge. Le RGPD oblige à une bonne gouvernance qui s’étend jusqu’aux fournisseurs et sous-traitants. Dans le cadre d’une certification CARPA, il ne s’agira donc pas pour l’organisme certificateur de contrôler uniquement la plateforme et l’organisation publique qui en a la charge, il faudra aussi vérifier si le cadre contractuel gérant les interactions de tous ces acteurs est solide et décrit bien leurs rôles et responsabilités dans le traitement des données personnelles qui sont recueillies sur la plateforme informatique.

Comment pouvez-vous aider les sociétés?

SA: Grant Thornton Advisory œuvre, en tant que conseiller, à mettre en place les structures nécessaires à la conformité au RGPD et Grant Thornton Audit & Assurance en tant que Réviseur d’entreprises et qualité d’organisme certificateur, pourra auditer des organisations en vue d’une certification CARPA. Bien évidemment, afin d’éviter tout conflit d’intérêt, notre rôle de conseil est totalement indépendant de celui d’auditeur.

RGPD