Le diagnostic des données, des traitements et de la sécurité dans le cadre du projet GDPR
Avec l’arrivée du règlement européen GDPR, la collecte et le traitement des données destinées à la Relation Clients, au CRM ou au Centre de Contacts vont devoir être adaptés. Le diagnostic des données est une étape clé du projet GDPR. Avant toute démarche de mise en conformité, l’entreprise doit faire un état des lieux sur ses pratiques actuelles en matière de collecte, de traitement et de sécurisation des données à caractère personnel (DCP). L’objectif du diagnostic est de mesurer l’impact du GDPR sur l’organisation, d’identifier les zones à risque et de définir les chantiers prioritaires de mise en conformité.
Le diagnostic GDPR est multi-dimensionnel : il doit porter sur les dispositifs de collecte (et de recueil des consentements), sur les bases et flux de données, sur l’utilisation des données et leur modalité de traitement. Un diagnostic IT doit également être enclenché. Chaque état des lieux est un chantier spécifique. Nous vous proposons un passage en revue détaillé de chacun de ces diagnostics.
Consultant Data, CustUp exploite les données clients mises en conformité avec le règlement GDPR. A ce titre, nous incitions les entreprises à réaliser un diagnostic des données en vue de la mise en conformité au GDPR. Nous décrivons ici les 5 diagnostics requis.
Diagnostic des dispositifs de collecte des Données à Caractère Personnel (DCP)
Ce premier diagnostic vise à acquérir une compréhension précise des modes de collecte de Données à Caractère Personnel (DCP) utilisés par l’entreprise ainsi que des données collectées (dans toutes les dimensions : commerciales, marketing, comptables, juridiques, techniques, RH…). Pour chaque source de collecte (sites web et formulaires en ligne, téléphone, applications mobile, physique, fiches de renseignements type fournisseurs, salariés…), l’organisation doit faire un état des lieux du type de données collectées, des modes de collecte et de recueil des consentements.
Le règlement GDPR est très exigeant concernant les modes de recueil des consentements. Rappelons les principales exigences posées par le règlement européen :
- Le consentement doit être clair et positif, c’est-à-dire donné activement. Les cases pré-cochées, par exemple, ne sont pas admises. En cas de contrôle, l’entreprise devra être en mesure de prouver le consentement.
- Le consentement doit être accordé librement et pouvoir être retiré facilement.
- L’entreprise doit expliquer à ses clients/prospects (et autres contacts) ce à quoi ils consentent, ce pour quoi elle collecte leurs données (finalité de la collecte) et informer les contacts sur leurs droits (en particulier le droit de retirer le consentement à tout moment).
- Si les données sont collectées à des fins de profilage, les personnes doivent en être informées.
- La durée d’utilisation et de conservation des données doit être précisée. Cette durée varie suivant le type de données.
De fait, une partie importante du diagnostic de la collecte porte sur l’analyse des modes de recueil des consentements. C’est l’un des points les plus sensibles du GDPR, sur lequel les organisations doivent se montrer particulièrement vigilantes. Les règles étant différentes suivant que la collecte porte sur des contacts B2B ou des clients B2C, les deux cas doivent être traités séparément. Les CGV, CGU et Mentions légales doivent faire l’objet d’une attention méticuleuse : pour beaucoup d’entreprises, ces supports devront être amendés dans l’optique de la mise en conformité avec le GDPR. Rédigés dans un langage clair et compréhensible, ils doivent informer sur la politique de confidentialité de l’entreprise et les droits des personnes.
Le diagnostic sur la collecte permet de mettre en regard les DCP, les modes de collecte et de recueil des consentements actuellement utilisés avec les règles imposées par le GDPR. Il doit donner lieu à une analyse des écarts de conformité.
Au terme du diagnostic de la collecte, l’entreprise dispose d’une compréhension précise des dispositifs actuels de collecte (sources, données collectées par source, méthodes de recueil des consentements). Le diagnostic de la collecte, comme d’ailleurs tous les autres diagnostics GDPR, permet d’identifier les zones de risque par rapport à la réglementation. L’identification des risques servira par la suite, lorsqu’il sera question de prioriser les chantiers de la mise en conformité. L’approche par les risques est l’une des clés de réussite du projet GDPR.
Quid des données historiques ?
La mise en conformité des modes de recueil des consentements s’applique-t-elle uniquement aux DCP qui seront collectées après la mise en conformité ou bien aussi aux DCP historiques collectées avant le déclenchement du projet GDPR ? Cette question importante n’a pas encore été tranchée par le législateur. Des discussions sont en cours sur le sujet.
Très concrètement, si le GDPR s’applique aux DCP historiques et que ces dernières n’ont pas été collectées avec consentement explicite, des demandes de consentements devront être envoyées à toutes les personnes concernées. Tout l’historique devra être mis en conformité.
Raison de plus pour réaliser un diagnostic efficace de la collecte. Un état des lieux exhaustif vous permettra d’appliquer les recommandations en temps et en heure lorsqu’elles seront décidées.
Diagnostic des bases et des flux de données
Où y a-t-il des données à caractère personnel dans l’entreprise ? La question peut sembler triviale en apparence. Pourtant, y répondre est un véritable casse-tête pour bon nombre d’entreprises. La multiplication des sources de données, la complexification du paysage applicatif et le cloisonnement des services rendent difficile le traçage de la donnée. L’éparpillement des données au sein des différents services (marketing, financier, service clients, juridique, RH, etc.) demeure la règle. Nous le constatons tous les jours dans nos activités de conseil en Données et CRM.
Un diagnostic des bases et des flux de données doit être mis en œuvre pour recenser l’ensemble des DCP stockées et utilisées (ou non…) par l’entreprise. Il y a en réalité trois questions à traiter en même temps :
- Quelles sont les données personnelles (structurées ET non structurées) dont disposent l’entreprise ?
- Où sont-elles localisées ? Où sont-elles stockées ?
- Comment circulent-elles ?
Pour y répondre, l’organisation doit procéder à :
- La cartographie des données stockées dans les différentes bases. Une cartographie doit être produite pour chaque base.
- La cartographie des flux. Il y a deux catégories de flux à analyser. D’une part les flux de transfert internes qui ont lieu entre les lieux de stockage de l’organisation. D’autre part, les flux externes entrants (sources ==> bases de données) et sortants (bases de données ==> prestataires).
Le diagnostic du référentiel client unique ou RCU
Le diagnostic doit porter sur les données du référentiel client unique (RCU), si l’organisation en possède un. Si l’entreprise ne dispose pas d’un RCU, le projet GDPR peut être l’occasion d’envisager sa mise en place. Le RCU permet de centraliser, d’agréger et de consolider toutes les données clients/prospects sur une seule interface. Solution à l’éparpillement des données, le RCU est gage de visibilité et donc de contrôle sur les données stockées et utilisées en interne.
L’incapacité de disposer d’une vue unifiée sur ses clients représente un vrai problème dans le cadre de la conformité au GDPR. Comment garantir à un client son droit à la portabilité des données si celles-ci sont éparpillées dans les systèmes d’information ? Même chose pour les consentements. Si un client retire son consentement et que ce retrait n’est pas pris en compte de manière centrale, il y a un risque élevé que l’entreprise re-sollicite le client.
Diagnostic de l'utilisation des données personnelles
Le diagnostic de la collecte permettait de répondre à la question : « Comment les Données à Caractère Personnel (DCP) de l’entreprise sont collectées ? ». Dans le deuxième diagnostic, on analyse les données stockées, leur localisation et leur circulation à l’intérieur et à l’extérieur de l’organisation. Un troisième diagnostic doit être effectué. Il s’agit cette fois-ci de répondre à cette question : « A quoi servent les données personnelles collectées et stockées par l’entreprise ? ». Dit autrement : « Quelle est la finalité de la collecte et des traitements ? ». C’est la question du pourquoi.
Ce troisième diagnostic permet d’alimenter le registre des traitements. Le GDPR oblige en effet les responsables des traitements (mais aussi les sous-traitants) à tenir et à maintenir à jour un registre répertoriant tous les traitements sur les DCP. A noter que la CNIL propose un modèle de registre.
Le diagnostic sur l’utilisation des DCP doit permettre de rattacher à chaque type de DCP les informations suivantes :
- Un rappel des DCP collectées, des modes de collecte et de recueil de consentements.
- Un descriptif, en indiquant la ou les finalités internes / externes de la collecte (la gestion des recrutements, la gestion de la relation clients, l’envoi de newsletter…).
- Des indications sur le lieu de stockage (quelle base, quel outil ?) et la durée de conservation.
- Un listing des données inutiles ou trop anciennes pour être utilisables (en vue de la mise en application du principe de « minimisation des données »).
Ce diagnostic, et le suivant, seront l’occasion de mettre en place les règles et procédures de documentation.
Diagnostic des traitements des données personnelles
Ce diagnostic est inséparable du précédent. Les deux doivent être menés en même temps. Si le diagnostic sur l’utilisation des DCP permettait de répondre à la question du « pourquoi », le diagnostic sur les traitements vise à répondre à la question du « comment ». Comment les données personnelles sont-elles traitées par l’entreprise ? Ce quatrième diagnostic aboutit à la production d’un mapping des traitements.
Il s’agit, dans ce diagnostic, d’analyser les règles et consignes en place pour le traitement des données : règles d’archivage / désarchivage, règles de traitement des changements de coordonnées, etc. Cette analyse permet ensuite de comparer les écarts avec les exigences du GDPR, d’identifier les règles et procédures manquantes ou à documenter.
Pour chaque type de DCP, l’entreprise doit :
- Identifier les traitements opérés et vérifier leur licéité. L’entreprise doit indiquer les DCP faisant l’objet de transferts hors UE et préciser si des données sensibles sont en jeu.
- Indiquer les méthodes de documentation actuellement en place.
- Identifier le responsable des traitements, les opérateurs des traitements et les acteurs avec lesquels les données sont partagées (en particulier les sous-traitants, dans l’optique probable d’une révision des clauses de confidentialité).
- Indiquer les outils utilisés pour le traitement.
- Fournir un descriptif des accès et des règles d’accès.
Le diagnostic des traitements alimente la construction du registre des activités de traitements.
Diagnostic IT / Sécurité informatique
Le diagnostic IT est le cinquième et dernier diagnostic à opérer dans le cadre d’un projet GDPR. Ce diagnostic technique porte sur la sécurité et les process informatiques. Le diagnostic IT comprend en particulier :
- Une analyse des risques technologiques associés au traitement des DCP et non couverts par l’organisation.
- Une analyse des écarts entre les pratiques actuelles et les pratiques exigées par le GDPR en matière de Privacy By Design et de Privacy By Default.
- Des audits de sécurité sur les bases, les programmes et applications, les flux, les réseaux, les installations informatiques…
- Une analyse des règles de cryptage et de pseudonymisation des données.
- Des tests d’intrusion afin de détecter les failles et les risques associés.
- Un passage en revue détaillé des procédures utilisées en cas de violation. Dans le cadre de la mise en conformité GDPR, ces procédures doivent être précises, détaillées et opérationnelles.
Le diagnostic IT, un diagnostic transverse
Le diagnostic IT, qui se déroule en parallèle des quatre autres diagnostics, est un passage obligé dans l’optique du projet GDPR.
Les consultants CustUp mettent l’accent sur deux points à traiter en priorité :
- L’analyse des mesures de cryptage et d’anonymisation des données au niveau des bases et des flux. Le diagnostic IT est d’abord et avant tout un diagnostic de sécurité.
- L’analyse de la traçabilité du parcours de traitement des données collectées et des mesures d’archivage / désarchivage.
Nous incitons nos clients à effectuer le diagnostic IT comme une partie intégrante de la mise en conformité GDPR. Il faut faire réaliser un audit complet des pratiques en vigueur, effectuer les tests de vulnérabilité et analyser l’environnement SI dans sa globalité en lien avec le GDPR.
Prêts pour un diagnostic ? Echangeons !Le diagnostic des données, de leurs traitements et des mesures de sécurité est une étape obligée du projet GDPR. Il permet d’identifier les éléments de non-conformité et les zones de risque. Il prépare l’étape d’après : la sélection des chantiers prioritaires et la construction de la feuille de route.