Le RGPD (règlement européen sur la protection des données) impose dans son article 35 de réaliser un AIPD (ou Data Protection Impact Assessment) lorsqu’un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Cet article donne des conseils pour mettre en œuvre cette activité d’une manière la plus pragmatique possible. Les référentiels et bonnes pratiques sont issus de plusieurs sources : ISO 29134 (guidance for privacy impact assessement), CNIL et les lignes directrices du WP29 (remplacé depuis l’entrée en application du règlement par le comité européen de la protection des données).
La CIPP/E™ (Certification Information Privacy Professional / Europe) est une certification européenne proposé par l’IAPP. Cette certification permet de valider que les connaissances élémentaires du droit européen sur la protection des données à caractère personnel sont acquises et que le corpus légal et réglementaire est maitrisé. Les autres certifications proposées par l’IAPP se concentrent sur d’autres zones internationales (Asie, Canada, Etats-Unis). Cette certification est souvent requise pour les fonctions de DPO (Data Protection Officer) ou CPO (Chief Privacy Officer). Les autres certifications de l’IAPP sont orientées technologie (CIPT) et sur la mise en œuvre d’un programme de protection des données personnelles (CIPM). PROSICA, organisme de formation référencé Datadock et Qualiopi planifie régulièrement des sessions de formation de deux jours (modes présentiel et distanciel) pour se préparer au CIPP/E.
La gestion de la documentation en matière de protection des données personnelles est ardue, en particulier pour les multinationales soumises à des lois et des besoins métiers différents. Cet article propose une synthèse des fondamentaux à appliquer. Ces éléments sont détaillés dans nos formations préparant à la certification européenne CIPP/E de l'IAPP et à la certification DPO France mise en place par la CNIL.
Le DPO (Data Protection Officer ou délégué à la protection des données) est le pilote du programme de mise en conformité GDPR (General Data Protection Regulation) ou RGPD (règlement général de protection des données). Le DPO n’est pas personnellement responsable en cas de non-conformité. C’est le responsable de traitement (data controller) et le(s) sous-traitant(s) (data processor) qui doivent respecter leurs obligations légales respectives. Néanmoins, en tant que pilote, le DPO a naturellement un rôle majeur à jouer :
- Comment s’assure-t-il du niveau de conformité ?
- Avec quelle check-list ?
- Par quoi commencer ?
Le standard ISO 27018 fournit des bonnes pratiques pour la protection des données à caractère personnel hébergées par les services de Cloud publics. Il complète les clauses de l’ISO 27002 utilisées dans le cadre de la certification des systèmes de management de la sécurité de l’information (SMSI) ISO 27001. Reconnues et appliquées par tous les grands fournisseurs Cloud, notamment américains ces bonnes pratiques sont particulièrement importantes en France car elles sont intégrées à des exigences légales nationales. La plus connue est la certification des hébergeurs de données de santé (HDS) qui impose explicitement la conformité à des clauses de l’ISO 27018. Ces bonnes pratiques sont aussi très intéressantes pour les DPO (Data Protection Officer) pour formaliser les mesures de sécurité entre le responsable de traitement (Data Controller) et ses sous-traitants Cloud (Data Processor) en application du Règlement Général sur la Protection des Données (RGPD).
Le standard ISO 27018 fournit des bonnes pratiques pour la protection des données à caractère personnel hébergées par les services de Cloud publics. Il complète les clauses de l’ISO 27002 utilisées dans le cadre de la certification des systèmes de management de la sécurité de l’information (SMSI) ISO 27001. Reconnues et appliquées par tous les grands fournisseurs Cloud, notamment américains ces bonnes pratiques sont particulièrement importantes en France car elles sont intégrées à des exigences légales nationales. La plus connue est la certification des hébergeurs de données de santé (HDS) qui impose explicitement la conformité à des clauses de l’ISO 27018. Ces bonnes pratiques sont aussi très intéressantes pour les DPO (Data Protection Officer) pour formaliser les mesures de sécurité entre le responsable de traitement (Data Controller) et ses sous-traitants Cloud (Data Processor) en application du Règlement Général sur la Protection des Données (RGPD).
Voir la première partie pour le mode d’emploi du standard et l’adaptation des clauses existantes.
La certification HDS qui a remplacé la procédure d’agrément est obligatoire en France. Son contenu est détaillé dans un précédent article. La mise en conformité peut faire peur au premier abord car son périmètre couvre plusieurs normes et bonnes pratiques en termes de sécurité, de gestion des services informatiques et de protection des données à caractère personnel. Cet article propose quelques conseils pour aborder sereinement un projet de certification.
La CIPP/E™ (Certification Information Privacy Professional / Europe) est une certification européenne proposé par l’IAPP. Cette certification atteste que les connaissances élémentaires du droit européen sur la protection des données à caractère personnel sont acquises et que le corpus légal et réglementaire est maitrisé. L’ouvrage « Determann’s Guide to Data Privacy Law, International Corporate Compliance » proposé par Lothar Determann constitue une excellente synthèse en matière de « Data Privacy Law ». C’est un bon point de départ pour bâtir la feuille de route du DPO. Ce livre, en anglais est une bonne préparation pour les examens de certification, aussi bien CIPP/E que CIPM. Les nouveautés du programme de l'examen du CIPP/E sont disponibles ici.
Le NIST américain publie un référentiel pour améliorer la gestion des risques liés au traitement de données personnelles. Le document suit la même trame que le NIST CSF, centré sur la cyber sécurité et qui rencontre beaucoup de succès, y compris en Europe. C’est un cadre flexible et très utile pour définir et mettre en œuvre d’une manière très pragmatique un programme « Data Privacy » orienté risques, adapté à ses exigences légales et à ses métiers. Il complète ainsi parfaitement d’autres cadres organisationnels comme l’ISO 27701. Le DPO européen peut s’en inspirer pour étayer son traitement des risques dans le cadre de sa check-list de conformité au Règlement Général sur la Protection des données.
