Le RGPD (règlement européen sur la protection des données) impose dans son article 35 de réaliser un AIPD (ou Data Protection Impact Assessment) lorsqu’un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Cet article donne des conseils pour mettre en œuvre cette activité d’une manière la plus pragmatique possible. Les référentiels et bonnes pratiques sont issus de plusieurs sources : ISO 29134 (guidance for privacy impact assessement), CNIL et les lignes directrices du WP29 (remplacé depuis l’entrée en application du règlement par le comité européen de la protection des données).

La CIPP/E (Certification Information Privacy Professional / Europe) est une certification européenne proposé par l’IAPP. Cette certification permet de valider que les connaissances élémentaires du droit européen sur la protection des données à caractère personnel sont acquises et que le corpus légal et réglementaire est maitrisé. Les autres certifications proposées par l’IAPP se concentrent sur d’autres zones internationales (Asie, Canada, Etats-Unis). Cette certification est souvent requise pour les fonctions de DPO (Data Protection Officer) ou CPO (Chief Privacy Officer). Les autres certifications de l’IAPP sont orientées technologie (CIPT) et sur la mise en œuvre d’un programme de protection des données personnelles (CIPM). PROSICA, organisme de formation référencé Datadock et Qualiopi planifie régulièrement des sessions de formation de deux jours (modes présentiel et distanciel) pour se préparer au CIPP/E. 

La gestion de la documentation en matière de protection des données personnelles est ardue, en particulier pour les multinationales soumises à des lois et des besoins métiers différents. Cet article propose une synthèse des fondamentaux à appliquer. Ces éléments sont détaillés dans nos formations préparant à la certification européenne CIPP/E de l'IAPP et à la certification DPO France mise en place par la CNIL. 

Le DPO (Data Protection Officer ou délégué à la protection des données) est le pilote du programme de mise en conformité GDPR (General Data Protection Regulation) ou RGPD (règlement général de protection des données). Le DPO n’est pas personnellement responsable en cas de non-conformité. C’est le responsable de traitement (data controller) et le(s) sous-traitant(s) (data processor) qui doivent respecter leurs obligations légales respectives. Néanmoins, en tant que pilote, le DPO a naturellement un rôle majeur à jouer : 

  • Comment s’assure-t-il du niveau de conformité ?
  • Avec quelle check-list ?
  • Par quoi commencer ?

Le règlement européen sur la protection des données personnelles (GDPR en anglais) prévoit des obligations et des sanctions pour renforcer le contrôle des citoyens sur leurs données. Un travail de fond, plus ou moins important en fonction du niveau de maturité, est nécessaire pour se mettre en conformité avec ce règlement. Une approche pragmatique consiste à s’appuyer sur un Système de Management de la Sécurité de l’Information (SMSI) ISO 27001 sur le périmètre « traitement de données à caractère personnel ».

La législation sur l’hébergement des données de santé a récemment évolué. L’agrément a été remplacé par la certification HDS par le décret n° 2018-137 du 26 février 2018 qui pose les fondements de la nouvelle procédure. Cette certification est obtenue auprès d’un organisme accrédité par le COFRAC (ou équivalent européen). Après un processus d’audit documentaire et sur site, la certification est délivrée pour 3 ans, avec une surveillance annuelle. Des certificats sont délivrés pour deux métiers d’hébergement distincts :

  • Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et infrastructure matérielle.
  • Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

Les Clauses Contractuelles Types (CCT) ou Standard Contractual Clauses (SCC) sont un des mécanismes juridiques de transferts internationaux de données à caractère personnel en dehors de l’espace économique européen. Elles font partie des connaissances à maitriser pour réussir la certification CIPPE/E de l’IAPP. L’entrée en vigueur des nouvelles clauses de la Commission Européenne a été fixée à septembre 2021. Les importateurs et les exportateurs de données peuvent continuer à invoquer les anciennes CCT jusqu’au 27 décembre 2022. Les CCT intègrent la jurisprudence de la Cour de Justice de l’Union Européenne de l’affaire « Schrems II » qui a par ailleurs abouti à l’invalidation d’un autre mécanisme de transfert, le « Privacy Shield ».

La certification HDS qui a remplacé la procédure d’agrément est obligatoire en France. Son contenu est détaillé dans un précédent article. La mise en conformité peut faire peur au premier abord car son périmètre couvre plusieurs normes et bonnes pratiques en termes de sécurité, de gestion des services informatiques et de protection des données à caractère personnel. Cet article propose quelques conseils pour aborder sereinement un projet de certification.

Le DLP (Data Loss Prevention ou Data Leakage Prevention) n’est pas nouveau en cybersécurité. Mise en œuvre en milieu bancaire depuis longtemps, cette protection s’est généralisée ces dernières années à d’autres secteurs en particulier du fait du développement des services Cloud. L’idée est de détecter et de prévenir les fuites de données sensibles. A l’origine de ces fuites, des erreurs humaines (par exemple l’envoi d’une pièce jointe non chiffrée ou le stockage dans le Cloud public de fichiers accessibles par tous) mais aussi des malveillances internes (par exemple un employé qui quitte sa société et copie sur une clé USB des fichiers clients). Le DLP est au programme du CISSP et du CCSP. Ces projets transverses nécessitent des outils efficaces et une organisation solide. Le DLP est cité dans les mesures de cybersécurité de la  catégorie 3 du référentiel CIS.

Les techniques de pseudonymisation sont massivement utilisées pour des raisons légales et de cybersécurité. Elles sont au programme des certifications CIPP/E, CCSK et CCSP. On en parle également durant la formation de préparation au CISSP.

Retrouvez notre vidéo de présentation.

La CIPP/E™ (Certification Information Privacy Professional / Europe) est une certification européenne proposé par l’IAPP. Cette certification atteste que les connaissances élémentaires du droit européen sur la protection des données à caractère personnel sont acquises et que le corpus légal et réglementaire est maitrisé. L’ouvrage « Determann’s Guide to Data Privacy Law, International Corporate Compliance » proposé par Lothar Determann constitue une excellente synthèse en matière de « Data Privacy Law ». C’est un bon point de départ pour bâtir la feuille de route du DPO. Ce livre, en anglais est une bonne préparation pour les examens de certification, aussi bien CIPP/E que CIPM. Les nouveautés du programme de l'examen du CIPP/E sont disponibles ici.

L’IAPP est un organisme international qui propose des certifications individuelles dans le domaine de la protection des données personnelles. La certification CIPP/E valide que les connaissances élémentaires sur la protection des données à caractère personnel sont acquises et que le corpus légal et réglementaire européen est maitrisé. Le programme de la certification est complet et l’examen demande un travail individuel soutenu. Comme toute certification individuelle, les thèmes abordés à l’examen sont régulièrement mis à jour. La version de l’examen en vigueur à partir du 1er juillet 2021 développe et précise de nouveaux thèmes comme les évaluations liées aux transferts de données ou « Transfert Impact Assessment » (TIA),aux actions collectives ou Class Actionset à l’intelligence artificielle ou Artificial Intelligence (AI).

La norme ISO 27701 définit un cadre normatif pour la protection des données à caractère personnel. Elle apporte des compléments aux normes ISO 27001, pour les exigences et ISO 27002, pour les lignes directrices. Par ailleurs, la relation est faite en annexe avec d’autres référentiels normatifs ou légaux : ISO 29100 et ISO 29151, règlement général sur la protection des données (RGPD), ISO 27018 (voir premièreet deuxièmepartie)