[data] RGPD-GDPR —> certification et code de conduite (Règlement UE 2016/679 « données personnelles »)

[mis à jour le 8 juillet 2017] C’est certainement le thème le moins sexy de tous ceux portant sur la GDPR. Certainement l’un des plus importants aussi. Car devant la complexité de cette législation nouvelle, applicable au 25 mai 2018 (je vous le rappelle…), soit les Autorités de contrôle (comme la CNIL en France) voient leur budget de fonctionnement multiplié par 100 (avec embauche massive simultanée), soit elles encouragent l’adoption de mécanismes de certification… 

L’auto-régulation (forcée) par certification et audit

Non, bien sûr, les autorités de contrôle ne pourront pas tout voir, ni tout savoir. Alors, ce sera à l’entreprise de s’organiser pour prouver qu’elle respecte la GDPR. Et qui de mieux pour cela qu’un auditeur « agréé CNIL », je vous le demande ? 

C’est cela, la certification. Et attention, ce sera quasi obligatoire pour les responsables de traitement, en « privacy by design » comme en « privacy by default« . Car dans les deux cas, le simple respect d’un code de conduite n’est pas envisagé par la GDPR.

Mais le non-respect des conditions de la certification, eux, sont lourdement sanctionnés par la GDPR. 

L’auto-régulation par code de conduite sectoriel

Voila ici résumée toute la volonté politique de l’UE face à la protection des données personnelles : encourager les entreprises par secteur d’activité à adopter des normes communes de « compliance » (de conformité en Molière dans le texte).

Evidemment, les codes de conduites devront être au préalable validés par la CNIL ou le « Comité Européen de Contrôle de Cohérence ». Le rôle de ce comité (au nom si poétique) sera déterminant, car c’est précisément sur ce point que la Directive 95/46 a échoué, en ne permettant pas une réelle uniformisation des règles de protection des données dans tous les pays de l’UE. Celles et ceux d’entre vous qui (comme moi) se sont un jour penchés sur la loi britannique en matière de protection des données se demandent encore de quoi on y traitait vraiment…

Au fond, les codes de conduite diffèreront peu des mécanismes de certification par auditeur agréé. Car le contrôle du respect des codes de conduite devra être obligatoire. Et tout non respect de l’auto certification par code de conduite imposera au « contrôleur », lui aussi agréé par une Autorité de contrôle, d’informer l’Autorité de contrôle…

Curieusement, les non-respects des conditions du code de conduite ne sont PAS DU TOUT sanctionnés par la GDPR !

En revanche, si l’auditeur agréé (certification) ou le contrôleur agréé (code de conduite) ne fait pas son boulot ? Perte d’agrément évidemment + sanctions pécuniaires en format « 4% CA / 20 millions d’amende« …

La certification des prestataires hors UE

Si le texte de la GDPR est si long, si compliqué et si indigeste au final, c’est que quantité d’hypothèses y sont prévues avec beaucoup de détails. Et il faut reconnaitre que les mécanismes de certification des prestataires non soumis à la GDPR (les prestataires hors UE – suivez mon regard…) sont une excellente idée. Si vous exportez des données aux USA, n’attendez pas trop du Privacy Shield dont tout laisse à penser que sa durée de vie est limitée. Par prudence, vous devriez plutôt inciter votre hébergeur / prestataire de traitement à… Mais, à quoi faire alors ?

La solution pour exporter sereinement des données aux USA ? La certification GDPR de votre prestataire US ou son adhésion à un code de conduite propre à son domaine d’activité.

Oui, c’est certain, au départ, les prestataires US vont hurler contre cette règlementation qui n’incite pas au business (etc. etc.). Il n’est plus l’heure des états d’âme. Le temps est venu pour la mise en oeuvre de solutions pratiques.

Je vous rappelle que si votre prestataire hors UE n’est pas « GDPR compliant », c’est votre entreprise qui est pleinement responsable. Et si vous avez encore un doute sur les risques concrets que vous êtes susceptibles de prendre, relisez ce que la GDPR prévoit comme pouvoirs d’injonction et/ou d’amende au profit de chaque Autorité de contrôle de l’UE. 

Conseil de bon sens

Vous pouvez attendre les process de certification bien au chaud, bercé(e) par la brise presque printanière de ce mois d’avril 2017. Finalement, encore 13 mois pour s’y mettre… Pourquoi se presser ?

Mais vous sentez bien que la Commission européenne, les Autorités de contrôle et le « Comité Européen de Contrôle de Cohérence » ne vont d’abord s’intéresser qu’aux traitements de données les plus massifs… ou les plus nombreux…

Vous devriez ne pas trop attendre pour pousser à l’élaboration de normes communes dans votre secteur d’activité. Les hébergeurs, sous l’impulsion d’OVH, s’y sont mis très rapidement, dès septembre 2016. 

Mes (grandes) oreilles me disent que certains professionnels du traitement de données sont en train de réfléchir… Allez, une création d’une association professionnelle, avec, pourquoi pas, un DPO unique pour tout le monde ? Cela permettrait de rétablir une forme d’égalité dans la concurrence. Et de mutualiser des coûts que, de toutes les façons, vous allez devoir engager… Et en termes de communication et d’image de marque, ce serait pas mal de montrer un peu de transparence, non ?

Car, au final, je vous le rappelle, toute entreprise qui traite des données personnelles, lorsqu’elle est « certifiée GDPR » ou qu’elle adhère à un « code de conduite GDPR » (et qu’elle respecte l’un ou l’autre) est présumée agir de manière conforme à la GDPR.

Dans le cas contraire, la preuve sera à la charge de l’entreprise. Et cette preuve sera difficile, là, j’en fais le pari !

Synthèse GDPR et audit ?

Si vous cherchez une synthèse de la GDPR et un début de méthode d’audit, c’est ici qu’il faut cliquer.


Merci encore à Lucie Massena et Sébastien Le Foll des éditions Delcourt qui valident patiemment chacune de mes présentations illustrées avec les magnifiques 5 premiers tomes de Horologiom. Merci aussi, et tout aussi sincèrement, à Fabrice Lebeault, scénariste et dessinateur de cette série fantastique qui m’a autorisé à détourner ses phylactères originaux. Et merci à Cécile Trautmann, Avocat stagiaire au Barreau de Paris, pour sa persévérance à analyser avec moi, ligne à ligne, le détail de ce Règlement 2016/679.