Dossier : du RGPD à l’ERP : l’impact sur l’organisation des ESN (1/2)

22 janvier 2018

RGPD, GDPR : Plus que 4 mois pour se préparer…

L’année 2018 démarre sur les chapeaux de roue en terme de mise en conformité pour les entrepreneurs. Après l’adoption obligatoire d’un logiciel de gestion ou de caisse sécurisée et certifiée NF525, une autre étape non négligeable attend les entreprises en milieu d’année : le Règlement Général sur la Protection des Données (RGPD, ou encore GDPR, de l’anglais General Data Protection Regulation). Ce texte européen renforce la protection des données personnelles traitées par toutes les organisations au sein de l’UE. Voté par le parlement européen en avril 2016, le RGPD n’est pourtant guère une surprise. Dès lors, le timing commence à être plutôt serré à l’heure où vous lisez ces lignes. A savoir, les entreprises ont jusqu’au 25 mai 2018 pour se mettre en conformité sous peine de sanctions plutôt corsées…


Si nous nous attardons sur l’actualité autour des solutions libres et open source, l’information autour du RGPD ne circule pas beaucoup. Ainsi, peu de professionnels relaient l’information. Certains vous diront, que seules les sociétés « sérieuses » et impliquées ont la capacité de s’investir en vue d’une nouvelle offre. Pourtant, ce n’est pas si simple pour une organisation. Le texte nécessite d’actualiser non seulement ses produits/services dans une optique Privacy By Design mais également de repenser les processus métiers internes de l’entreprise. Et cela prend du temps.

RGPD ? Il va falloir vraiment s’y mettre…

Or, il ne faut pas se leurrer, il y a également un marché important. Premièrement, c’est une nouvelle possibilité dans le secteur IT de lever des audits cartographiant les traitements des données personnelles des organisations, sésame indispensable à la mise en conformité RGPD. De plus, se faire accompagner en amont par un prestataire IT est une alternative plutôt intéressante. En effet, un cabinet juridique n’aurait pas forcément toutes les compétences dé répondre à vos première questions techniques, en dehors d’une refonte de vos contrats ou la gestion des relations avec vos fournisseurs. Allier les deux, par contre, c’est maximiser les chances d’être conforme. Deuxièmement, la conformité RGPD est un nouveau step confiance qu’il faut atteindre. Soyez-en sur, vos clients, partenaires et prospects, vont immanquablement vous poser la question sur l’avancement de votre conformité RGPD, avant d’amorcer toute forme de collaboration avec vous.

Du côté des entrepreneurs ? Euh ?… Pas beaucoup d’informations !

La conformité RGPD, pourquoi ?

Deux axes clés vont pousser naturellement à la mise en conformité.

1. Les sous-traitants ne sont pas tenus responsable de la bonne application du RGPD.

Intéressons-nous en particulier, à la décision de la CNIL contre Darty, Délibération SAN-2018-001 du 8 janvier 2018. Cette affaire se résume à une sanction de 100 000 € d’amende pour une faille dans un formulaire de contact. Initialement, d’un développement amorcé par un prestataire de l’enseigne, le groupe Darty a été jugé comme responsable de la fuite de données personnelles. De plus, la délibération lui ôte la possibilité de défausser sa responsabilité sur ce prestataire. « La formation restreinte a considéré que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement. » Ambiance.

Dès lors, cette décision qui fait office d’un début de jurisprudence, sous-entend que l’entreprise est responsable pleinement de l’ensemble de ses outils. De ce fait, il y a donc un intérêt certain à ce que le prestataire soit conforme RGPD pour pouvoir travailler avec lui.

2. Le RGPD se substitue à la loi informatique et Liberté tout en reprenant certains principes du CNIL. Ne pas s’y conformer est un choix risqué

Ainsi, ce texte devient donc la nouvelle référence, le texte européen étant catégorisé en six étapes clés par la CNIL. C’est un codex que toutes organisations se doivent de respecter. De plus, si nous regardons le point d’attention n°4 de l’étape 3 sur les actions à mener envers les prestataires, nous voyons bien que le texte est sans équivoque : « Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées. » Donc oui, avoir une stratégie RGPD est une composante essentielle à votre stratégie d’entreprise sur l’année 2018.

Attention donc à votre discours commercial et communicationnel qui se doit d’être adapté. Outre l’épée de Damoclès prévues par le texte sous forme de sanctions plutôt lourdes (jusqu’à 4 % de votre CA), vos choix peuvent de facto vous déclasser par rapport à la concurrence et vous niveler par le bas sur votre marché.

La CNILL, en pleine campagne de sensibilisation sur le RGPD face à la montée des arnaques en tout genre.

Impact sur les développements ?

Vous l’aurez compris, il y a de ce fait un double impact pour les ESN : revoir les façons de travailler et mettre en conformité les solutions (ERP, ecommerce, cloud etc.). Les intégrateurs, les éditeurs de logiciels, les communautés libres et open source vont donc devoir repasser en revue certaines fonctionnalités existantes et prendre acte de la composante RGPD dès la conception de tous développements futurs. Le texte est plutôt précis et balaye en 99 articles un grand nombre de sujet tels que la : « minimisation de la collecte de données au regard de la finalité, les cookies, les durées de conservation, les mentions d’information, le recueil du consentement, la sécurité et confidentialité des données, et le fait de s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données ».

Inutile de mentionner que cela va mettre un certain temps avant que les ESN soient réellement conformes. La fourchette pouvant osciller entre 10 et 24 mois selon la taille de l’organisation aux dires du livre blanc sur le RPGD réalisé par Captivea. De plus, selon la même source, 81 % des entreprises ne seraient pas conforme RGPD et explique que l’essentiel est de prouver que vous êtes de bonne foi en amorçant au plus tôt les démarches de conformité.

Solutions libres et RGPD : une étape à franchir !

4 points sur les solutions que les ESN se doivent d’étudier !

Cette partie est une synthèse de ce que les développeurs doivent assimiler avec le RGPD avant de se lancer corps et âme dans un nouveau projet sans prendre en compte cette composante. Le texte européen implique donc de :

1. Conforter les droits existants :

a) Droit d’accès et de rectification :

  • Impact sur le développement : l’utilisateur doit avoir la possibilité d’éditer ses données personnelles y compris celles qui ont été récupérées via des services externes tels que « Login with Facebook/Google » ;

b) Droits d’opposition et de déréférencement. (cf. le point 2. ci-dessous).

2. Prendre en compte les nouveaux droits

a) Un droit à l’effacement (« droit à l’oubli ») : « droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant, pour des raisons précises » :

  • Impact 1: il va falloir développer une méthode pour supprimer l’ensemble des données d’un utilisateur collectées sur la base d’un consentement. C’est techniquement utile pour un intégrateur en phase de test. Dans certains cas, cela peut être difficile à implémenter. Dès lors, tout dépendra de votre modèle de données. Il va falloir jongler entre certaines règles de gestion métier spécifiques, et l’intégrité référentielle de votre base de données. En bref, cela va se jouer entre suppressions en cascade et/ou accepter des clés étrangères nulles dans votre base. Ex. : une commande peut se retrouver avec un utilisateur en référence avec une valeur nulle.
  • Impact 2 : si votre application est liée à des services externes, il faudra utiliser les API correspondantes pour supprimer les données et vérifier qu’elles ne sont pas référencées dans les résultats d’un moteur de recherche. Si ce n’est pas possible, il va falloir faire preuve d’inventivité.

b) Un droit de s’opposer au profilage : « droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage » :

  • Impact : développer une méthode qui permet de mettre l’utilisateur sur « liste rouge » avec une gradation possible sur les traitements (cf. le point 4. sur le consentement).

c) Un droit à la portabilité des données : « droit de recevoir les données à caractère personnel fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable ».

  • Impact : méthode à développer pour que l’utilisateur puisse avoir la possibilité d’exporter (et de voir) ses données dans un format standard (XML, JSON).

3. Renforcement des règles en matière de consentement

Nouvelle définition : « le consentement est entendu comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

a) Gestion du consentement utilisateur :

  • Impact : développer une console de gestion du consentement utilisateur pour chaque catégorie de traitements. L’utilisateur doit pouvoir modifier ses consentements à tout moment. Les cases à choix multiples doivent être décochées par défaut.

b) Vérification de l’âge :

  • Impact : gestion du consentement parental pour les enfants de moins de 16 ans.

4. Ne pas garder les données personnelles plus longtemps que nécessaires

Si vous avez collecté des données, vous devez les anonymiser ou les effacer dès que possible. C’est le cas de certaines boutiques en ligne qui permette l’achat sans s’enregistrer. Une fois la livraison terminée les données non nécessaires liées à l’achat doivent être anonymisées ou supprimée :

  • Impact : un script planifié doit vérifier périodiquement que toutes les conditions sont remplies (ex.: livraison du produit chez le client) pour faire les manipulations adéquates dans la base.

Si vous voulez en savoir plus, d’autres points techniques (pour les adminsys) et quelques bonnes pratiques sont abordés dans l’excellent blog de Wodric (FR) et de Bozho (EN).

RGPD et Open-DSI ? Message reçu…

Aussi, inutile de vous dire que nous nous penchons sérieusement sur la thématique. De nombreuses questions sont soulevées de part et d’autre au sein de l’équipe. Le débat est lancé, si bien que l’optique Privacy by default, devient maintenant une composante essentielle dans nos futurs développements. De plus, c’est un aspect, qu’il faut prendre en compte dès le début de l’analyse conceptuelle. Bien entendu, même si nous essayons de faire preuve de bon sens en essayant d’anticiper un maximum de variables, il est certain que le RGPD impose de nouvelles règles, une nouvelle manière de raisonner. L’essentiel est d’être au courant grâce à une veille permanente. À noter que de nouveaux projets de partenariats (surprises) sont en préparation au sein d’Open-DSI pour amorcer en douceur cette nouvelle étape. Bien entendu, nous vous tenons au courant !

 Bruno Soulié

 

RGPD, GDPR ? l’indispensable mémento ! (2/2) >>

Sources de l’article :