LG 204
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
58 <strong>LG</strong><br />
NOVEMBRE 2017<br />
ICT<br />
RGPD:<br />
très chères données?<br />
En mai 2018, le règlement européen portant sur la protection<br />
des données personnelles (RGPD) sera applicable. Ce texte<br />
pose un socle commun de règles renforçant les droits de tous<br />
les résidents européens (clients, utilisateurs, administrés,<br />
salariés, agents publics) et la responsabilité des organismes<br />
privés comme publics qui traitent des données personnelles.<br />
Les mesures à anticiper sont nombreuses, elles sont source de<br />
dépenses en vue de répondre aux exigences réglementaires.<br />
Eclairage sur cette règlementation et les coûts liés avec<br />
Philippe Pierre, associé en charge du Secteur Public et<br />
responsable mondial Institutions européennes et Frédéric<br />
Vonner, associé et RGPD Leader chez PwC Luxembourg.<br />
Où en est le secteur public?<br />
PP: Le secteur public n’est pas<br />
particulièrement en retard par rapport au<br />
secteur privé concernant la mise en œuvre<br />
de cette nouvelle règlementation. Les<br />
institutions européennes sont légèrement<br />
en avance, car elles étaient déjà soumises<br />
à des obligations qui sont reprises dans<br />
le RGPD. Par exemple, elles avaient<br />
déjà l’obligation d’avoir un(e) délégué(e)<br />
à la protection des données. D’autres<br />
organisations, plus petites ou moins<br />
habituées à la protection les données<br />
qu’elles traitent, par exemple parce que<br />
ces données ne sont pas particulièrement<br />
sensibles, ont certainement pris un peu plus<br />
de retard. Il est à noter que les institutions<br />
européennes sont exclues pour le moment<br />
du champ d’application de la RGPD. Un<br />
règlement les concernant directement est<br />
en préparation.<br />
FV: Le secteur public est globalement<br />
conscient car il a accéléré son processus de<br />
transformation digitale et les services qu’il<br />
délivre sont de plus en plus concernés: les<br />
organismes publics collectent, stockent,<br />
échangent et transfèrent en masse des<br />
données notamment via les nombreux<br />
e-services rendus aux usagers, les dispositifs<br />
de contrôle et de sécurité ou bien encore<br />
les projets de villes intelligentes («Smart<br />
Cities»). Au-delà de ces contraintes légales,<br />
le secteur public a saisi que l’utilisation<br />
responsable et sécurisée des données<br />
collectées constitue un véritable enjeu<br />
d’accès au droit, d’égalité de traitement,<br />
de protection et donc de confiance des<br />
citoyens. Cela est particulièrement vrai<br />
pour les organisations traitant des données<br />
«sensibles», telles que le secteur de la santé<br />
et de la protection sociale, ou les organismes<br />
traitant les données des agents publics.<br />
“Un bon moyen<br />
d’optimiser les<br />
investissements<br />
liés à la mise en<br />
conformité RGPD<br />
est d’identifier<br />
les synergies avec<br />
d’autres projets en<br />
cours ou à venir (…)<br />
pour optimiser la<br />
gestion des données<br />
au sens plus large”<br />
Peut-on estimer clairement le coût<br />
qu’impliquera la mise en conformité?<br />
PP: Le coût d’une mise en conformité<br />
dépend de la taille de l’organisation et de la<br />
quantité de données traitées, mais également<br />
de la «maturité» de l’organisation, c’està-dire<br />
de la mesure dans laquelle celle-ci<br />
a déjà une connaissance des données<br />
personnelles qu’elle traite, de la raison<br />
pour laquelle ces données sont collectées et<br />
traitées, du cycle de vie des données, et de<br />
la manière dont ces données sont protégées.<br />
Plus cette connaissance est approfondie,<br />
plus le travail de mise en conformité sera<br />
rapide et facile. Une telle connaissance peut<br />
également permettre de gagner en efficacité<br />
en mettant en évidence les redondances:<br />
données demandées à la personne plusieurs<br />
fois, etc.<br />
FV: Le processus de mise en conformité au<br />
règlement est complexe, il impose les mêmes<br />
principes de protection des données tant aux<br />
organismes publics qu’aux grands groupes<br />
et aux TPE/PME tout en tenant compte<br />
d’un principe de proportionnalité. Afin<br />
d’atteindre une conformité complète, on<br />
peut commencer par adopter une approche<br />
par les risques, autrement dit mettre en place<br />
des actions utiles afin de réduire les risques<br />
des personnes concernées par rapport à