RGPD : Avez-vous un PIMS qui tient la route ?

Le 28 mai 2018, le Règlement Général sur la Protection des Données (RGPD) entrait en vigueur dans l’UE. Trois ans et demi plus tard, de nombreuses organisations tardent à s’y conformer, le considérant trop complexe. Pour Carlo Harpes, la situation est inquiétante. Aux sociétés récalcitrantes, le Managing Director d’itrust consulting recommande le PIMS, un système de gestion de la protection des données à caractère personnel permettant de se mettre en conformité avec les exigences du RGPD. Explications.

Qu’est-ce que le PIMS ?

Un « système de management de la protection de la vie privée », officiellement abrégé «PIMS» en français, est un « système de management de la sécurité de l’information qui gère la protection de la vie privée telle que potentiellement affectée par le traitement des données à caractère personnel ». Personnellement, c’est ce que j’aurais appelé un «système de gestion de la protection des données à caractère personnel» et je le présenterais comme une marche à suivre pour se conformer au RGPD. Pour implémenter ceci, il y a mille et une solutions, généralement valables pour de petits organismes où la protection des données n’est pas le souci primaire. Mais, depuis 26 mois, il existe un PIMS type, qui a été décrit de façon précise et normalisé dans la norme ISO/IEC 27701, sur base duquel il est possible de se faire certifier.

Qui en a besoin ?

3,5 ans n’ont pas suffi à la plupart des organismes pour se mettre en conformité avec le RGPD. Combien n’ont pas nommé de DPO (alors qu’il s’agit d’une exigence légale pour toute entité publique) ? Combien n’ont pas de registre du traitement conforme aux exigences ? Combien ne peuvent pas prouver à la CNPD leur respect des principes du RGPD, notamment celui qui exige « une protection en termes de mesures techniques et organisationnelles appropriées » ? Face à la difficulté de savoir ce qui est approprié et comment le démontrer, les dirigeants (décideurs politiques, bourgmestres, chefs d’administration, CEO ou de gérants de PME), sont souvent résignés et se cachent derrière la non-conformité de leurs voisins. D’après mes observations, cette situation est inquiétante et seule la CNPD, qui a l’obligation de sanctionner, devrait connaître cet état. Tous les organismes visés ici auraient bien profité de ce PIMS.

Qui a défini ce PIMS ?

L’ILNAS, que je représentais à l’ISO dans de multiples réunions de travail consacrées à cette norme depuis 2014, se prononçait avec ses partenaires européens en faveur d’une norme rapide et parfaitement compatible avec le RGPD. Pour supporter la mise en conformité avec ces exigences, nous avons formulé de multiples suggestions d’amélioration sur la numérotation trop compliquée et certaines formulations trop lourdes. En France, la CNIL s’est félicitée de sa participation et encourage l’adoption de cette norme tout en laissant aux organismes la possibilité d’opter pour d’autres systèmes dans leur démonstration de responsabilité.

Qui supporte le PIMS au Luxembourg ?

Au Luxembourg, hélas, la CNPD n’a pas communiqué sur cette norme, ce que je perçois comme une erreur stratégique probablement due à l’absence de représentants de la CNPD à l’ISO ou à un manque de connaissance des systèmes de management tout court. Cette faute d’appréciation l’a aussi amenée à créer un cadre de certification national en 2018, qui visait une certification luxembourgeoise très onéreuse à obtenir et, j’ose dire, économiquement non justifiable en l’absence de reconnaissance internationale. Étant donné les multiples inexactitudes dans les critères de cette certification, la mise en place de processus de certification dédiés (au lieu de recourir au processus ISO 17065 reconnu et pratiqué depuis des décennies) est resté un flop non utilisé et le dommage collatéral reste l’absence de support pour d’autres normes et démarches abordables plus matures.

3,5 ans après l’entrée en vigueur du RGPD et 26 mois après la définition d’un PIMS

La CNPD est-elle donc en partie responsable d’un mauvais taux de conformité ?

Absolument pas. Chaque citoyen est responsable devant la loi et, en aucun cas, la police ne peut être tenue responsable d’un crime qu’elle n’aurait pas détecté. Critiquer la CNPD est une façon pour certains de détourner le regard de leurs propres responsabilités. Bien sûr, la CNPD a aussi une mission d’information et de sensibilisation. Elle aurait pu en faire plus, mais elle l’a assumée à d’autres niveaux.

Où et comment obtenir une certification PIMS ?

Auprès de tout certificateur étranger ou du seul certificateur accrédité au Luxembourg, Certi-trust, qui délivre une certification sous accréditation internationalement reconnue. Faute de demande, la certification ISO/IEC 27701 n’est pas encore disponible. En attendant qu’elle le soit, une certification par rapport à ISO/IEC 27001 avec indication sur le certificat de l’implémentation complète des mesures ISO/IEC 27701 est possible. itrust consulting l’a d’ailleurs obtenue le 9 juin 2020.

Quels sont les avantages d’une telle certification ?

Dans la préparation de cette certification, itrust consulting a largement profité de cette norme pour rédiger une politique de protection des données qui cite toutes les mesures proposées dans cette norme, les options d’implémentation et consignes internes, par exemple des références à d’autres mesures de sécurité, à la documentation interne ou une indication des responsabilités et des processus à respecter par les employés. Ainsi, cette politique, ensemble avec un rapport d’analyse des risques et le registre des traitements, est la pierre angulaire qui permet de démontrer que les données sont protégées de façon adéquate, indépendamment d’une certification.

Lors d’un audit externe du certificateur, le suivi de cette politique et l’application correcte des mesures ont été vérifiés. Sans pouvoir garantir à 100% qu’il n’y aura pas d’incidents, cela inspire la confiance de nos clients, et finalement de la plupart des citoyens luxembourgeois dont l’une ou l’autre donnée pourrait faire l’objet d’un traitement par nos soins.

Quel est le coût de la certification et ses limites ?

Le coût de la certification (audit inclus) est en moyenne de 4 000 euros par an pour une organisation de moins de 25 employés, mais augmente de façon logarithmique avec ce nombre. Une organisation qui n’a pas mis en place de systèmes adéquats pourrait devoir dépenser jusqu’à 50 000 euros en consultance, pour la préparation et l’implémentation des processus et des mesures. Evidemment, le coût est théoriquement nul pour les entreprises qui gèrent déjà la sécurité et la protection des données dans les règles de l’art. Les coûts de mesures de sécurité spécifiques aux processus métiers peuvent aussi être conséquents. Cependant, ces mesures ne sont pas imposées par la certification, si ceci est aligné avec l’appétit du risque et que le risque résiduel est accepté. En d’autres mots, la certification n’assure pas l’absence de risques, ni qu’il y ait une véritable conformité au RGPD, mais uniquement que tous les risques et problèmes de conformité ont été parfaitement détectés, compris et acceptés par le top management et que les intérêts des personnes concernées ont été respectés.

Quelle est la philosophie qui sous-tend le PIMS d’ISO/IEC 27701 ?

Ce PIMS est basé sur le système de management de la sécurité de l’information, donc sur des exigences précises liées à la compréhension du contexte, au leadership, à la planification, au support (comme la formation du personnel), au fonctionnement au jour le jour des processus, à l’évaluation des performances, et à son amélioration continue. En d’autres termes, il part de l’idée – souvent négligée dans une perspective juridique – qu’il est vain de s’attarder à revoir les droits spécifiques d’une personne concernée si le traitement ne réussit pas à protéger la confidentialité, l’intégrité et la disponibilité des informations (CID). En revanche, protéger ces CID n’est pas suffisant en termes de protection de la vie privée : il faut en plus considérer les risques de la perspective des personnes concernées et les droits de celles-ci quelle que soit la législation applicable. Ces droits sont reflétés de façon exhaustives dans 48 mesures de protection qui sont énoncées dans la norme avec des exigences et des préconisations de mise en œuvre. Ce PIMS est aussi guidé par le pragmatisme et le constat selon lequel une loi n’est pas respectée sous peine des sanctions prévues, mais qu’il convient de mettre à niveau le management de toute entité qui doit s’y conformer.

itrust consulting
55, rue Gabriel Lippmann
L-6947 Niederanven
www.itrust.lu