L'Economiste 12.12.2012
Le traitement des données à caractère personnel (nom, adresse, téléphone…) est une obligation imposée par la loi 09-08. Un chantier colossal. Désorientées, beaucoup d’entreprises le sont encore: par où commencer? Comment procéder? Qui doit faire quoi? Ce sont les questions fréquentes auxquelles sont confrontées les entreprises, particulièrement les Directeurs des systèmes d’informations (DSI). Le «Livre blanc» coédité par l’Association des utilisateurs des systèmes d’information au Maroc (AUSIM) et Solucom apporte une réponse (cf. L’Economiste du 3 décembre 2012; disponible dans la Rubrique document de notre site www.leconomiste.com). Ce document revient sur les dispositions phares de la loi, ses enjeux et fixe les étapes à suivre en 5 piliers. Une de ses règles d’or, «la mise en conformité totale et immédiate est contre-productive».
Faire un inventaire sur mesure:
La finalité du traitement conditionne l’ensemble des mesures à mettre en place. Une même donnée peut faire ainsi l’objet de traitements différents: gérer la paie, code d’accès aux outils informatiques, avantages sociaux… Le statut d’une donnée change par ailleurs en fonction de la finalité du traitement. Exemple: la référence d’un produit bascule dans le périmètre «personnel» dès lors qu’il s’agit d’analyser les achats d’un client à des fins marketing. D’où l’intérêt d’orienter une mise en conformité axée sur le traitement et non pas la donnée. Le recensement (…) prend les activités métiers comme point de départ. Tout en sécurisant les données de bout en bout, en identifiant les pratiques, les flux fonctionnels, les canaux-outils et contraintes des métiers, une approche «top-down» est recommandée.
Un traitement au cas par cas:
La mise en conformité démarre par un inventaire où l’on distingue entre les traitements purement métiers et les traitements faits par les fonctions support (gestion RH, système d’information…). Cette étape est fastidieuse mais décisive. L’idéal est de miser sur une démarche et des moyens qui s’appuient sur l’existant: organisation, documentation… Chaque traitement est examiné en consignant de manière claire et exploitable les informations indispensables à la mise en conformité. Au final, l’inventaire doit contenir la ou les finalités de chaque traitement, ses modalités de mise en œuvre (manuel ou application informatique), les données manipulées, les modalités d’exercice des droits des personnes: réclamation, modification, suppression…
Prioriser en fonction du risque juridique:
Evitez d’inventorier toutes les données d’un seul coup. La conformité n’est pas un bloc uniforme d’exigence. D’où l’intérêt d’identifier les risques majeurs à traiter en priorité. Avec l’existence à la base de mesures de sécurité: lutte antivirale, protection des réseaux, contrôle des accès aux ressources informatiques… A part l’analyse des risques, les axes de travail prioritaires et la faisabilité des actions est à déterminer. Ce qui induit des arbitrages. Les normes internationales relatives à la protection de l’information (ISO 27001 et 27002), sans être indispensables, pourraient aiguiller les opérateurs. Le seuil de tolérance de non-conformité que se fixe une entreprise est une donnée variable. En effet, chaque organisme, public ou privé, détermine ses critères selon sa taille, son domaine d’activité, ses moyens, son climat social, sa culture, ses pratiques.
Un opérateur va ainsi prioriser ses actions en fonction du risque d’atteinte à la vie privée (traitement de données sensibles) ou du risque de plainte (traitement de données fortement exposées). Exemple: une entreprise traitant avec le grand public sera attentive à sa relation client. Celle soucieuse de préserver son climat social se penchera en priorité sur des traitements liés à la gestion du personnel notamment : fiche de paie, congés maladie.
N’oubliez pas sous-traitants et fournisseurs:
Incontournable. Vous êtes liés par le degré de conformité de vos sous-traitants et vos fournisseurs. La responsabilité civile et pénale d’une entreprise demeure donc engagée en cas de revente d’une base de données notamment. La loi 09-08 dispose que toute sous-traitance doit être contractuellement encadrée: mesures de protection et de sécurité des données, respect des finalités du traitement… Un dispositif à compléter par des contrôles réguliers afin de s’assurer du respect du contrat y compris dans le temps. Sur le plan juridique toujours, une charte d’utilisation du Système d’information pourrait servir en la rendant opposable même aux collaborateurs: le contrat de travail doit y faire référence. Il en va de l’intérêt du responsable de traitement dont la responsabilité est quadrillée. La «visibilité» d’une mise en conformité doit être mise en avant en identifiant des actions rapides, peu couteuses et même si leur apport est modeste: clés USB chiffrées, enveloppes scellées pour certaines communications internes… Cela va faciliter la mobilisation future des acteurs-clés de l’entreprise.
Un interlocuteur et des acteurs à identifier:
A retenir: un traitement de données à caractère personnel n’est pas un traitement au sens informatique du terme. Les métiers (autres directions) sont les seuls à identifier avec précision les pratiques mises en œuvre, les besoins et les contraintes du terrain. N’empêche que le juriste et le responsable des systèmes d’information sont la cheville ouvrière de ce chantier. Le 1er va s’assurer du degré de légalité des mesures entreprises. Le second va piloter le projet vu que les traitements sont majoritairement informatisés. L’implication des autres directions se justifient par la «légitimité, la transversalité et la visibilité» de ce chantier. La désignation d’un chef d’orchestre est recommandée. En tant qu’un interlocuteur unique sa mission est de coordonner les expertises, de diffuser les bonnes pratiques, de faire respecter les droits des personnes… Ce coordinateur est nécessairement haut placé afin (…) de donner une impulsion transversale au projet. Il est aussi l’interlocuteur de l’entreprise auprès de la Commission nationale du contrôle de la protection des données à caractère personnel (CNDP)…
Une nouvelle culture à diffuser surtout:
La mise en conformité est un chantier durable. Une obligation légale contraignante qui peut servir… à se démarquer par rapport aux concurrents! Ne serait-ce que pour soumissionner à des marchés nécessitant une conformité. Au-delà, les opérateurs ont intérêt à persévérer dans leur politique y compris auprès de leurs collaborateurs. Le chantier des données à caractère personnel n’est pas statique. Un planning communication pour le personnel (journal interne, réunion, formation) doit fournir le bon message au bon moment à la bonne personne. Le but étant d’instaurer une vraie culture «protection des données». D’ailleurs, «maintenir et améliorer le niveau de conformité» est un gage durabilité en maîtrisant les évolutions des traitements notamment chez les sous-traitants.
Faiçal FAQUIHI
Aucun commentaire:
Enregistrer un commentaire
ajouter votre commentaire: n'oubliez pas votre commentaire nous intéresse