La première certification RGPD sera... luxembourgeoise

«Ce sera la première certification RGPD en Europe. Le Luxembourg est à la pointe de l'innovation dans ce domaine!», se réjouit Michael Hofmann, partner chez EY Luxembourg et le spécialiste sur la Place de tout ce qui est lié à la thématique de la protection des données personnelles et la cyber- sécurité.

Le 25 mai dernier le Règlement général sur la protection des données (RGPD, ou GDPR en anglais) est entré en application dans toute l'Union européenne. Alors que cette date approchait, de nombreux avertissements, relayés par les médias, avaient poussé beaucoup d'organisations à accélérer leur mise en conformité.

«Les deux dernières années étaient consacrées à la mise en place des processus, à la mise en conformité ainsi qu'à la nomination des délégués à la protection des données», explique Michael Hofmann. Si l'effort à fournir est important pour chaque entreprise, les risques et les inquiétudes qui en découlent ne doivent pas être sous-estimés. «Une fois que les entreprises ont mis en place règles et procédures, la question qui se pose est la suivante: que se passe-t-il quand un accident survient quand même? Il est évident que même avec la meilleure implémentation du RGPD, on n'est jamais à l'abri d'un incident».

Michael Hofmann met en avant la démarche innovante du Luxembourg. © PHOTO: Chris Karaba

Les programmes de conformité qui sont actuellement mis en place visent à minimiser les risques et à augmenter le niveau de professionnalisme. «Dans le cas d'un piratage des données personnelles, les prescriptions GDPR s'appliquent maintenant aussi.»

«Tous ne se sentent pas à l'aise»

Cette année, les entreprises devraient poursuivre leurs efforts de mise en conformité de la réglementation, mais également faire «vivre» le RGPD dans leurs organisations et de tester l'efficacité des programmes. «Cela n'est pas un exercice théorique qui peut être géré par des spécialistes, mais il doit être vécu par l'ensemble de la société. Implémenter le système est une chose, le vivre au quotidien est autre chose». Or selon le spécialiste d'EY, «beaucoup de personnes ont peur de prendre les mauvaises décisions au niveau interne. Tous les employés ne se sentent pas complètement à l'aise au niveau du reporting par exemple.»

Les organisations doivent désormais notifier à l'autorité de contrôle compétente toute violation de données à caractère personnel susceptible de présenter un risque pour les individus. Cette notification doit intervenir dans les 72 heures qui suivent la prise de connaissance de la violation. Celle-ci peut avoir des causes multiples: il peut s'agir d'une erreur humaine, d'un acte malveillant ou d'un problème technique. Les risques de voir un tel événement survenir sont donc importants.

Si un «accident» arrive, le régulateur va contrôler et vérifier les erreurs commises et proclamer le cas échéant des amendes. Celles-ci peuvent aller jusqu'à 4 % du chiffre d'affaires mondial et 20 millions d'euros. «Lorsqu'il arrive quelque chose, quand bien même on a fourni d'importants efforts financiers et humains, il va être difficile de démontrer qu'on a fait le maximum pour éviter tout risque d'erreur», souligne Michael Hofmann.

Il existe à ce moment-là la possibilité d'une évaluation externe, «c'est un instrument utile et gage de qualité, mais le problème qui se pose est qu'on n'a pas de retour d'informations de la part du régulateur. Or, la meilleure manière de se protéger, c'est d'avoir non seulement une évaluation remise par un organisme indépendant tiers, mais aussi une certification qui est attestée par les autorités compétentes, dans ce cas-ci par la Commission nationale de protection des données (CNPD). C'est ce qui fait toute la différence!»

Un registre public et transparent

Dans le cadre du nouveau mécanisme de certification, un réviseur d'entreprise accrédité par la CNPD pourra effectuer un audit auprès d'un client, qui va résulter dans l'émission d'un certificat valable pour une période de trois ans, approuvé par la CNPD et inscrit sur un registre public et transparent. «L'entreprise pourra dès lors démontrer plus facilement qu'avant la survenue de l'accident elle a réellement mis toutes les mesures de protection en place et que celles-ci ont été contrôlées quant à leur efficacité. Le régulateur doit prendre cet aspect en compte au moment de prononcer sa sanction.»

La législation relative à la protection des données à caractère personnel prévoit la mise en place d'un système de certification permettant aux entreprises d'attester de leur mise en conformité. A en croire Michael Hofmann, aucune certification n'existe à l'heure actuelle au niveau européen, bien que la nouvelle législation soit en place depuis plusieurs mois maintenant. «Il existe des certifications reliées à la désignation d'un délégué à la protection des données. C'est une bonne chose, mais cela ne permet pas de répondre aux défis actuels posés par la protection des données privées. La certification reconnue par le régulateur que le Luxembourg est en train d'implémenter est quelque chose d'extrêmement difficile à mettre en place, parce qu'il faut respecter des règles reconnues à la fois au niveau européen et international».

Le mécanisme est basé sur le standard international ISAE; les auditeurs spécialisés et accrédités émettront la certification qui sera ensuite approuvée par la CNPD. «Il faut passer par ces deux étapes, parce que la CNPD ne peut pas être à la fois juge et partie», explique Michael Hofmann.

Le Luxembourg a pris de l'avance

Les premières certifications devraient normalement voir le jour cette année. EY Luxembourg travaille ardemment sur l'obtention de son accréditation. D'autres pays européens se penchent également sur la question, mais le Luxembourg a pris de l'avance, assure Michael Hofmann. «Cette certification est un atout majeur pour la place du Luxembourg, une réelle valeur ajoutée pour les multinationales installées au Grand-Duché. C'est aujourd'hui le seul mécanisme existant qui permet d'avoir un feedback de la CNPD. Nous avons la chance d'être précurseur dans ce domaine».