Blog / Solutions /

Soyez prêt pour le RGPD

Soyez prêt pour le RGPD

Michael Mingers

Global Data Protection Officer

Qu’est-ce que le Règlement Général sur la Protection des Données (RGPD) et quels impacts ce règlement européen va-t-il avoir pour Worldline et les sociétés en général ?

Tout d’abord, le RGPD est le changement le plus important en matière de réglementation sur la protection des données de ces 20 dernières années et entrera en vigueur le 25 mai 2018. C’est le premier véritable règlement européen dédié à la protection des données personnelles. En effet, jusqu’à aujourd’hui, seules des directives avaient été mises en place et devaient être transposées en lois nationales par les pays membres. Ce règlement européen a pour ambition d’harmoniser les lois sur la protection des données en Europe. Les objectifs principaux du RGPD sont l’affirmation des droits des personnes et l’obligation de transparence en matière d’utilisation de leurs données personnelles. De plus, ce règlement souligne les risques pour les individus, inhérents au traitement des données personnelles. L’impact du RGPD sera considérable car ce règlement s’applique à toute entreprise traitant les données personnelles des citoyens de l’UE, même si celle-ci n’est pas établie dans un état membre de l’UE. Enfin, ce règlement apporte une nouvelle approche en termes de protection des données en introduisant les concepts de « protection par design et par défaut ». Cette règle de protection des données par design impose que tout traitement mis en œuvre par l’entreprise soit conçu dès le départ de façon à protéger les données personnelles. Le concept de protection des données par défaut oblige, quant à lui, chaque entreprise traitant des données personnelles à garantir par défaut la protection des données.

Worldline n’a pas attendu le RGDP pour assurer le plus haut niveau de protection des données traitées car nos activités le requièrent intrinsèquement. Ce que nous faisons est désormais formalisé et rendu obligatoire par ce règlement européen. Ma nomination au poste de Global Data Protection Officer (DPO) au sein de Worldline peut, d’une certaine manière, être attribuée au RGPD. Worldline travaille sur la protection des données à tous les niveaux depuis de nombreuses années et cette règlementation nous a donné l’opportunité d’organiser nos actions à grande échelle et de créer une communauté mondiale de Data Protection Officers (délégués à la protection des données).

Quels sont tes rôle et missions, en tant que DPO, et quel plan d’actions as-tu mis en place pour la conformité de Worldline avec le RGDP ?

Worldline a déjà mis en place une communauté de DPOs, chacun ayant son champ d'activité et sa juridiction attitrés. En tant que Global Data Protection Officer, je suis tout d’abord
« primus inter pares », c’est-à-dire que je suis en charge de cette communauté très enthousiaste pour avancer et collaborer sur ce sujet. Il est important de savoir qu’un DPO est avant tout un consultant pour la direction de l’entreprise et ses missions principales sont la sensibilisation aux problématiques de protection des données et l’atteinte du niveau de formation adéquat au sein de l’entreprise.

A l’heure actuelle, notre communauté travaille sur une série d’initiatives internes à finaliser d’ici l’entrée en vigueur du RGDP. Ces initiatives incluent l’adaptation de nos procédures internes, la réalisation d’un inventaire de tous nos processus de traitement de données effectués dans le cadre de nos activités, la vérification de toutes les implications légales en collaboration étroite avec nos experts juridiques. Worldline, en tant qu’entité du groupe Atos, s’appuie bien évidement sur ses supports, connaissances et documentations pour nos diverses actions. L’une de ces documentations phare est justement la méthode d’étude d’impact sur la vie privée (« Privacy Impact Assessment») d’Atos.

La communauté de DPOs est également impliquée dans notre stratégie RSE, l’atteinte d’un taux de couverture de 100% de nos traitements critiques par ce PIA étant un des objectifs clés de notre programme TRUST 2020. En effet, c’est un outil essentiel dans le cadre de l’inventaire de nos processus de traitement afin de réduire les risques clients associés à la protection des données.

Worldline est réputée pour le traitement et la sécurisation de transactions entre différentes entités (banques, sociétés, entités gouvernementales,…). Quelle aide Worldline pourrait-elle apporter à ses clients pour leur permettre d’assurer le bon niveau de protection des données personnelles qu’ils traitent ?

Au-delà de cette obligation réglementaire, nous devons remplir nos engagements auprès de nos clients qui doivent également le faire auprès de leurs propres clients. Worldline a toujours agi en amont des règlementations et notre proposition de valeur est de garantir à nos clients d’être en conformité avec les lois et réglementations. Par ailleurs, la numérisation et la transformation digitale créent nouvelles opportunitéspour nos clients et pour les utilisateurs finaux mais augmentent également les risques potentiels. C’est pourquoi nous accordons une grande importance à la sécurité renforcée, désormais indispensable dans ce monde digital.

Les principales activités de traitement des transactions de paiement et d’e-Santé de Worldline nous obligent à être conformes à des normes réglementaires très strictes pour la protection desdites données, comme par exemple, la certification PCI DSS (Payment Card Industry Data Security Standard), une certification indispensable dans le cadre de nos activités de traitement des paiements par carte. Ce qui signifie que nous étions déjà prêts pour certaines exigences du RGPD avant même qu’il soit annoncé. La protection des données est dans notre ADN et nous pouvons déjà proposer des solutions de gestion d’identité avec biométrie permettant à nos clients de protéger leurs atouts stratégiques ainsi que des solutions d’e-identité, de coffre-fort numérique et d’envoi de messages conformes au RGPD. Worldline a également acquis une grande expertise dans l’analyse de données dans le cadre de différents projets opérés pour ses clients et nos équipes ont les compétences nécessaires pour classifier des données comme cela est exigé par le RGDP.

Comment les sociétés peuvent-elles se préparer pour ces changements ?

A mon avis, il est tout d’abord essentiel pour les sociétés de connaitre et de comprendre ces nouvelles obligations. Les sociétés peuvent ensuite les transposer dans le cadre de leurs activités et adapter leurs processus si nécessaire afin d’être totalement en conformité.

Il est aussi plus que primordial que les sociétés prennent conscience de l’importance de la nouvelle approche orientée sur les risques, introduite par le RGPD.

Pour conclure, les nouvelles règlementations suscitent souvent de nouvelles opportunités au-delà des contraintes de mise en conformité. Est-ce que ce sera la même chose avec le RGPD selon toi ?

Le RGPD, à l’image de toute autre règlementation, génère de nouvelles opportunités. Nous avons déjà évoqué comment Worldline aide ses clients à être en conformité avec le RGPD grâce à nos solutions mais cet accompagnement ne s’arrête pas là. Nous travaillons en étroite collaboration avec nos clients, comme des consultants, pour faire un inventaire de leur portefeuille, de leurs activités et de leurs processus afin d’assurer la plus grande protection des données personnelles traitées. Nous planifions d’utiliser les enseignements et méthodes acquis dans le cadre de notre inventaire interne, pour ensuite aider nos clients dans le cadre du RGPD, en répondant à leurs besoins et contraintes métier.