Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 L’audit des données personnelles à l’aune du GDPR L’audit de la protection de

1 L’audit des données personnelles à l’aune du GDPR L’audit de la protection des données personnelles à l’aune du Règlement Général sur la Protection des Données1 Sous la direction de Monsieur Jacques Vera Directeur du master Audit et gouvernance des organisations à l’IAE Aix-Marseille Mémoire de Msc 2 en Audit et gouvernance des organisations Dirigé par Monsieur Jacques Vera Nadège Rispoli Année universitaire 2016-2017 1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Aussi appelé GDPR (General Data protection Regulation) 2 L’audit de la protection des données personnelles à l’aune du GDPR SOMMAIRE REMERCIEMENTS ............................................................................................................................................. 4 INTRODUCTION ................................................................................................................................................ 5 I. LA PROTECTION DES DONNEES PERSONNELLES .............................................................................. 7 A. LE DEVELOPPEMENT DE LA PROTECTION DES DONNEES PERSONNELLES .......................................................... 8 1. Le cadre légal de la protection des données personnelles ........................................................... 8 a) La loi Informatique et Libertés ou le socle de la protection des données personnelles ................... 8 (1) Champ d’application de la loi Informatique et Libertés ................................................................................ 9 (2) Les droits et obligations .............................................................................................................................. 11 b) Le développement du droit européen ...................................................................................................... 13 c) Les acteurs majeurs de la protection des données personnelles à la maille France ....................... 14 (1) La CNIL, un acteur incontournable .............................................................................................................. 14 (a) Sa composition, son organisation ............................................................................................... 14 (b) Son rôle, ses missions.................................................................................................................... 14 (c) Ses contrôles ................................................................................................................................... 15 (2) Le Correspondant Informatique et Libertés ................................................................................................ 16 2. Les données personnelles : or noir du XXIème siècle ? ................................................................ 17 a) L’étendue de la notion de donnée à caractère personnel ..................................................................... 17 b) Données personnelles et protection des droits des personnes ........................................................... 18 (1) Connaissance client et big data ................................................................................................................... 19 (2) Connaissance client, éthique et protection de la vie privée ........................................................................ 23 B. PROTECTION ET GOUVERNANCE DES DONNEES PERSONNELLES A L’AUNE DU GDPR ...................................... 24 1. L’essence du GDPR ............................................................................................................................ 25 a) Les origines de la réforme .......................................................................................................................... 25 b) Les évolutions introduites par le GDPR ................................................................................................... 26 (1) La continuité de la directive européenne .................................................................................................... 26 (2) Les changements ......................................................................................................................................... 27 (a) Le champ d’application ................................................................................................................. 27 (b) De nouvelles obligations et une gouvernance renforcée ....................................................... 28 2. Le GDPR, contraintes ou opportunités ? ........................................................................................ 33 II. LES RISQUES ATTACHES A LA PROTECTION DES DONNEES A CARACTERE PERSONNEL A L’AUNE DU GDPR ......................................................................................................................................... 37 A. LES RISQUES ATTACHES A LA PROTECTION DES DONNEES PERSONNELLES, A L’AUNE DU RGPD ...................... 38 1. Identification des risques ................................................................................................................ 38 a) Risque d’image et risque business ............................................................................................................ 38 b) Risque juridique ........................................................................................................................................... 39 (1) Risque juridique pour le responsable de traitement ................................................................................... 39 (2) Risque juridique pour les sous-traitants ...................................................................................................... 42 c) Risque opérationnel .................................................................................................................................... 44 d) Risque financier ............................................................................................................................................ 45 e) Risque extraterritorial ................................................................................................................................ 45 f) Risque d’efficacité ........................................................................................................................................ 46 2. Hiérarchisation des risques ............................................................................................................ 47 3 L’audit de la protection des données personnelles à l’aune du GDPR B. L’EVALUATION DES RISQUES DANS LE CADRE DU GDPR ............................................................................... 47 1. Revue de conformité préalable ....................................................................................................... 48 2. L’analyse d’impact vie privée .......................................................................................................... 48 a) Les principes de l’analyse d’impact vie privée ....................................................................................... 48 b) L’analyse d’impact en pratique : comment s’articule une analyse d’impact ? .................................. 49 c) Retours d’expérience sur la démarche d’analyse des risques ............................................................. 53 III. LA MISE EN CONFORMITE AU GDPR ............................................................................................. 55 A. LES ACTEURS DE LA MISE EN CONFORMITE ................................................................................................... 56 1. La cartographie des acteurs ........................................................................................................... 56 2. L’audit des données personnelles .................................................................................................. 57 B. LA MISE EN ŒUVRE DU PROJET DE MISE EN CONFORMITE AU GDPR .............................................................. 59 1. Les enjeux de la mise en conformité .............................................................................................. 60 2. Approche méthodologique pour la conduite du projet de mise en conformité ....................... 60 C. GUIDE D’AUDIT, OUTIL TRANSVERSE POUR CONTROLER LE DISPOSITIF DE CONTROLE .................................... 66 CONCLUSION GENERALE .............................................................................................................................. 102 BIBLIOGRAPHIE ............................................................................................................................................ 104 GLOSSAIRE ................................................................................................................................................... 108 ANNEXES ...................................................................................................................................................... 111 4 L’audit de la protection des données personnelles à l’aune du GDPR REMERCIEMENTS Avant de débuter la lecture de ce mémoire, je souhaite remercier les personnes qui ont contribué, chacune à leur manière, à la réalisation et à l’aboutissement de ce travail. Je remercie Jacques Vera, directeur du master Audit et gouvernance des organisations, de m’avoir donné l’opportunité d’intégrer cette formation. Je remercie Danièle Audap, directrice adjointe de l’audit interne d’Engie, pour son suivi et son implication dans la réalisation de ce mémoire. Je remercie Jacques Perret, Correspondant Informatique et Libertés d’Engie, pour son aide précieuse. Je remercie également Leonie Marion, apprentie juriste données personnelles et Adelaide Paternoga, juriste données personnelles, de m’avoir accompagnée tout au long de la rédaction et de m’avoir permis d’enrichir mon travail. Je remercie Philippe D’arco, manager audit interne au sein du groupe Engie, pour ses conseils et son regard expérimenté. Je remercie, par ailleurs, toutes les personnes que j’ai pu rencontrer et avec lesquelles j’ai eu l’occasion d’échanger sur les enjeux de la protection des données personnelles et qui m’ont permis d’avoir une vision plus claire du sujet. Ainsi je souhaite remercier Jean-David Benassouli, associé PwC Risk Assurance & Advisory Services et Alix Guiges, directrice des Opérations chez Actecil, pour leurs connaissances techniques en matière de protection des données personnelles. Je remercie Mick Levy, directeur de l’Innovation Business chez Business&Decision et Jérôme Laval, responsable commercial chez Business&Decision, pour les réponses qu’ils ont accepté de m’apporter. Bonne lecture ! 5 L’audit de la protection des données personnelles à l’aune du GDPR INTRODUCTION « La donnée est au cœur de ce monde sans couture », c’est ce qu’a soutenu Isabelle Falque- Pierrotin, présidence de la Commission Nationale de l’Informatique et des Libertés (CNIL). Cette citation illustre parfaitement la place centrale des données. Elles sont aujourd’hui à l’épicentre des enjeux de conformité rencontrés à travers le monde, un monde profondément marqué par des cyberattaques de plus en plus fréquentes, nous rappelant à quel point les données personnelles sont une denrée convoitée. En 2013, Target, entreprise de grande distribution américaine, a été la cible d’un groupe de hackers qui lui ont dérobé les données personnelles de millions de clients. Les conséquences ont principalement été financières, de l’ordre de 250 millions de dollars. Mais plus grave encore ont été les conséquences suite au vol de données en 2015 du site Ashley Madison spécialisé dans les rencontres extraconjugales. Les hackers menaçaient de dévoiler l’identité et les données de l’ensemble des clients du site… Et l’attaque a entrainé une série d’évènements dramatiques dont 4 suicides (celui d’un pasteur ayant été confirmé) ou la démission de cadres dirigeants. Ces intrusions démontrent bien que les données sont aujourd’hui utilisées comme moyen de pression, leur valeur résident dans leur source : l’intimité de la personne désormais monétisée. A titre d’illustration, Facebook ne peut rester un service gratuit que parce que ses revenus proviennent des données personnelles monnayées des utilisateurs. Le Ponemon Institute, dans le cadre de ses études indépendantes, a évalué la valorisation du coût par donnée et par type d’incident. Ainsi, en 2017, le coût d’un dysfonctionnement informatique ou d’une erreur humaine représente 126 dollars par donnée compromise, celui d’une attaque malveillante, 156 dollars2. Et selon une étude du Boston Consulting Group datée de 2012, « The value of our digital identity », les données personnelles des européens représenteraient 330 milliards d’euros par an pour les organisations publiques ou privées. Ainsi si les données sont aujourd’hui valorisées, elles n’en doivent pas moins être protégées puisque le principe de libre circulation des données, reconnu par la directive européenne de 19953, les rend vulnérables. Et leur traitement, devenant un enjeu crucial, doit être encadré. Et pourtant les entreprises ne sont pas toujours conscientes des risques que peuvent aujourd’hui encourir les données et en particulier les données personnelles. Seules 7 % des organisations considèrent que la cybersécurité est un enjeu prioritaire. Et 17% des entreprises aujourd’hui ont mis en œuvre les facteurs clés de succès d’une approche de cybersécurité4. 2 Ponemon Institue, 2017 Cost of Data Breach Study: Global Overview, juin 2017 3 Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données 4 Deloitte, Enjeux Cyber, La face cachée de la cybersécurité, 2016 6 L’audit de la protection des données personnelles à l’aune du GDPR La protection des données personnelles représente pourtant un défi majeur auquel les entreprises doivent faire face et qui gagne du terrain depuis que la publication du Règlement Européen sur la Protection des Données5 a mis en évidence de nouvelles exigences. "La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental". C’est ce que rappelle dans son premier paragraphe le GDPR6 publié le 4 mai 2016 et applicable à compter du 25 mai 2018. C’est dire à quel point aujourd’hui les données personnelles intrinsèquement attachées à l’Homme doivent, du fait de cette nature particulière, faire l’objet d’une protection particulière. Ainsi il s’agira de s’interroger sur les enjeux de uploads/Management/ rispoli-nadege.pdf