L’Organisation internationale de normalisation (ISO) a publié en 2019 les conditions de la mise en place d’un système de management de la protection des données à caractère personnel sous la forme de la norme ISO 27701. Cette norme s’appuie sur le système de management de la sécurité de l’information décrit dans la norme ISO 27001. En 2017, la British Standards Institution (BSI) a adapté sa nome BS 10012 sur la base de la législation RGPD qui venait d’être publiée. Ces deux normes sont fondées sur la conviction qu’un système de management peut contribuer à un traitement correct des données à caractère personnel.
Caractéristiques
Pour ceux qui ne connaissent pas les tenants et aboutissants d’un système de management, voici quelques caractéristiques qui aideront à comprendre le concept. Un système de management est un ensemble logique et cohérent d’accords et de procédés faisant en sorte qu’une organisation et ses collaborateurs font ce qui est nécessaire pour réaliser les objectifs de l’entreprise – par exemple la conformité au RGPD. Un tel système permet d’avoir un aperçu des risques et des possibilités d’amélioration des activités liées au RGPD. Un système de management assure la maîtrise des processus internes et externes grâce à des activités de contrôle et des mesures et est garanti par la conservation et la mise à jour d’informations documentées. Autrement dit, le déploiement de l’implémentation RGPD sur la base d’un système de management permet à l’organisation de mieux contrôler, mesurer et faire l’audit de sa conformité.
Exemple
Un exemple concret permettra d’y voir plus clair. Le RGPD prescrit qu’un registre des activités de traitement doit être tenu. Ce registre peut être considéré comme une sorte de carte géographique sur laquelle figurent tous les traitements de données à caractère personnel. Lorsqu’un tel registre est établi dans le cadre d’un système de management, il faudra également réfléchir (entre autres), en plus du registre, à la personne qui en est responsable, à la manière dont l’exhaustivité du registre doit être contrôlée, aux garanties qui existent pour tenir le registre à jour, et ainsi de suite. Tous ceux qui sont impliqués dans le processus sont conscients des tâches et responsabilités qui leur incombent dans ce cadre. Lorsque l’organisation constate que des problèmes se posent au niveau du registre, comme l’absence de mention de certaines activités de traitement, la méthode actuelle sera examinée d’un œil critique et éventuellement adaptée.
Un système de management offre donc un cadre pour implémenter le mieux possible toutes les obligations liées au RGPD. Mieux encore, on peut le faire évaluer par un auditeur qui, se basant sur des critères issus de normes telles que la norme ISO 27701, constate que tout se passe de manière conforme. Cet auditeur peut même, sous certaines conditions, délivrer un certificat.
Point de vue juridique
Un tel système de management n’offre bien entendu aucune garantie d’un point de vue juridique. Il est toujours possible qu’une organisation qui a implémenté un système de management de qualité se voit encore infliger une amende en raison de non-conformités. Le service d’inspection de l’Autorité de protection des données peut ainsi constater qu’une activité de traitement est inscrite dans le registre, mais qu’elle est disproportionnée ou illégale. Supposez par exemple que votre entreprise, dans le cadre de l’épidémie de Covid-19, fasse installer une caméra thermique à l’entrée du bâtiment. La caméra ne conserve pas d’images mais procède seulement à des mesures. Vous avez tenu compte, pour l’installation de la caméra, de toutes les conditions requises pour agir conformément au RGPD, et avez respecté toutes les obligations en la matière, comme l’enregistrement dans le registre des activités de traitement, la réalisation d’une analyse d’impact relative à la protection des données, la protection des données dès la conception, etc. Vous avez selon vous respecté toutes les exigences légales.
L’auditeur, qui est passé à l’occasion d’un contrôle annuel, n’a formulé aucune remarque et a noté votre implémentation comme conforme. Il a en effet jugé que le système de management fonctionne. La Chambre Contentieuse de l’Autorité de protection des données a toutefois jugé que l’installation de la caméra thermique n’était pas conforme en l’absence d’une base légale correcte. Un bon système de management ne garantit donc pas un traitement correct des données à caractère personnel. Attention : le système de management génère une plus-value importante pour implémenter les principes du RGPD d’une manière qualitative.
Conclusion
Implémenter et contrôler vos obligations RGPD au moyen d’un système de management est donc une bonne idée, mais ce n’est pas la panacée. Prenez garde, dans le cadre d’un audit par exemple, à ne pas seulement prendre le système de management (ou ses principes) en compte. Une évaluation complète passe également les principes juridiques en revue d’un point de vue expert. Une véritable plus-value est autrement dit un audit qui n’examine pas seulement le système de management. L’auditeur RGPD doit donc aussi de préférence s’y connaître dans le domaine du RGPD et pas seulement dans celui des systèmes de management.