« Plus l’entrée en vigueur du RGPD approche, plus les entreprises risquent d’être confrontées à des demandes de retrait de consentements », avertit Marine Brogli, fondatrice de la société DPO Consulting. Avant de collecter des données personnelles, le responsable de traitement - ou son sous-traitant - devra veiller à recueillir le consentement de la personne pour être en conformité avec le règlement européen. Comment gérer ces consentements ? Une question à laquelle les intervenants conviés au colloque organisé par DPO Consulting, le 8 février, ont tenté de répondre.
« Le consentement est multiple. La personne concernée pourra le donner, le retirer puis le rendre au responsable de traitement ou au sous-traitant », rappelle avant toute chose, Florian Godde, data privacy project advisor chez DPO Consulting. Le principal enjeu sera donc d’être en mesure de prouver que le consentement a bien été donné, et de garder la trace de son retrait.
Au sein d’un groupe, la première question est de savoir si la gestion des consentements doit être réalisée au niveau de la maison-mère ou de chaque filiale. « Les responsables de traitement doivent disposer d'une gestion centralisée », recommande Frédéric Lepert, sales director chez Fis Global. Privilégier la maison-mère donc, point unique qui concentrera l’ensemble des consentements relatifs aux données traitées par le groupe. Cela permettra notamment de remédier au problème de « dilution des données personnelles », explicité par Arnaud Belleil, directeur associé chez Cecurity.com. La principale difficulté réside, selon lui, dans le fait qu’il est parfois impossible de savoir où se trouvent les données. « Par exemple, un collaborateur envoie un fichier en pièce jointe à 500 destinataires. Avant de détruire les données contenues dans ce fichier, il va déjà falloir retrouver leur emplacement », poursuit le dirigeant.
La seconde étape va consister à définir le cycle de vie de la donnée personnelle. Lorsqu’une personne demande le retrait de ses données, le responsable de traitement va pouvoir la conserver, ou plus exactement l’archiver, pour un besoin de preuves. Durant cette « période d’archivage intermédiaire », la donnée ne sera plus accessible par tout un chacun, mais uniquement par un nombre restreint de personnes habilitées.
« Mais la durée de conservation de la donnée est difficile à traduire d'un point de vue organisationnel », soulève Cyril Domercq, consultant à la Société Générale. Fabien Vannier, head of data management chez Axa Partners, conseille de réunir tous les opérationnels autour d’une même table afin de déterminer la durée de conservation pour chaque donnée. « Selon la taille de l’entreprise, le pays et l’industrie, les obligations de durée de conservation diffèrent : banque, finance, comptabilité, fiscalité, etc. », explique Fabien Vannier. Chaque donnée peut avoir ses propres contraintes, et celles-ci ne sont pas forcément conciliables. Analystes financiers, direction des risques, juristes, DPO, etc. « L'ensemble des compétences clés doit donc être réuni afin de définir une stratégie de gestion des risques ».
Mais au final, il reviendra au « chef d’orchestre » du RGPD, le DPO, de définir la période maximale de conservation des données, estiment Fabien Vannier et Arnaud Belleil. « Le DPO a par nature la culture de la sélection. Il devra travailler main dans la main avec la personne chargée de l’archivage des données personnelles. Ils seront des alliés naturels », conclut le dirigeant de Cecurity.com.