Mirko Teroni,
Governance Risk Compliance Consulting Leader, Excellium

«The Privacy Office » est une nouvelle entité luxembourgeoise. Elle est née de la combinaison entre les compétences en IT et cybersécurité d’Excellium et l’expertise de LCM, Legal Consulting Management, cabinet de conseil juridique spécialisé depuis 10 ans dans la protection de la donnée personnelle. Ensemble, ils entendent relever avec pragmatisme les nouveaux défis que rencontrent les entreprises en matière de respect de la Réglementation Générale sur la Protection des Données Personnelles (GDPR). Par Sebastien Lambotte, Itnation mag, mars 2017. 

« Le nouveau Règlement général sur la protection des données doit être appréhendé sous de nombreux angles. Principalement, il faut agir sur le plan juridique, organisationnel et renforcer, au niveau technique, les mesures prises en matière de cybersécurité », Sabine Mersch, juriste, experte dans le domaine de la protection de la donnée depuis plus de 10 ans. Or, rares sont les acteurs aujourd’hui capables d’accompagner les organisations dans une démarche globale et pragmatique. De manière générale, on trouve des conseillers juridiques ou consultants d’une part et des experts techniques, en cybersécurité notamment, de l’autre. « Il est difficile de réunir les compétences nécessaires pour appréhender la problématique dans son ensemble au sein d’une même équipe », Mirko Teroni, Governance Risk Compliance Consulting Leader au sein d’Excellium, acteur luxembourgeois spécialisé dans le domaine de la cybersécurité. 

Les deux font la paire

Sur base de ce constat, Excellium et l’équipe de Sabine Mersch ont souhaité allier leurs forces, dans le but d’accompagner avec pragmatisme  les organisations face au défi que représente GDPR. A cette fin, ils ont créé une nouvelle structure baptisée « The Privacy Office ». « D’une part, l’expertise juridique permettra d’accompagner les acteurs dans la redéfinition de leur politique et de leur gouvernance en matière de gestion et de protection de la donnée, ainsi que de leur l’organisation. D’autre part, les compétences d’Excellium garantiront de mettre en œuvre toute la dimension technique, en matière de data management, mais aussi de protection et de sécurisation des systèmes et de la donnée, assure Mirko Teroni. L’alliance de toutes ces compétences au sein d’une même équipe permettra d’appréhender les enjeux individuels, en s’assurant que les nouvelles politiques envisagées pourront être mises en pratique de manière optimale. »

Un DPO externalisé

Pour se mettre en conformité, les acteurs n’ont affaire qu’à un seul interlocuteur, capable de les accompagner et de répondre à tous leurs besoins. « Nous avons choisi de créer une société indépendante, s’appuyant sur les compétences de chacun, avec la création d’une équipe autonome », assure Sabine Mersch. A moyen terme, The  Privacy Office pourra assurer le rôle de Délégué à la protection des données (Data Protection Officer ou DPO), que notamment les sociétés dont les activités de base consistent dans la gestion de données sensibles à grande échelle, seront contraintes de mettre en place. « Le rôle du DPO est notamment d’assurer le contrôle et la supervision des prescrits réglementaires en matière de protection des données personnelles », assure Sabine Mersch. Pour bien faire, il exige des compétences juridiques et de management, mais aussi de bonnes connaissances techniques, permettant de veiller à la maîtrise de l’information. «Autrement dit, un mouton à cinq pattes. A l’heure actuelle, aucune formation ne rassemble l’ensemble des compétences idéalement requises. D’autre part, beaucoup ne pourront pas se permettre d’embaucher une personne pour assumer cette fonction. C’est pourquoi le Règlement autorise d’externaliser cette fonction », précise Mirko Teroni. The Privacy Office sera organisé pour répondre aux nouvelles exigences légales, de la mise en conformité de l’organisation dans son ensemble, avec l’établissement d’une politique et d’une gouvernance de gestion de la donnée et à sa mise en œuvre concrète, à l’établissement de standards « privacy by design » pour tout nouveau traitement.

Sabine Mersch,
Juriste, Excellium

Clarifier la responsabilité en cas de sous-traitance

L’alliance des compétences techniques et juridiques est aussi essentielle pour s’assurer que les traitements des données externalisés sont sécurisés. GDPR établit une responsabilité partagée entre le responsable du traitement, soit l’entreprise qui collecte et exploite les données, et ses sous- traitants en charge d’en assurer le traitement. « Pour l’entreprise, comme le sous-traitant, il s’agit de sécuriser les risques. Par voie contractuelle, l’exploitant doit s’assurer du niveau de service et d’exigences de son sous-traitant vis- à-vis de ces enjeux », assure Sabine Mersch. Il s’agit de se prémunir, de part et d’autre, de risques éventuels en cas de non-respect par une partie en présence des nouveaux prescrits. « Pour chaque sous-traitance de traitement, il faut veiller juridiquement à transmettre la responsabilité là où elle se trouve, précise Sabine Mersch. Or, on constate que généralement, 95% des traitements externalisés ne font pas l’objet d’un contrat de sous-traitance adapté. »

Une meilleure maîtrise de son environnement

Au-delà de la protection juridique à mettre en œuvre, l’entreprise devra démontrer qu’elle a pris toutes les mesures qui s’imposaient en matière de protection des données. Cela requiert une plus grande maîtrise de son environnement système, pour s’assurer de la localisation des données, pour la détection des menaces… « GDPR implique, au regard des différents traitements et des risques, une obligation de moyens. Compte tenu de la sensibilité des données, de l’exposition à la menace, l’entreprise doit mettre en œuvre les moyens adéquats et raisonnables pour réduire la menace dans toute la mesure du possible. Sans quoi, elle sera passible des sanctions du régulateur », assure Mirko Teroni.

Former et sensibiliser

Sabine Mersch et son équipe ont à leur actif plus de dix ans d’expérience dans le domaine de la protection des données. «Au moment où le Règlement a été voté, nous discutions ensemble depuis plus d’un an déjà, pour envisager la meilleure manière d’accompagner nos clients respectifs dans leurs démarches de mise en conformité et de suivi, assure Mirko  Teroni. Aujourd’hui, au moment où tout le monde se réveille face à ces enjeux, nous sommes les plus à même d’accompagner cette transition. » Dès à présent, la société accompagne des clients et développe un volet formation. Celui-ci connaît un vif succès, tant auprès de leurs partenaires que des clients finaux. « L’enjeu principale reste aujourd’hui de sensibiliser tous les acteurs au traitement responsable de la donnée », assure Sabine Mersch.