350 participants, une quinzaine d’exposants et l’intervention de personnalités prestigieuses comme l’ancienne commissaire européenne Viviane Reding. Voilà le bilan de la 3^e édition des Luxembourg Data Protection Days, coorganisés cette année avec la Chambre de Commerce. Un lieu particulièrement bien adapté à des manifestations de ce genre, et qui pourrait devenir le cadre privilégié de l’événement. « Il est clair qu’il s’agit d’un partenaire de référence à Luxembourg, qui est bien situé dans la ville. Cela renforce l’attractivité de l’événement : les gens se déplacent plus facilement là qu’ailleurs. L’augmentation de la fréquentation de 20% sur cette 3^e édition le prouve », analyse Mélanie Gagnon, CEO de MGSI, l’organisateur des LDPD.

Une responsabilité collective

Bien entendu, c’est également le programme concocté par les organisateurs qui a séduit le public. L’objectif des LDPD version 2019 était principalement d’évaluer concrètement comment les entreprises se sont adaptées à la nouvelle donne du RGPD. Mais aussi de donner des pistes concrètes à celles qui ont encore du travail à abattre pour se mettre en conformité. Pour ce faire, plusieurs DPO (Data Protection Officer) – une fonction devenue obligatoire dans un bon nombre d’entreprises suite à l’entrée en l’application du RGPD – ont livré leur retour d’expérience sur ces 12 premiers mois d’existence de la réglementation européenne. Stéphane Omnes (POST), Marie-Claire Pettinger (Le Foyer) ou encore Paolo Sinibaldi (EIF) ont notamment exposé leur méthode pour s’assurer que leurs traitements de données à caractère personnel respectent le RGPD. Il ne faut pas oublier que le RGPD n’est pas seulement l’affaire de quelques spécialistes de l’entreprise, mais doit être intégrée par l’ensemble des collaborateurs. Chacun doit en effet se sentir responsable du respect des données traitées par l’entreprise.

Des violations de données dues à des erreurs

Le caractère collectif de la responsabilité par rapport au respect des données personnelles en entreprise a également été souligné, indirectement, lors de la table ronde consacrée à la violation de données à caractère personnel. Au cours de celle-ci, on a pu apprendre qu’une majorité des violations de données qui ont eu lieu entre le 25 mai et le 31 décembre étaient dues à des erreurs humaines (57%). Ainsi, dans 49 cas sur 148, des données personnelles ont été envoyées par erreur à la mauvaise personne. Les violations mal intentionnées – phishing (10 cas), perte ou vol d’appareils de stockage de données (14) ou hacking (34) – ne représentent donc qu’une minorité des événements survenus au cours des six premiers mois de l’entrée en vigueur du RGPD. Il convient donc de mettre en place les bonnes procédures pour notifier les autorités en cas de violation de données, mais aussi de former et sensibiliser ses équipes pour réduire les risques d’incidents involontaires. Au final, la mise en conformité au RGPD peut être un vecteur de confiance, qui renforce la solidité de la relation entre l’entreprise et ses partenaires.

Le retour de la CNPD

Ces chiffres, fournis par la CNPD (Commission Nationale pour la Protection des Données), font partie du bilan chiffré exposé par Tine Larsen, présidente de la Commission, lors de la première journée des LDPD. Evidemment, l’entrée en vigueur du RGPD a considérablement augmenté le nombre de demandes reçues par l’institution : demandes d’informations (+110% en 2018 par rapport à 2017), réclamations (+125%), avis rendus par la CNPD (+343). La CNPD a également rappelé les attentes importantes des entreprises par rapport à son outil de certification CARPA, qui permettrait aux responsables de traitements des sociétés et à leurs sous-traitants de voir leur respect du RGPD certifié par des organismes reconnus.

L’intérêt pour cet outil est lié à un constat : si le RGPD est aujourd’hui mieux connu, beaucoup d’entreprises ignorent encore quelles sont les démarches concrètes à mettre en place pour se mettre en conformité . Nul doute que les Luxembourg Data Protection Days contribueront encore, dans les prochaines années, à leur fournir des réponses à ce niveau.

A PROPOS DE MGSI

MGSI est une société de conseil établie au Canada et au Luxembourg, spécialisée dans la protection des données à caractère personnel et la sécurité de l’information. MGSI accompagne les organisations dans leur mise en conformité avec le Règlement Général sur la Protection des Donnés (RGPD) en apportant son expertise juridique, organisationnelle et technologique à travers des missions d’audit, de support et de conseil sur mesure. Organisme de formation agréé, partenaire officiel de l’IAPP, MGSI propose une offre de formations certifiantes et thématiques. Pour vous inscrire, rendez-vous sur www.mgsi.lu/formations.