!css

Protection des données : y-a-t-il une nouvelle police ?

Au début, quand les données personnelles ont été numérisées, elles étaient accessibles de partout et par n’importe qui. Le changement créera toujours des comportements abusifs. Peu de temps après sont apparus les chantages et les vols de données — sous la forme de « ransomware » ou au travers de failles de sécurité. Ils ne sont pas toutes rendus publics ou rapportés aux autorités, et quand cela est fait, c’est souvent avec du retard… Pour affronter ces questions de sécurité, la Commission Européenne a créé un bouclier de sécurité pour la population, comme elle l'a déjà fait avec des réglementations comme MiFID II, IDD, PRIIP, PSD2, etc. Il y a une nouvelle police !

RGPD, la réponse législative européenne

 

Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur, avec une nouveauté importante par rapport aux réglementations précédentes : toutes les entreprises et toutes les catégories de personnes sont concernées. Si le secteur des GAFA est bien entendu visé, les entreprises industrielles et de services le sont également, qu'elles soient internationales ou locales. Concernant les personnes dont les données sont collectées, les clients et les employés viennent naturellement à l’esprit, mais le RGPD vise également à protéger les données personnelles des prospects, des anciens employés, des candidats, des représentants légaux, etc.

 

… qui se donne les moyens de ses ambitions !

 

Quels sont les objectifs de ce règlement ?

Renforcer, bien entendu, les droits des personnes concernées, mais aussi rendre les organisations plus responsables, y compris les sous-traitants, et finalement standardiser les pratiques au sein de l’Union Européenne.

Avec quels moyens ?

Les amendes administratives encourues en cas de violation des données peuvent atteindre 4 % du chiffre d'affaires mondial du groupe (ou 20 millions d'euros pour les organisations à but non lucratif). À titre de comparaison, l’amende maximale pour violation des données personnelles avait été fixée en France à 150 000 euros.

 

D’accord, mais les banques protègent déjà les données !

 

Oui. Et l’écart, a priori, ne semble pas si important (du moins en France) : le RGPD repose à 90 % sur la loi française « Informatique et libertés » de 1978. Nous avons de la chance ! Toutefois, un examen approfondi révèle une situation moins idéale si l'on considère l’étendue des tâches à accomplir :

respect des droits de la personne concernée, mise en place de mesures de sécurité et adaptation des organisations autour du Délégué à la Protection des Données (DPD),

pour ne mentionner que les points principaux.

 

Alors, tout va bien ?

 

Pas si vite !

Le RGPD couvre différents droits : les droits d’accès, d’opposition, de rectification, le droit à la limitation du traitement, à l’oubli, ainsi que le nouveau droit à la portabilité des données. Si les premiers droits sont généralement respectés (accès, limitation, opposition, limitation), les organisations les gèrent essentiellement à partir de procédures manuelles : il s’agit donc de s’assurer que les traitements sont documentés et d’évaluer la pertinence d’une éventuelle automatisation, peut-être partielle,  de certains d’entre eux, en fonction des volumes constatés et anticipés. Rien qui ne soit irréalisable, en vérité, même si le droit d'accès peut s'avérer complexe à mettre en œuvre compte tenu du périmètre des données personnelles à communiquer à la personne concernée.

 

Dans ce cas, quel est le problème ?

 

En réalité, respecter le droit à l’oubli et le droit à la portabilité des données soulève des problèmes informatiques ardus. Si vous demandez à un DSI de purger ses bases de données, il mentionnera probablement le manque de référentiel de données, la complexité du SI, le manque de contrôle sur la propagation des données et les interdépendances entre les différentes bases ainsi que le risque systémique pesant sur le SI, etc. Les organisations doivent analyser cette question épineuse avec soin et prendre le temps d'identifier les stratégies possibles.

Le règlement inclut effectivement le droit à l'oubli, que l’anonymisation (à ne pas confondre avec la pseudonymisation) peut permettre d’obtenir, tout comme parfois la conteneurisation (ou ségrégation des données), etc.

Quant à la portabilité des données, elle s’avère problématique car le périmètre des données susceptibles d’être transférées n’est pas encore défini !

 

Quid de la protection des données et de la cybersécurité ?

 

Les mesures de sécurité devraient être plus faciles à mettre en œuvre… pour les entreprises d’une certaine taille. Ces entreprises ont généralement des Responsables de la Sécurité des Systèmes d’Information (RSSI), véritablement concernés par la protection des données en général, et non uniquement par la protection des données personnelles. Certaines entreprises disposant aussi du statut de Prestataires de Services Essentiels Externalisés (PSEE) sont déjà bien équipées pour gérer les risques informatiques, notamment en matière de lutte contre la cybercriminalité. Les évaluations des risques devront être plus approfondies, mais cela devrait aller !

 

Que reste-t-il à faire ?

 

Enfin, les entreprises doivent adapter leur organisation autour du DPD, une tâche qui pourrait inclure toutes les autres exigences du règlement : gouvernance RGPD ; obligation d’information ; formalisation de la protection de la vie privée dès la conception et par défaut ; risques liés au traitement des données ; mise à jour des normes, procédures, plans de contrôles et formations. Ces domaines doivent être développés, mais pas nécessairement en partant de zéro : l’organisation existante peut être enrichie pour devenir conforme au RGPD.

 

Finalement, sommes-nous prêts ?

 

Loin de là, mais une approche des risques documentée est nécessaire. Pourquoi documentée ? En cas de contrôle effectué par l’Autorité de Supervision, l’entreprise doit être en mesure de prouver que sa feuille de route de conformité est clairement définie et que les ressources nécessaires ont été allouées afin de justifier les horizons de conformité respectés par le marché : mai 2018, fin 2018 et fin 2019.

Si vous êtes petit, ils seront tolérants, mais si vous êtes gros… attachez votre ceinture !