vignette RGPD Cybersecurité

La protection des données personnelles maintenant à l’échelle Européenne.

Avez-vous entendu parler du « RGPD », le Règlement Général sur la Protection des Données ?

(en Anglais GDPR : General Data Protection Regulation)

Non ? alors accrochez-vous, parce que cela vous concerne….

Le RGPD est un règlement Européen qui va venir remplacer – en la renforçant – notre bonne vielle loi Informatique et libertés de 1978, et ses nombreux amendements. Toutes les entreprises et collectivités des 28 pays de l’union devront être en conformité avec ce texte au plus tard le 25 mai 2018.

Avant de voir en ce qui change, posons le décor…

Si vous êtes expert en droit Européen et/ou si la CNIL n’a pas de secret pour vous, vous pouvez sauter ce chapitre. On se retrouve plus loin…

D’abord, la différence entre une directive Européenne et un règlement Européen…

EP logo RGB_Mute

Très simple : Une directive doit être transposée en lois nationales, autrement dit passer par le processus législatif propre à chaque pays de l’union. Un règlement, quant à lui, est applicable directement, sans transposition. Pas de lois supplémentaires ni de vote…
Donc, dans le cas qui nous occupe, l’Europe a pris le temps de la réflexion, mais veut aller vite dans l’application…

Maintenant, qu’est-ce qu’une donnée à caractère personnel ?

Sans reprendre à la lettre le texte de la loi (plutôt tarabiscoté…) retenons qu’une donnée à caractère personnel est une information qui permet d’identifier directement ou indirectement une personne physique : noms/prénoms, évidemment, mais aussi matricules, numéros de comptes, identifiants, photos, vidéos, etc… Même l’adresse IP gérée par un fournisseur d’accès est une donnée personnelle, en ce sens qu’elle permet de remonter jusqu’à son utilisateur. Dans le RGPD, le terme « personnes concernées » s’applique au personnes physiques dont les données à caractère personnel font l’objet d’un traitement.

Pourquoi la loi protège nos données à caractère personnel ?

Parce que nos données nous appartiennent, qu’elles nous relient à notre vie privée, et qu’en même temps elles sont dupliquées, détenues, traitées, conservées par des entreprises et des collectivités… Ces entreprises et collectivités ont donc des comptes à rendre, même si les traitements sont justifiés par l’intérêt général ou le service rendu.

Quels sont les principes que doit respecter une entreprise/une collectivité qui traite des données à caractère personnel ?

Ces principes ont été posés dès la fin des années 70, par la loi « Informatiques et libertés ». Ils sont repris pratiquement à l’identique dans le nouveau RGPD.

  • La finalité :  La finalité du traitement doit être connue, transparente et légitime, et ne peut pas changer en cours de route.
  • La minimisation : Seules les données strictement nécessaires peuvent être collectées.
  • L’exactitude : Les données doivent être exemptes d’erreur ou d’altération.
  • La limitation de la conservation : Les données ne doivent pas être conservées au-delà de ce qui est nécessaire.
  • Garantir les droits des personnes : Les personnes doivent être informées du traitement et y consentir. Elles disposent de droits d’accès, de rectification et d’oubli.
  • La sécurité : Les données à caractère personnel doivent être protégées contre les pertes, altérations, divulgations.

Voilà. Tout est dit, ou presque.

Etre en conformité avec le RGPD c’est respecter ces principes…

Vous êtes tous là ? Poursuivons :

Puisque tout était déjà dans la loi actuelle, pourquoi changer ?

Pour renforcer

Jusqu’à présent – du moins en France – bien souvent la mise en conformité se traduisait par des « déclarations CNIL », purement bureaucratiques. La CNIL est (était ?) connue comme une autorité d’enregistrement, d’information et de conseil. Seules les dérives concernant les données très sensibles ou les réclamations justifiées des personnes physiques, faisaient l’objet de rappels, d’injonctions, voire de condamnations. Et encore, celles-ci étaient peu dissuasives… Ça va changer, on va le voir…

Pour harmoniser

Parce qu’il est (était ?) facile pour un « responsable de traitement » (on définira ce terme un peu plus tard…) de jouer sur la territorialité des lois et ainsi passer sous les radars… C’est tout l’intérêt d’un règlement par rapport à une directive !

Parce que la data ne connait pas de frontières

Ça, c’est vraiment nouveau : tout traitement opéré sur le territoire de l’Union devra être conforme au RGPD, même s’il concerne des personnes hors UE. … Et ça marche aussi dans l’autre sens : tout propriétaire de traitement ou sous-traitant installé hors de l’Europe qui traite des données de personnes localisées dans l’UE doit se conformer au RGPD (suivez mon regard…)

Ce qui va changer

Bon maintenant que vous êtes chaud, on y va…

De la « bureaucratie » à la « conformité démontrée »

Le rôle de la CNIL va changer. D’une autorité d’information et d’enregistrement elle va devenir une « autorité de contrôle ». Ses pouvoirs seront renforcés. Finie les « déclarations CNIL » (sauf exceptions). Mais en contrepartie, chaque entreprise devra être capable de démontrer que ses traitements de données à caractère personnel sont conformes aux principes énoncés plus haut. Cela passe notamment (mais pas que) :

  • Par la tenue d’un « registre des traitements de données à caractère personnel » (pour les entreprises et collectivités de plus de 250 collaborateurs)
  • Par la mise en œuvre proactive du droit des personnes concernées (là encore, sauf exceptions), c’est à dire : la collecte explicite et éclairée du consentement, le droit effectif à la rectification et à l’oubli, la portabilité, …
  • Par la démonstration que les « décisions automatisées » (ex : calcul d’une prime de complémentaire santé) ne portent pas préjudice aux personnes.
  • … et bien d’autres choses encore (le texte de loi en lui-même fait 80 pages…)

La « conformité par défaut »

Vous entendrez souvent l’expression « Privacy by design ». Il s’agit d’intégrer les questions de confidentialité et de conformité des traitements dès la phase de conception des produits et services. Pour Tibco et ses clients, par exemple, cela signifie que les nouveaux projets d’infogérance ou les nouvelles offres de service devront envisager ces questions dès le départ et tout au long du cycle de vie du projet. Aucune entreprise ou collectivité ne pourra plus dire après coup « je ne savais pas »… sauf à risquer de lourdes amendes, comme on va le voir.

L’implication des sous-traitants

La sous-traitance et l’externalisation des services étant maintenant une pratique généralisée, le nouveau RGPD distingue nettement les « propriétaires de traitement », qui restent responsables in fine, et les éventuels « sous-traitants » qui réalisent effectivement tout ou partie des traitements sous contrôle des premiers.

Le « Délégué à la Protection des Données » (DPD)

(ou « DPO » : Digital Protection Officer »). C’est la personne qui aura pour principales missions :

  • De veiller à la conformité des traitements au regard du RGPD
  • De conseiller les « responsables de traitement » (Nb : le DPD ne peut pas être lui-même un responsable de traitement. Il y aurait alors conflit d’intérêt).
  • D’être le point de contact vis-à-vis de l’autorité de contrôle (CNIL) et des « personnes concernées ».

Rien de fondamentalement nouveau, donc. Dans notre droit national, il existait déjà un « Correspondant Informatique et Libertés », exerçant déjà peu ou prou ce rôle. Mais voyons quand même ce qui va changer :

  • Le DPD voit ses pouvoirs renforcés et son indépendance garantie (le RGPD est particulièrement attentif à la notion de conflit d’intérêt).
  • La nomination d’un DPD sera obligatoire dans certains cas : Collectivités publiques, Entreprises réalisant des traitements à grande échelle, Entreprises traitant des données sensibles (médicales ? juridiques ?).
  • Le texte prévoit qu’un DPD pourra être mutualisé, voire faire l’objet d’un contrat de prestation

L’obligation de notification

Là non plus, rien de nouveau : Toute entreprise ou collectivité à l’obligation de notifier les personnes concernées et la CNIL en cas de constat d’une violation de la protection des données à caractère personnel. Ce qui change, c’est le montant des amendes en cas de manquement…

Le renforcement des sanctions

(J’ai gardé le meilleur pour la fin).

Pour bien montrer que « ça ne rigole plus », le montant maximum des amendes prévues saute carrément d’un ordre de grandeur : on passe de 150K€ € à 20M€ ou 4% du CA mondial de l’entreprise. Il s’agit évidemment de montants maximum, correspondant aux cas avérés les plus graves. On est dans un état de droit, quand même…

Pour bien comprendre, quelques exemples de situations passibles d’une condamnation : Défauts d’exactitude et de confidentialité dans les traitements

  • Défauts dans la conception de la confidentialité et de l’exactitude
  • Absence de notification en cas de violation
  • Absence de registre des traitements (entreprises et collectivités de + de 250 personnes)
  • Non désignation d’un délégué dans les cas où il est obligatoire
  • Non-respect des principes essentiels
  • Infractions aux règles du consentement
  • Infraction aux règles des transferts de données hors UE

Quoi faire maintenant ?

15 mois d’ici le 25 mai 2018. C’est long et c’est court… On peut faire l’autruche et attendre de voir, ou s’engager dès maintenant pour gagner en sérénité le moment venu :

  1. Faire un état des lieux : Dresser un premier inventaire macroscopique de vos traitements de données à caractère personnel :
    • Fichiers internes (fichier client, paie, annuaires internes, etc…)
    • Activités métiers en contact direct avec les « personnes concernées », pour lesquelles vous êtes probablement « propriétaire de traitement ».
    • Activités métiers qui traitent des données appartenant à vos clients (entreprises ou collectivités), pour lesquelles vous êtes probablement en position de « sous-traitant » .
    • Transferts de données hors UE
  2. Sensibiliser votre direction : la mise en conformité est une démarche transversale à toute l’entreprise ou la collectivité, qui sera perçue comme une contrainte, sans valeur ajoutée. La direction doit comprendre les enjeux, estimer les risques, faire de cette contrainte une opportunité, et ainsi garantir l’appui nécessaire à celui ou celle qui portera le projet.
  3. Sécuriser votre démarche : Impliquer votre service juridique et/ou vos conseils juridique. Eux sauront « lire entre les lignes », comprendre finement votre contexte et vous aider à bâtir une réponse adaptée.
  4. Préparer un plan de mise en conformité : Ebaucher un plan de mise en conformité, afin de s’approprier les grands principes du RGPD : nommer un DPD ou pas ? identifier au cas par cas les actions de mise en conformité.
  5. Se documenter : On trouve énormément de littérature sur le sujet sur le net. A l’heure actuelle tout le monde se cherche, explore et « construit en marchant ». Le plus simple est d’entrer en contact avec la CNIL pour bénéficier de ses ateliers, outils, méthodes, publications, formations, etc…

TIBCO_Alain_Bourgeteau

Un article rédigé par Alain BOURGETEAU, RSSI

La sécurité de vos systèmes d’information, c’est important. Parlons Cybersécurité, contactez-nous !

Pour en savoir plus,

Illustration : Albane DOUSSIN

Laisser un commentaire