AGEFI, January 2017

Quand la vie privée devient un sujet public...

  • Share

L'Union européenne (UE) responsabilise les organisations sur la gestion des données privées.

Dans le monde numérique actuel et la course à la concurrence, les organisations utilisent les données sociales et mobiles, les megadonnées, l’analytique, et l'Internet des objets (IdO) pour recueillir autant d'informations que possible sur leurs clients, tout en essayant simultanément de se protéger contre les cyber-attaques qui viennent aussi bien de l'extérieur que de l'intérieur. Dans cet environnement, la protection de la vie privée peut avoir une priorité plus faible, et se trouver intégrée à des programmes de sécurité de l'information uniquement de manière ponctuelle. Au pire, certaines organisations ne pensent pas du tout à la protection de la vie privée. Depuis des années, les organismes de tutelle et les commissions en charge de protection de la vie privée à travers le monde ont tenté d’édicter des règles et de développer des normes de protection de la vie privée, comme la « Protection des données dès la conception (PbD) ». Cependant, même si ces instances ont poussé à la responsabilisation, de nombreuses organisations ont longtemps considéré ces mesures comme optionnelles. Elles se sont contentées de répondre à la lettre de la loi sans se conformer à son esprit. Elles ont respecté des obligations minimales de conformité sans assumer la responsabilité de leur rôle dans la protection des informations de leurs clients ou de leurs employés. Avec l'introduction du Règlement général sur la protection des données (RGPD), et ses implications pour les organisations à travers le monde, cette approche n’est plus de mise. Le RGPD de l'UE remet la charge de la protection de la vie privée là où elle devrait l’être - entre les mains des organisations qui collectent, stockent, analysent et gèrent les informations d'identification personnelle.

 

Il est temps de s'approprier les bonnes pratiques en matière de protection de l'information

Les jours du laissez-faire, ou de la politique ad hoc de protection de la vie privée sont sur le point d'arriver à terme. Avec le RGPD, les organisations devront maintenant prendre en main leurs pratiques en matière de gestion de l'information, rendre compte de tous les risques associés à la vie privée dans l'entreprise, et cela dans le cadre de leurs activités, et être en mesure de prouver la conformité de leurs programmes. Cela risque de coûter cher. L'impact du RGPD se fera sentir dans le monde entier pour deux raisons importantes:

  • Le règlement s'applique aux informations personnelles des résidents de l'UE indépendamment du lieu de traitement.
  • Une plus grande cohérence dans l'application des exigences en matière de protection de la vie privée, associée à une attention accrue portée aux « règles d'entreprise contraignantes » (BCR), est maintenant susceptible de devenir la norme pour les grandes organisations. Il faudra maintenant passer par ces contrats cadre régissant l’échange de données personnelles.

Pendant trop longtemps, la protection des données privées n’a été qu’un exercice ponctuel d’analyse d’écart avec les règles formelles édictées par les régulateurs. Bien que cette mentalité axée sur la conformité ne quitte pas complètement le domaine de la protection de la vie privée, nous sommes plus susceptibles de voir l'attention des professionnels de la protection de la vie privée se recentrer vers l'efficacité de la gestion de l'information. Afficher des règlements et des politiques est certes important, mais sans un contrôle réel de leur mise en œuvre par des mesures techniques et organisationnelles appropriées, assorties de sanctions. L’exercice reste hautement théorique. .

 

RGPD : une réponse aux nouveaux développements technologiques

Il y a un peu plus de 20 ans, la Commission européenne a introduit la directive 95/46 / CE sur la protection des données. La directive  a alors introduit la notion de « données à caractère personnel » et a défini les paramètres de collecte et de gestion des informations d'identification personnelle. Les progrès technologiques ont fondamentalement modifié la façon dont les organisations recueillent, utilisent et gèrent aujourd’hui les données. Dans ce contexte, la Commission européenne a engagé en 2012 un processus de mise à jour, de simplification et de renforcement de la réglementation en matière de protection de la vie privée pour permettre aux résidents de l'UE de reprendre le contrôle de leurs données personnelles. Le point culminant de ces efforts est le RGPD. Validé en 2016 et entrant en vigueur le 25 mai 2018, le RGPD constitue un cadre de protection des données qui s'appuie sur la Directive et l'élargit. Le RGPD s'applique à toute organisation, quel que soit sa localisation géographique, qui contrôle ou traite les données d'un résident de l'UE et ses impacts seront loin d’être neutres. Il introduit notamment:

  • Des précisions sur le périmètre des données qui peuvent être collectées,
  • La nécessité d'un consentement explicite pour recueillir ces données,
  • Des exigences en matière de reporting pour toute violation de données
  • Des pouvoirs plus importants de sanction, et des amendes pour les organisations qui ne protégeraient pas les données dont elles sont responsables.

 

Ce que le RGPD signifiera pour les entreprises

1) Les résidents de l'UE auront plus de contrôle sur leurs données personnelles.

Le RGPD renforce considérablement les droits des individus sur leurs données personnelles. Cela signifie que les organisations devront fournir aux résidents de l'UE des informations claires et non ambiguës sur la façon dont leurs données sont traitées, et qu'elles devront obtenir le consentement explicite des résidents pour les traiter. Elles devront permettre aux résidents de l'UE de transférer leurs données personnelles à d’autres prestataires de services, mais également d'être « oubliés » en supprimant les données qu'ils ne veulent plus partager. Ce droit à l’oubli devra être réconcilié avec les obligations relatives à la lutte contre le blanchiment et le financement du terrorisme qui incitent à la collecte d’informations toujours plus riches sur clients et partenaires.

 

2) Tout le monde devra suivre les mêmes règles.

Les organisations contrôlant ou traitant les données de résidents de l'UE, quel que soit l'endroit où elles sont établies, que ce soit au sein de l'UE ou en dehors, devront suivre les mêmes règles. En d'autres termes, toute organisation qui commercialise ou fournit des produits ou des services aux résidents de l'UE sera soumise au RGPD. Cela fait du RGPD une réglementation à l’échelle mondiale. Clairement, les multinationales du type GAFA sont visées. L’arsenal répressif dont se dote l’UE vise à en permettre l’application.

 

3) Toute organisation dépendra d’une seule autorité de contrôle.

En vertu de la directive, les organisations devaient rapporter aux autorités chargées de la protection des données dans chacun des 28 États membres de l'UE. Dans le cadre du RGPD, ces autorités ont été placées sous une même instance de tutelle le « European Data Protection Board » en remplacement du « working party 29 », ce qui simplifiera considérablement les obligations de déclaration pour tous et réduira les coûts de reporting.

 

4) Dorénavant, plus d'organisations auront besoin d'un délégué à la protection des données (« Data Protection Officer »).

Les organisations qui effectuent un traitement à grande échelle ou manipulent certains types de données sensibles dans le cadre de leurs activités commerciales devront nommer un responsable de la protection des données. On entend notamment par données sensibles, mais sans s'y limiter: la race ou l'appartenance ethnique d'un individu, sa religion ou sa philosophie, son orientation sexuelle, sa santé, ses opinions politiques ou toute autre donnée qui peut spécifiquement identifier et individualiser (données génétiques ou biométriques). Le délégué à la protection des données sera la seule source de contact pour l'autorité de contrôle et sera tenu de faire respecter le RGPD au sein de son organisation.

 

5) Une approche axée sur le risque.

Plutôt que d'exiger une solution unique, le RGPD préconise une approche basée sur la gestion du risque qui permet aux organisations d'adapter leurs programmes de protection de la vie privée en fonction des risques les plus importants. Cela couvre la réalisation d’analyses d'impact relatives à la protection des données (Data Privacy Impact Assessment  - PIA). Une telle approche par les risques élève le niveau de protection des données privées en favorisant le remplacement de mesures tactiques par une initiative plus stratégique.

 

6) La protection des données dès la conception (PbD) se fait exigence.

Bien que la PbD ait été promue pendant des années par les commissions de protection de la vie privée à travers le monde comme une pratique de référence, nous avons observé dans le Global Information Security Survey de 2015 d’EY, que seuls 18% des répondants indiquaient utiliser la PbD dans leur démarche de création de nouveaux processus ou de déploiement de nouvelles technologies. Dans le cadre du RGPD, les organisations devront dorénavant concevoir des politiques, des procédures et des systèmes qui respectent les principes PbD dès le démarrage de chaque nouveau développement. Instaurer la  PbD comme exigence réglementaire forcera les organisations à intégrer la protection de la vie privée dans tous les aspects de leur fonctionnement plutôt que de la traiter  au dernier moment de manière ad hoc.

 

7) 72 heures pour signaler une violation.

Plutôt que de se conformer aux exigences de notification des violations (vol d’information, accès non autorisé, pertes d’informations involontaires, etc.) de chaque État membre de l'UE, les organisations devront dorénavant signaler toute perte de contrôle sur leurs données à une seule autorité de contrôle en charge (par exemple la CNPD pour les entités dont le siège est au Luxembourg) en vertu d'une procédure de notification simplifiée. Cette exigence stipule que les organisations ont 72 heures à partir du moment où elles découvrent une violation majeure pour en aviser l'autorité. La notification doit inclure la nature de la violation, qui a été touchée, les implications possibles de la violation et les mesures prises par l'organisation pour la corriger.

 

8) Des amendes considérablement plus élevées.

C’est sur ce point que cette réglementation peut se révéler particulièrement douloureuse. Les organisations qui enfreignent les principes de base du RGPD peuvent être passibles d'amendes s’élevant au montant le plus élevé entre 4% du total des revenus annuels mondiaux de l'organisation et 20 milllions d’Euros.

 

9) Le niveau de sécurité à mettre en œuvre dépend du risque.

Les organisations devront mettre en œuvre des mesures de sécurité qui seront un compromis entre les différentes technologies disponibles et leur coût de mise en œuvre, d’une part, et les bénéfices résultant de la maîtrise des risques encourus d’autre part. Le RGPD va plus loin que l’ancienne directive et indique des  moyens de sécurité spécifiques à considérer, tels que :

  • l’anonymisation et le cryptage des données personnelles,
  • la capacité à préserver la confidentialité, l'intégrité et la résilience des systèmes et services traitant des données à caractère personnel,
  • la capacité à restaurer la disponibilité, 
  • l'accès aux données en temps opportun en cas d'incident, et
  • un processus permettant de tester, et d'évaluer régulièrement l'efficacité des mesures mises en place.

Les organisations qui adhèrent à un code de conduite ou à un mécanisme de certification approuvé pourront utiliser ces outils pour démontrer la conformité aux normes de sécurité du RGPD. Il sera en effet nécessaire de maintenir une documentation démontrant la conformité au RGDP. Cette documentation pourra être contrôlée par l’autorité nationale.

 

10) Une définition du «consentement» considérablement restreinte.

Alors que la directive permettait aux responsables des traitements de se prévaloir d’un consentement implicite dans certaines circonstances, le RGPD exigera que le consentement soit «librement donné, spécifique, informé et sans ambiguïté». Plus précisément, le RGPD exige que la personne concernée confirme son accord par «une déclaration ou une action affirmative claire». Elle impose également de nouvelles restrictions à la capacité des mineurs de consentir au traitement des données sans autorisation parentale.

 

11) Les transferts transfrontaliers sont autorisés, sous certaines conditions.

Le RGPD autorise les transferts de données vers des pays qui fournissent un niveau «adéquat» de protection des données personnelles tel que déterminé par la Commission européenne. Les transferts peuvent également être autorisés vers des États non membres de l'UE qui ne disposent pas d'un niveau suffisant de protection personnelle, à condition qu'ils utilisent d'autres méthodes de protection des données, telles que l'utilisation de clauses contractuelles standard ou de BCR.
 

En conclusion, le RGDP est complexe et son impact est loin d’être neutre. Il ne faut pas sous-estimer le nombre d’intervenants à impliquer dans la démarche, ni le travail requis sur les processus et les évolutions technologiques nécessaires. Le RGDP n'est pas une simple question ponctuelle, il a des implications dans tous les secteurs des organisations amenées à collecter et stocker des informations à caractère personnel. Une étude d’impact complète et méthodique est une étape préliminaire indispensable pour être capable de mettre en œuvre les actions requises. Quelques semaines suffiront pour un premier état des lieux. Les mois qui suivent jusqu’en mai 2018 ne seront pas de trop pour assurer la mise en conformité.