Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

Data Privacy où la déferlante médiatique autour du RGPD

Personne n’aura échappé aux termes RGPD[1], GDPR, Data Privacy, protection de la Vie Privée, respect des personnes. Ces dernières semaines, tout s’accélère. C’est une véritable frénésie pour être en conformité avant la date fatidique du 25 mai 2018 et l’entrée en vigueur du Règlement Général pour la Protection des Données.

Que ce soit dans la presse spécialisée ou grand public, les grands médias économiques, ou les chaines d’information continue… Ce sujet est sans cesse évoqué, expliqué, parfois malheureusement orienté.

Des clubs comme le CLUSIF[2] font un travail remarquable pour amener à la compréhension du texte.

Le Règlement 2016/679 s’appliquera le 25 mai 2018. Il remplacera la directive européenne de 95/46/CE[3], transposée de 28 manières différentes suivant les différents états membres de l’Union Européenne.

Les scandales à répétition ayant trait aux données des personnes (manipulation, fuite, …) montrent à quel point ce Règlement arrive à point pour réformer et responsabiliser les organisations, publiques et privées…  Mais aussi pour sensibiliser et protéger les personnes vis-à-vis de l’usage qu’elles ont de leurs propres données.

Certains diront que nous avons une législation déjà bien riche sur le sujet des données personnelles. Notamment la loi Informatique et Liberté en France. Mais, comme l’a rappelé Fabrice Mattatia lors de la conférence des « lundis de l’IE »[4], les technologies actuelles étaient quasi-inexistantes lors de la définition de la loi n°78-17[5].

Il est important de se rappeler qu’il n’y avait pas ou peu de géolocalisation intégrée dans les objets de la vie courante. C’était aussi le début d’internet et des échanges numériques. Aujourd’hui, les smartphones, les objets connectés, le Big Data[6] ou l’intelligence artificielle sont des technologies omniprésentes. Fabuleuses pour l’évolution numérique, mais par essence très « dataphage ».

Le 25 mai 2018

Le Règlement reprend les principes de la loi n°78-17 modifiée et de la directive 95/46/CE (droit à l’information, droit d’accès, finalité, sécurité des données, minimisation, …). Ce Règlement n’est donc pas une révolution pour les organisations françaises, qui ont déjà mis en place des dispositifs de protection des données personnelles et d’information vis-à-vis des personnes.

La grande nouveauté de ce texte, et sa force, est de définir une même direction pour l’ensemble des 28 états membres de l’UE. Ce texte ne doit pas être vu comme un texte « sanction » (jusqu’à 4% du chiffre d’affaire en amende administrative), mais bien comme un texte structurant, apportant de la cohérence pour les organisations, notamment les groupes internationaux.

Les organisations plus modestes de type TPE/PME, vont pouvoir bénéficier de cette opportunité pour se différencier et accroitre leur attractivité.

Ce texte offre aux organisations l’opportunité de démontrer leur « accountability », leur conformité et le respect qu’elles ont des données qui leurs sont confiées. C’est bien là que se trouve la rupture avec les textes précédents. Les organisations n’auront plus à remplir de formalités préalables (déclarations CNIL), elles n’auront plus besoin d’attendre une autorisation si elles jugent le risque comme non élevé pour les personnes. Cette responsabilisation va permettre aux organisations d’anticiper les attentes du législateur, en apportant des solutions plus respectueuses de la vie privée, et ce malgré l’accélération du monde numérique.

Le principe de « Privacy by design » n’est pas nouveau en informatique, notamment en France. La sécurité et le respect de la vie privée dès la conception d’une application sont des principes connus du développement logiciel. Alors qu’elle est la nouveauté ? C’est que la sanction en cas de non-respect de ce principe devient plus coûteuse que la mise en œuvre des mesures de sécurité.

Pour autant, le principe d’accountability s’accompagne de preuve, nécessaire en cas de contrôle. Il faudra tout documenter. Prouver qu’on s’est posé les bonnes questions, vis-à-vis des personnes concernées et non de l’organisation. Qu’on aura réalisé les analyses d’impact (ou PIA[7]) sur les traitements à risques pour les personnes. Qu’on aura pris les mesures suffisantes pour garantir la sécurité des données. Qu’on aura obtenu le consentement des personnes pour collecter, conserver ou transférer leurs données.

En corollaire de ce principe de responsabilité, apparait de nouvelles responsabilités pour les sous-traitants. Ils deviennent juridiquement responsables en cas de défaillance. Notamment lors de fuites de données, au côté de l’organisation qui utilise les données confiées par les personnes.

De plus, la signalisation des failles de sécurité doit se faire de manière rapide et structurée entre le l’organisation et ses sous-traitants. Le secteur des Télécom, les OIV[8] sont déjà structurés dans ce sens.

Et après le 25 mai 2018 ?

Il faudra poursuivre les plans d’actions définis. Poursuivre comme aujourd’hui si vous êtes déjà en conformité, mieux, vous améliorez et le faire savoir.

Certains prédisent un « Dark26 », avec des divulgations de données personnelles en masse sur le Darknet au lendemain de l’entrée en application du Règlement. Si fuite de données il y a eu, vous réagirez en gérant la communication et la crise[9] qui s’en suivra. Mais c’est un autre sujet.

Ce sera un travail au quotidien. La révolution tient au fait que les règles du jeu sont aujourd’hui définies, la sanction aussi. Mais ceux qui seront le plus âpres à vous juger en cas de défaillance et de non-respect du Règlement, ce seront vos clients, vos partenaires, vos collaborateurs.

Le plus important, c’est l’image que vous allez donner à vos clients. Votre plus grand risque, il est vis-à-vis de vos clients. Et celui-ci sera plus exigeant, vous demandera des preuves de votre accountability (audits, certifications, recommandations, …)

Le RGPD va inciter les organisations à faire les activités proprement et éthiquement (Cambridge Analytica[10] et Facebook) et à faire un grand ménage dans les données actuellement conservées (principe de minimisation), ou tout au moins à les sécuriser pour empêcher toute fuite préjudiciable.

Lors de cette conférence des « lundis de l’IE », Claire Levallois-Barth a aussi présenté les travaux de la Chaire[11] qu’elle coordonne, ainsi que l’ouvrage disponible issus des travaux de l’équipe, « Signes de Confiance – l’impact des labels sur la gestion des données personnelles ».

Ce sera sans nulle doute la prochaine étape. La CNIL et le G29 auront à préciser les moyens d’apporter de la confiance aux partenaires, clients et collaborateurs, sur le modèle de la certification ISO 27001.

Pour conclure

Cet effet médiatique a finalement un rôle positif. Celui de sensibiliser les personnes sur leurs droits, de responsabiliser les organisations. La notion du « pas vu pas pris » n’est plus possible aujourd’hui, notamment avec les réseaux sociaux. Avec le renforcement de la réglementation, les organisations devront désormais composer avec cette nouvelle dimension incontournable touchant au juridique et à l’éthique, et qui constitue le respect de la vie privée. Et ce respect n’est pas neutre. Il amène à la confiance numérique, qui est en réalité le cœur et la raison d’être du Règlement.

***************

Un peu d’histoire

En France, le 1er scandale connu relatif aux données personnelles a été SAFARI[12]. Le besoin a donc été de contrôler l’État en créant une administration indépendante.

Le 6 janvier 1978, 4 ans après le scandale SAFARI, la 1ère loi française relative à la protection des données voit le jour. C’est la loi n° 78-17[13] dite Loi Informatique et Liberté (ou LIL).

Le 6 janvier 1978, c’est aussi la création de la première autorité administrative indépendante, la CNIL. D’autres autorités de contrôles ont vu le jour par la suite : notamment l’ARCEP pour le secteur des Télécom et l’ACPR pour le secteur Financier.

Actuellement, on parle de loi n° 78-17 modifiée. La loi actuelle (ou LIL2) prend en compte différentes évolutions, notamment la directive européenne 95/46/CE qui a dû être déclinée en droit national. Elle prend aussi en compte les législations nationales plus récentes telles que la Loi pour une République Numérique (ou LRN).

Le RGPD résulte de 4 ans de négociations acharnées entre les pays de l’UE. Il est donc imparfait, avec des contradictions, difficile à mettre en œuvre pour les organisations, notamment les TPE/PME[14]. Pour autant les autorités sont là pour conseiller, accompagner. Il faudra attendre les différentes jurisprudences et les décisions du G29 (article 29), organisme rassemblant les 28 autorités nationales, et présidé par la CNIL actuellement, pour connaitre plus précisément les attentes du législateur, qui saura rester pragmatique.

Actuellement en négociation au parlement national, la loi dite LIL3. Elle ne transposera pas le RGPD en droit national, celui-ci entrera bien en vigueur le 25 mai 2018. Un Règlement s’applique tel quel, une Directive se transpose.

Le but de LIL3 est de mettre en conformité avec le droit international la loi actuelle dite loi n° 78-17 modifiée, en supprimant les articles déjà présents dans le Règlement 2016/679. De plus, la directive européenne 2016/680 relative aux infractions pénales doit être transposée en droit français, elle le sera avec la loi LIL3. Enfin, 56 points environ du Règlement donnent la possibilité aux États membres de compléter le RGPD, en précisant certains articles. Ce sera notamment le cas pour tout ce qui a trait aux données personnelles dans le cadre régalien (défense nationale, sureté, …). Affaire à suivre.

[1] RGPD / GDPR : Règlement Général sur la Protection des Données 2016/679/UE. Il est applicable le 25 mai 2018 . Il et relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données »

[2] Infographie RGPD : https://clusif.fr/publications/infographie-donnees-a-caractere-personnel-entrees-lere-rgpd/

[3] Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[4] Lundi de l’IE : Le RGPD : enjeux, formations et cas pratiques

[5] Loi n°78-07 : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624

[6] https://blog.conixsecurity.fr/vie-privee-face-v-cachee-big-data/

[7] Outil PIA CNIL : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

[8] Opérateurs d’Importance Vitale : https://www.ssi.gouv.fr/entreprise/protection-des-oiv/protection-des-oiv-en-france/

[9] Gestion de crise : https://clusif.fr/conferences/conference-de-restitution-de-lexercice-de-cyber-crise-clusif/

[10] https://www.cnil.fr/fr/affaire-cambridge-analytica-facebook

[11] Chaire Valeurs et Politiques des Informations Personnelles : https://cvpip.wp.imt.fr/accueil/

[12] Scandale SAFARI : https://www.cnil.fr/fr/janvier-2018-40-ans-et-toujours-dans-lair-du-temps

[13] Loi n°78-07 : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624

[14] Guide CNIL-Bpifrance pour accompagner les TPE/PME avec le RGPD

 

By | 2018-04-25T14:10:18+00:00 23/04/2018|Non classé|