Le numérique est aujourd’hui en train de tout disrupter et de nombreuses problématiques se voient posées, parmi elles un défi majeur : le traitement et la sécurisation des données à caractère personnel.
Organismes, privés comme publics, générèrent et exploitent un volume de données qui n’en finit plus d’augmenter.
Des secteurs tel que l’IoT sont particulièrement touchés et, faire face à cette explosion, représente un véritable casse-tête pour les entreprises. Car si le marché des objets connectés ne cesse de s’accroitre, il est accompagné d’une prise de conscience des risques induits. La transparence est de mise, il faut désormais être capable d’imbriquer enjeux de business et enjeux de sécurité.
La GDPR, nouveau règlement ?
Afin de redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement règlementaire des entreprises, la Commission Européenne propose en 2012 une réforme relative à la protection des données. Alors naît le projet de Règlement Général sur la Protection des Données (ou General Data Protection Régulation, soit GDPR).
Un compromis est rédigé le 15 décembre 2015 puis adopté le 14 avril 2016 par le Parlement Européen. Son application s’effectuera le 25 mai 2018. L’année 2017 est donc l’année de la mise en conformité avant son application. Elle concerne l’ensemble des 28 Etats membres de l’Union Européennes.
La GDPR n’est pas une nouvelle mesure concernant la protection des données personnelles. Elle complète et améliore la directive 95/46/CE du 24 octobre 1995. Jusqu’aujourd’hui ce texte était la seule référence en matière de protection des données à caractère personnel. Chaque Etat membre de l’Union européenne s’était appuyé dessus et l’avait transposé dans son droit national. Cette directive sera automatiquement abrogée lors de l’application de la GDPR en mai 2018.
Les acteurs de la GDPR
La personne concernée, dont les données personnelles seront traitées ;
- Le destinataire, le plus souvent une entreprise (par exemple un site de e-commerce) ou une organisation, qui reçoit les données personnelles ;
- Le Data Protection Officer (DPO).
Le DPO peut être interne ou externe au destinataire, responsable de la définition des finalités et des moyens de traitement des données personnelles.
Il joue un rôle majeur dans la mise en place de la GDPR au sein d’une organisation et constitue le noyau de cette réforme. Il sera donc le contact privilégié pour toutes discussions relatives au sujet GDPR.
Une application territoriale ?
Le champ d’application territoriale s’étend aux 28 états membres de l’Union Européenne, mais pas seulement.
Jusqu’ici, une entreprise située en dehors de l’UE pouvait traiter les données des citoyens européens sans véritables contraintes. Elle était seulement soumise aux dispositions de son pays d’origine, généralement limitée voire inexistante. Désormais, toute entreprise qui traitera les données personnelles des citoyens de l’UE, sera soumise au règlement, et ce quelque soit son lieu d’établissement (UE ou hors UE).
La conséquence pour un organisme établi hors Union Européenne : il devra élire un représentant au sein de l’UE. Ce représentant devra être une personne physique ou morale établie sur le territoire européen et désignée par le DPO.
Principaux éléments de la GDPR
Les 99 articles composant la GDPR peuvent être regroupés selon différents axes :
- Licéité du traitement des données : un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire une des conditions spécifiques telles que l’exécution d’un contrat ou encore le respect d’une obligation légale ;
- Loyauté du traitement des données : désigne les modalités selon lesquelles les données sont collectées (en lien avec la transparence et l'information des personnes) ;
- Limitation des finalités : justification d’une finalité déterminée, explicite et légitime pour tout traitement de données à caractère personnel. Cela permettra notamment les éventuelles réutilisations des données personnelles ;
Minimisation des données : désigne la proportion entre les données personnelles traitées et la finalité du traitement. En résumé, l’utilisation des données personnelles doit être limité à ceux qui sont indispensables aux finalités déterminées, en ne traitant que le strict minimum ;
- Exactitude des données : La qualité des données personnelles compte également parmi les principes de la protection des données. Celles-ci devront être exactes et si nécessaire mises à jour. Ainsi les données inexactes doivent-elles être rectifiées ou supprimées ;
- Conservation limitée : la durée de conservation des données devra être présente dans la mention d'information délivrée aux personnes concernées. Ces dernières pourront alors vérifier si l’organisme responsable de traitement respecte la durée qu'il a lui-même déterminée ;
- Sécurité des données : chaque donnée personnelle devra être protégée. Ce domaine correspondant à l’expertise de Nomios, nous allons le détailler dans la suite de cet article.
La sécurité des données personnelles
Plusieurs articles du règlement explicitent clairement le besoin de sécuriser les données à caractère personnelles :
Article 25 : protection des données bydesign et bydefault.
- Privacy by design : Chaque nouvelle technologie traitant des données personnelles, ou permettant d’en traiter, doit garantir dès sa conception et lors de chaque utilisation, le plus haut niveau possible de protection des données. Même si elle n’a pas été prévue à l’origine, ;
- Privacy by default : quiconque traite de données personnelles doit permettre aux personnes concernées d’obtenir rapidement et facilement le plus haut niveau de protection possible.
Article 32 : surement l’article de plus important traitant sur la sécurité des données, il traite les points suivants :
- Pseudonymisation de la donnée : consiste à modifier une donnée tout en conservant le format de cette dernière. Par exemple, si un champ contient un numéro de sécurité sociale, il devra être modifié en respectant le format de 10 chiffres, avec le premier compris entre 1 et 2, etc.
- Assurer la confidentialité, la disponibilité et la résilience des données ;
- Savoir restaurer les données après tout incident incluant une perte ;
- Tester régulièrement les procédures ainsi que les outils permettant la protection des données.
Article 33/34 : notifier le CPO (article 33) ou la personne concernée (article 34) d’une violation de la donnée personnelle
Article 35 : nécessité d’avoir un inventaire complet de l’ensemble des données personnelles présentes dans une entreprise. Pouvoir les classifier en fonction du niveau de risque. Il faut surtout savoir justifier un quelconque traitement ou modification de la donnée.
Quels sont les risques encourus ?
L’article 79 du règlement indique les sanctions encourues en cas d’infraction au règlement imposé par la GDPR.
Celles-ci peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros. C’est également l’entreprise qui devra indemniser toute personne lésée matériellement ou moralement par un traitement non-conforme de ses données, sans plafonnement.
Nomios et leurs partenaires peuvent vous accompagner sur la protection des données
De nombreux partenaires Nomios couvrent les besoins créés par la GDPR, notamment Imperva, qui propose un livre blanc traitant du sujet:
https://www.imperva.com/Resources/gdpr-general-data-protection-regulation
Si vous souhaitez avoir plus d’informations sur ces solutions, n’hésitez pas à nous contacter.