RGPD :

Les ficelles de cette nouvelle loi

Pour créer un marché européen unique du numérique, ce sont deux nouveaux acronymes pour une nouvelle chimère juridique, elle-même fondée sur environ 200 pages de texte et une centaine d’articles qui viennent de naître :

• En anglais le GDPR « general data protection regulation »
• En français le RGPD « règlement général sur la protection des données ».

L’idée n’est pas d’embellir le quotidien des entreprises d’autant que d’une part, ces obligations seront sanctionnées en cas de non-respect par des amendes pouvant atteindre 4% du chiffre d’affaires annuel ou 20 millions d’euros et d’autre part, vont devenir chaque jour d’une actualité de plus en plus brûlante avec une mise en place dans moins d’un an : en Mai 2018 !

Merci qui ?

Ce nouveau règlement vient mettre à jour la directive 95/46/CE du 24/10/1995, entrée en vigueur le 25/05/2016, pour prendre en compte l’utilisation massive des données personnelles via notamment les smartphones, les réseaux sociaux, les services commerciaux et bancaires en ligne notamment.

D’ores et déjà la CNIL vient d’épingler le site de partage de véhicules OUICAR. La CNIL, qui marque son territoire et devient RGPD sensible : en juillet 2016 elle est informée  d’un bug sur la plateforme de location de véhicules entre particuliers. Les contrôles de la Commission viennent confirmer un grave défaut de sécurisation : il suffisait en effet de saisir une URL correspondant à une API du service pour recevoir, au format JSon, et département par département, une liste des données des véhicules proposés à la location par le site, ainsi que « les données de leurs propriétaires et des locataires ayant déposé un ou des avis sur la prestation offerte ». Sans nécessité de s’authentifier, exposant les données de plusieurs centaines de milliers de personnes (source Newsletter Silicon du 27/07/2017 – Raynald Fléchaux).

C’est un défaut élémentaire de sécurité pour la CNIL. Dans cet ensemble de données figuraient les noms, prénoms, adresses, numéros de téléphone, dates de naissance, numéros de permis de conduire et localisation des véhicules proposés à la location. OUICAR s’en tire avec un avertissement public.

Les sanctions vont s’accentuer et se durcir. Ainsi le loueur de voitures Hertz vient d’être sanctionné d’une amende de 40 000 euros par la CNIL pour avoir insuffisamment sécurisé les données des adhérents à son programme de fidélité.

Une première permise par la loi pour une République numérique ! (source Newsletter Silicon du 27/07/2017 – Raynald Fléchaux).

L’entrée en application de la loi Lemaire a renforcé les sanctions à l’encontre des entreprises qui ne sécurisent pas suffisamment les données personnelles de leurs clients.  Si la faille de sécurité chez Hertz – qui résulte d’une erreur d’un sous-traitant lors d’un changement de serveur – apparaît plus sévère que celle de Ouicar, la loi pour une République numérique est entretemps passée par là. « C’est la première fois qu’une sanction pécuniaire est prononcée pour une violation de données sous l’empire de la loi pour une République numérique entrée en vigueur en novembre 2016. Avant cette loi, seul un avertissement pouvait être décidé dans un tel cas », écrit la CNIL.

Attention, dans ce cas c’est bien Hertz qui a été sanctionné et non le sous-traitant, considérant que « la violation de données résulte d’une négligence de la société dans la surveillance des actions de son sous-traitant ». En particulier la CNIL critique l’absence de cahier des charges rédigé par Hertz pour le développement du site et le fait que la société n’ait pas vérifié que la mise en production avait été précédée d’un protocole complet de test, alors qu’il s’agissait d’une opération touchant aux serveurs communiquant avec le prestataire de paiement. Soit un pan sensible de l’application.

L’épée de Damoclès du GDPR/RGPD…

Il va falloir au moins considérer deux failles majeures possibles: les sous-traitants et la « menace » des anciens employés (source infodsi 01/08/2017).

Clairement limiter l’accès des anciens employés aux données de l’entreprise et supprimer leurs informations d’identification contribue à éviter les activités malveillantes, les pertes financières et les dommages causés à l’image de marque. Pourtant 50% des entreprises qui se disent conformes déclarent que d’anciens employés ont toujours accès aux données internes. Ces résultats mettent en évidence que même les entreprises les plus confiantes luttent pour contrôler l’accès des anciens employés et leur potentielle prédisposition aux attaques.

Les sous-traitants compliquent aussi la vie selon  81% des décideurs IT (étude Vanson Bourne pour Compuware, source zdnet) ; car le recours à des sous-traitants complexifie l’identification de l’emplacement de chaque occurrence des données des clients et de leur utilisation. Ces prestataires, en particulier les services Cloud, doivent toutefois eux aussi se conformer au RGPD s’ils hébergent des données de clients européens.

Allons-nous vers des blocages économiques ? La question peut se poser d’autant que 97% des entreprises se montrent toujours plus gourmandes pour atteindre leurs objectifs commerciaux, de données clients aussi bien par le volume que la diversité. Et que le consentement est un point central du nouveau règlement. Ce dernier impose en effet d’obtenir un consentement explicite à des finalités précises.

Alors qu’à ce jour, les entreprises, au mieux, demandent en majorité (65%) une autorisation large couvrant une multitude d’activités. D’après une enquête de CXP Group (infoDsi du 23/05/2017) 59% des entreprises de plus de 500 personnes ont pris conscience des risques de malveillance quand 51% d’entre elles y voient une opportunité pour renforcer leur compétitivité.

Et puis il y a aussi dans le règlement l’exercice du droit à l’oubli. Les résidents de l’Union Européenne auront le droit de demander la suppression de toutes leurs données personnelles des bases de données d’une entreprise, ce qui paraît peu compatible notamment avec l’obligation de conserver certaines données sociales pendant plusieurs années. Une étude menée par Veritas indique que de nombreuses entreprises ne seront pas en mesure de rechercher, localiser et supprimer des données personnelles dans le cadre du principe du droit à l’oubli.

Parmi les obligations nouvelles

L’article 25 prévoit que les entreprises devront intégrer dans leurs procédures le Privacy by Design pour intégrer dès l’amont, dès la création d’un service et/ou d’un produit, le respect de la vie privée dans la conception et le fonctionnement des systèmes et réseaux informatiques mais également dans l’élaboration de pratiques responsables. Cette approche devra être documentée afin que le responsable de traitement soit en mesure d’apporter la preuve du respect de ces obligations sur demande de la CNIL.

A défaut et pour ne pouvoir s’exonérer de leurs nouvelles responsabilités, le règlement précise que les entreprises ont aussi l’obligation de la protection par défaut – le privacy by default – qui répond à trois critères :

• Seules les données nécessaires et pertinentes à la finalité du traitement sont traitées
• Seules les personnes qui en ont « raisonnablement » besoin y ont accès
• Les outils (tels les CRM) doivent permettre l’effacement total des données

A notre avis, cette disposition  va se heurter à la difficulté d’identifier le vrai propriétaire des données dans l’organisation ; dans 50% des cas, elles n’appartiennent à personne en particulier.

L’article 30 exige la création d’un registre sur les traitements destiné à répertorier les traitements ainsi que leurs caractéristiques : catégories de données, destinataires, finalités ; les sous-traitants eux aussi devront tenir en plus de leur propre registre, un registre des traitements pour lesquels ils sont prestataires.

L’article 32 porte sur la cyber sécurité des données. Notamment sur un travail conjoint entre le responsable de traitement et son sous-traitant pour le chiffrement des données à caractère personnel, sous forme de pseudonymisation, anonymisation ou cryptographie.

De l’article 35, il faut retenir que ( source Option droit des affaires 25/01/2017 Sabine Deloges) les entreprises devront réaliser une analyse d’impact dont l’objet devra porter,  d’une part , sur l’évaluation des risques inhérents à leurs traitements de données personnelles et , d’autre part, sur la détermination des mesures à mettre en œuvre pour atténuer les risques identifiés. Mais en revanche  le règlement européen n’impose pas de méthodologie particulière pour la conduite de cette analyse d’impact. Chaque entreprise pourra choisir une procédure « adaptée » à son activité et à ses règles de fonctionnement interne.

L’article 58 précise les pouvoirs d’enquête dont dispose la CNIL pour lui communiquer toute information dont elle a besoin à l’accomplissement de sa mission et l’accès à toutes les données à caractère personnel, tant auprès du responsable du traitement que de son sous-traitant. Il faudra penser à la nomination d’un DPO (data protection officer).

Selon Laurent Charreyron, directeur du domaine cybersécurité de CPX Group, « il va falloir casser les silos traditionnels pour obtenir une vue-utilisateur unique ; par ailleurs, l’implication active des métiers, notamment des RH et des Achats reste un problème, alors que ces fonctions seront en première ligne ».

En final, pensez à vos Plans de Reprise d’Activité ; nous ne saurions trop vous recommander de travailler avec une entreprise de services numériques comme AZNetwork : société créée en 1999, à capitaux 100% français, 100% normande, agréée Hébergeur de Données de Santé à Caractère Personnel depuis 2013 et engagée dans une démarche de certification ISO 27001.    

D’autant que le règlement rappelle l’importance des certifications, notamment dans le choix des sous-traitants.

REVUE DE PRESSE ASSOCIÉE :