L’enfer ou le paradis
Si les principes de la protection des données sont épatants, tout va se jouer dans leur interprétation
Plus que 6 mois ! Plus l’échéance se rapproche, plus se multiplient les informations à caractère dramatique. 15 millions de cyberattaques durant le premier trimestre 2017...
Plus que 6 mois ! Plus l’échéance se rapproche, plus se multiplient les informations à caractère dramatique. 15 millions de cyberattaques durant le premier trimestre 2017. En augmentation de 35 % depuis un an. Les données personnelles, véritable gisement stratégique de valeur au coeur des entreprises, sont devenues un enjeu suscitant d’imposantes convoitises. Justement, ce dernier devra être singulièrement protégé dans moins de 250 jours. En effet, selon les textes européens de la RGPD (Règlement général sur la protection des données), en cas de vol de données, l’internaute devra être informé dans les 72 heures par l’entreprise et la responsabilité pourra être partagée avec le fournisseur de solution, le sous-traitant responsable de la fuite ou l’hébergeur, si c’est lui qui a été attaqué. Avec le risque d’actions de groupe de la part d’associations. Les plus concernés sont évidemment tous les acteurs du e-commerce. Mais qui ne vend pas aujourd’hui sur la toile ? Très concrètement, les clients pourront disposer d’un accès direct à leurs informations personnelles. Et donc demander la portabilité de leurs informations (données de commandes, listes d’envies) et obtenir un double consentement pour leurs enfants grâce à un cadre juridique harmonisé dans tous les pays de l’Union européenne. Ce dernier vise à renforcer les contrôles sur les traitements de données à caractère personnel, afin d’assurer une protection optimale des libertés et droits fondamentaux des citoyens. Ce qui suppose une sécurisation de bout en bout des données à caractère personnel en vue de garantir une protection à 360°.
Les alarmes se multiplient
Oh combien de livres blancs, de rapports, d’études, de séminaires et autres colloques ont tenté de sensibiliser les managers aux enjeux de la protection des données personnelles imposée par Bruxelles. Peine perdue visiblement, si l’on en croit le constat catastrophique des experts. Les big data pourraient de transformer en big cata à l’échéance, le 25 mai prochain. En effet, selon l’observatoire de la RGPD, 81 % des entreprises ne seront pas en conformité, et à ce jour, 44 % des entreprises considèrent déjà qu’elles ne seront que partiellement conformes. Plus préoccupant, plus d’un décideur IT sur 5 n’a actuellement qu’une vague idée de ce qu’est le RGPD. Le cabinet conseil Gartner est plus alarmiste encore : “à la fin de l’année 2018, plus de 50 % des entreprises concernées par le RGPD ne respecteront pas pleinement ses exigences”. Sans doute n’ontelles pas pris conscience les conséquences de risques mal identifiés.
Risques majeurs pour les entreprises
En effet, les éventuels manquements aux obligations imposées par la réglementation seront financiers et indexées sur le chiffre d’affaires de l’entreprise. Les amendes pourront atteindre de 10 à 20 millions d’euros ou 2 à 4 % du CA, c’est la sanction la plus élevée qui sera retenue. Pire, au-delà des simples dommages financiers, il faut aussi compter les dégâts imposants d’une perte de confiance ayant des répercussions très importantes sur l’image de l’entreprise. Alors, ces risques sont-ils remontés jusqu’au conseil d’administration? Tous savent pourtant bien que leurs grandes banques de données, leurs systèmes en réseau, leurs écosystèmes commerciaux leur permettant de satisfaire les besoins de leurs clients contiennent d’imposantes quantités d’informations à contrôler. Bref, il s’agit d’updater toutes les applications afin de les mettre en conformité.
Les objectifs de la règlementation
Quatre années de négociations législatives entre les 28 Européens ont accouché de ce nouveau règlement européen sur la protection des données, définitivement adopté par le Parlement européen le 14 avril 2016, avec trois objectifs: renforcer les droits des personnes, responsabiliser les acteurs traitant des données (responsables de traitement et soustraitants); crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, notamment pour les traitements de data transnationaux, et des sanctions renforcées. La transposition de la macroéconomie à la micro, planète des entreprises, s’opérerait dans la douleur ou l’inconscience, si l’on en croit quelques spécialistes dont certains ont – commercialement – intérêt à noircir le tableau, tant ils sont partis prenante de cette vaste opération. Dans nombre de cas, le rétroplanning sonne l’alarme: moins de 6 mois pour mettre l’ensemble du système de données en conformité avec les nouvelles exigences de Bruxelles. L’enjeu n’est pas mince. Car il n’y aura pas de périodes de grâce pour les retardataires. Or, selon l’étude Sophos, 54 % des entreprises n’ont pas pleinement conscience des amendes associées au RGPD. Ces dernières pourraient pourtant menacer l’existence même des plus fragiles. Ainsi, près de 1 entreprise sur 5 interrogées admet que si elle était condamnée à payer une amende, leur société fermerait. Mais plus de la moitié (54 %) pour les petites entreprises comptant moins de 50 personnes. 39 % des décideurs informatiques estiment que ces amendes entraîneraient des licenciements au sein de leur organisation.
Droit à l’effacement
La technicité des textes comme leur longueur interdisent d’en faire l’exégèse. Pourtant, certains articles comme le 17 auront une importance cruciale car ce dernier prévoit en effet un véritable droit à l’effacement (version allégée du “droit à l’oubli”) : la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant, et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs (article 17) Il y a donc le feu dans la maison: les priorités devraient porter sur les principales causes de pertes de données et les mesures à prendre: s’assurer que les systèmes d’exploitation et les applications soient bien mis à jour, que les données sensibles soient chiffrées, et éduquer tous les employés sur les risques de phishing.
Un homme clé, le DPO
Chantiers colossaux. Certes, cette mise à jour ne pourra se faire du jour en lendemain. Il faudra deux éléments clés, une fois dressé l’état des lieux que les experts baptisent joliment “cartographie”: une méthode et un parcours dont la responsabilité incombe à un responsable tout désigné, dont la présence est d’ailleurs obligatoire, le DPO (data protection officer) – ou DPD (délégué à la protection des données) en français. Et un super-correspondant informatique & libertés (CIL) et véritable homme-orchestre, avec une mission
plus étoffée que celle du DPO. “Le CIL arrête la liste des traitements et s’assure de leur conformité. Le DPO va devoir, lui, savoir évaluer les risques”, compare Florence Bonnet, directrice du cabinet TNP CIL Consulting. Ce qui suppose une double culture, gestion des risques et conformité, mais aussi des compétences en IT et en sécurité. Il aura la charge à la fois de la cartographie de l’ensemble des traitements et de la mise en évidence de la chaîne de responsabilité. Fonction transverse, il a l’oreille de la direction générale tout en étant indépendant. Juge et partie, un chief data officer ou un RSSI ne peut occuper ce rôle. Il peut s’agir d’un salarié (protégé) – ou d’un consultant extérieur comme un juriste.
‘Privacy by design et Accountability’
“Privacy by design”: bases de données et sites sont d’emblée conçus en intégrant tous les dispositifs de sécurité prévoyant la protection des données. Ce qui est évidemment beaucoup plus facile pour une jeune pousse aux équipements récents que pour un grand groupe dont les historiques strates informatiques s’entassent au gré des ans. “L’accountability”, ce principe qui responsabilise l’entreprise. Cette dernière devient ainsi garante du respect de la vie privée.
Registre obligatoire
La déclaration préalable à la Cnil, qui devait démontrer les manquements, est supprimée, remplacée par l’obligation de tenir un registre. Ce dernier recense l’ensemble des dispositifs mis en oeuvre pour satisfaire ces nouvelles obligations. Ce qui induit l’inversion d’un principe clé. Si hier, la charge de la preuve incombait au régulateur, en mai prochain ce sera à l’entreprise de prouver, grâce à son fameux registre, qu’elle a pris les dispositions adéquates pour la sécurisation de ses applications. Tout en respectant la confidentialité des données.
Zones de flous
Il reste encore, pour les praticiens se confrontant à l’opérationnel, quelques belles zones de flou susceptibles de provoquer diverses interprétations. Un grand nombre de transactions passe désormais par les mobiles. Les téléphones sont donc au coeur des systèmes nerveux véhiculant des monceaux de données plus ou moins sécurisées. Ainsi, Christophe Vattier, fondateur de la start-up Bubbles (marketing digital pour mobile) propose aux enseignes un système de promotion sous forme de loterie – les achats seront gratuits pour un acheteur sur dix – destinée aux chalands entrant dans leurs magasins et avertis sur leur téléphone. Le dirigeant doit donc non seulement réussir un challenge technologique, mais anticiper les textes sur les données. “Il faut être capable de gérer beaucoup d’informations, surtout, leurs interactions.” Nombre d’acteurs doivent se partager ces responsabilités. “Avec la RGPD, on connaît bien les règles et les principes, l’idée est excellente, mais c’est dans l’exécution et surtout leur interprétation que réside l’essentiel pour les entreprises et les régulateurs. Comment cette nouvelle réglementation sera-t-elle appliquée? Cela peut être
l’enfer ou le paradis” prévoit ce startupper. Il imagine comme beaucoup un formidable clivage entre les grands groupes ayant les moyens de déployer d’imposantes ressources pour se mettre en règle, et nombre de PME beaucoup plus démunies. Leurs données sont souvent beaucoup plus dispersées, moins centralisées dans les silos informatiques. Comme l’observe un expert: “Les grands comptes ont déjà lancé leur projet de compliance qui mobilise de 20 à 30 personnes aux compétences variées. Faute de ressources en interne, les ETI font appel à des intervenants extérieurs. Les PME, elles, ne sont tout simplement pas informées du sujet.”