L’en­fer ou le pa­ra­dis

Si les prin­cipes de la pro­tec­tion des don­nées sont épa­tants, tout va se jouer dans leur in­ter­pré­ta­tion

Le Nouvel Economiste - - La Une - PA­TRICK ARNOUX

Plus que 6 mois ! Plus l’échéance se rap­proche, plus se mul­ti­plient les in­for­ma­tions à ca­rac­tère dra­ma­tique. 15 mil­lions de cy­be­rat­taques du­rant le pre­mier tri­mestre 2017...

Plus que 6 mois ! Plus l’échéance se rap­proche, plus se mul­ti­plient les in­for­ma­tions à ca­rac­tère dra­ma­tique. 15 mil­lions de cy­be­rat­taques du­rant le pre­mier tri­mestre 2017. En aug­men­ta­tion de 35 % de­puis un an. Les don­nées per­son­nelles, vé­ri­table gi­se­ment stra­té­gique de va­leur au coeur des en­tre­prises, sont de­ve­nues un en­jeu sus­ci­tant d’im­po­santes convoi­tises. Jus­te­ment, ce der­nier de­vra être sin­gu­liè­re­ment pro­té­gé dans moins de 250 jours. En ef­fet, se­lon les textes eu­ro­péens de la RGPD (Rè­gle­ment gé­né­ral sur la pro­tec­tion des don­nées), en cas de vol de don­nées, l’in­ter­naute de­vra être in­for­mé dans les 72 heures par l’en­tre­prise et la res­pon­sa­bi­li­té pour­ra être par­ta­gée avec le four­nis­seur de so­lu­tion, le sous-trai­tant res­pon­sable de la fuite ou l’hé­ber­geur, si c’est lui qui a été at­ta­qué. Avec le risque d’ac­tions de groupe de la part d’as­so­cia­tions. Les plus concer­nés sont évi­dem­ment tous les ac­teurs du e-com­merce. Mais qui ne vend pas au­jourd’hui sur la toile ? Très concrè­te­ment, les clients pour­ront dis­po­ser d’un ac­cès di­rect à leurs in­for­ma­tions per­son­nelles. Et donc de­man­der la por­ta­bi­li­té de leurs in­for­ma­tions (don­nées de com­mandes, listes d’en­vies) et ob­te­nir un double consen­te­ment pour leurs en­fants grâce à un cadre ju­ri­dique har­mo­ni­sé dans tous les pays de l’Union eu­ro­péenne. Ce der­nier vise à ren­for­cer les contrôles sur les trai­te­ments de don­nées à ca­rac­tère per­son­nel, afin d’as­su­rer une pro­tec­tion op­ti­male des li­ber­tés et droits fon­da­men­taux des ci­toyens. Ce qui sup­pose une sé­cu­ri­sa­tion de bout en bout des don­nées à ca­rac­tère per­son­nel en vue de ga­ran­tir une pro­tec­tion à 360°.

Les alarmes se mul­ti­plient

Oh com­bien de livres blancs, de rap­ports, d’études, de sé­mi­naires et autres col­loques ont ten­té de sen­si­bi­li­ser les ma­na­gers aux en­jeux de la pro­tec­tion des don­nées per­son­nelles im­po­sée par Bruxelles. Peine per­due vi­si­ble­ment, si l’on en croit le constat ca­tas­tro­phique des ex­perts. Les big da­ta pour­raient de trans­for­mer en big ca­ta à l’échéance, le 25 mai pro­chain. En ef­fet, se­lon l’ob­ser­va­toire de la RGPD, 81 % des en­tre­prises ne se­ront pas en confor­mi­té, et à ce jour, 44 % des en­tre­prises consi­dèrent dé­jà qu’elles ne se­ront que par­tiel­le­ment conformes. Plus pré­oc­cu­pant, plus d’un dé­ci­deur IT sur 5 n’a ac­tuel­le­ment qu’une vague idée de ce qu’est le RGPD. Le ca­bi­net conseil Gart­ner est plus alar­miste en­core : “à la fin de l’an­née 2018, plus de 50 % des en­tre­prises concer­nées par le RGPD ne res­pec­te­ront pas plei­ne­ment ses exi­gences”. Sans doute n’on­telles pas pris conscience les consé­quences de risques mal iden­ti­fiés.

Risques ma­jeurs pour les en­tre­prises

En ef­fet, les éven­tuels man­que­ments aux obli­ga­tions im­po­sées par la ré­gle­men­ta­tion se­ront fi­nan­ciers et in­dexées sur le chiffre d’af­faires de l’en­tre­prise. Les amendes pour­ront at­teindre de 10 à 20 mil­lions d’eu­ros ou 2 à 4 % du CA, c’est la sanc­tion la plus éle­vée qui se­ra re­te­nue. Pire, au-de­là des simples dom­mages fi­nan­ciers, il faut aus­si comp­ter les dé­gâts im­po­sants d’une perte de confiance ayant des ré­per­cus­sions très im­por­tantes sur l’image de l’en­tre­prise. Alors, ces risques sont-ils re­mon­tés jus­qu’au conseil d’ad­mi­nis­tra­tion? Tous savent pour­tant bien que leurs grandes banques de don­nées, leurs sys­tèmes en ré­seau, leurs éco­sys­tèmes com­mer­ciaux leur per­met­tant de sa­tis­faire les be­soins de leurs clients contiennent d’im­po­santes quan­ti­tés d’in­for­ma­tions à contrô­ler. Bref, il s’agit d’up­da­ter toutes les ap­pli­ca­tions afin de les mettre en confor­mi­té.

Les ob­jec­tifs de la rè­gle­men­ta­tion

Quatre an­nées de né­go­cia­tions lé­gis­la­tives entre les 28 Eu­ro­péens ont ac­cou­ché de ce nou­veau rè­gle­ment eu­ro­péen sur la pro­tec­tion des don­nées, dé­fi­ni­ti­ve­ment adop­té par le Par­le­ment eu­ro­péen le 14 avril 2016, avec trois ob­jec­tifs: ren­for­cer les droits des per­sonnes, res­pon­sa­bi­li­ser les ac­teurs trai­tant des don­nées (res­pon­sables de trai­te­ment et sous­trai­tants); cré­di­bi­li­ser la ré­gu­la­tion grâce à une co­opé­ra­tion ren­for­cée entre les au­to­ri­tés de pro­tec­tion des don­nées, no­tam­ment pour les trai­te­ments de da­ta trans­na­tio­naux, et des sanc­tions ren­for­cées. La trans­po­si­tion de la ma­croé­co­no­mie à la mi­cro, pla­nète des en­tre­prises, s’opé­re­rait dans la dou­leur ou l’in­cons­cience, si l’on en croit quelques spé­cia­listes dont cer­tains ont – com­mer­cia­le­ment – in­té­rêt à noir­cir le ta­bleau, tant ils sont par­tis pre­nante de cette vaste opé­ra­tion. Dans nombre de cas, le ré­tro­plan­ning sonne l’alarme: moins de 6 mois pour mettre l’en­semble du sys­tème de don­nées en confor­mi­té avec les nou­velles exi­gences de Bruxelles. L’en­jeu n’est pas mince. Car il n’y au­ra pas de pé­riodes de grâce pour les re­tar­da­taires. Or, se­lon l’étude So­phos, 54 % des en­tre­prises n’ont pas plei­ne­ment conscience des amendes as­so­ciées au RGPD. Ces der­nières pour­raient pour­tant me­na­cer l’exis­tence même des plus fra­giles. Ain­si, près de 1 en­tre­prise sur 5 in­ter­ro­gées ad­met que si elle était condam­née à payer une amende, leur so­cié­té fer­me­rait. Mais plus de la moi­tié (54 %) pour les pe­tites en­tre­prises comp­tant moins de 50 per­sonnes. 39 % des dé­ci­deurs in­for­ma­tiques es­timent que ces amendes en­traî­ne­raient des li­cen­cie­ments au sein de leur or­ga­ni­sa­tion.

Droit à l’ef­fa­ce­ment

La tech­ni­ci­té des textes comme leur lon­gueur in­ter­disent d’en faire l’exé­gèse. Pour­tant, cer­tains ar­ticles comme le 17 au­ront une im­por­tance cru­ciale car ce der­nier pré­voit en ef­fet un vé­ri­table droit à l’ef­fa­ce­ment (ver­sion al­lé­gée du “droit à l’ou­bli”) : la per­sonne concer­née a le droit d’ob­te­nir du res­pon­sable du trai­te­ment l’ef­fa­ce­ment, dans les meilleurs dé­lais, de don­nées à ca­rac­tère per­son­nel la concer­nant, et le res­pon­sable du trai­te­ment a l’obli­ga­tion d’ef­fa­cer ces don­nées à ca­rac­tère per­son­nel dans les meilleurs dé­lais pour 6 mo­tifs (ar­ticle 17) Il y a donc le feu dans la mai­son: les prio­ri­tés de­vraient por­ter sur les prin­ci­pales causes de pertes de don­nées et les me­sures à prendre: s’as­su­rer que les sys­tèmes d’ex­ploi­ta­tion et les ap­pli­ca­tions soient bien mis à jour, que les don­nées sen­sibles soient chif­frées, et édu­quer tous les em­ployés sur les risques de phi­shing.

Un homme clé, le DPO

Chan­tiers co­los­saux. Certes, cette mise à jour ne pour­ra se faire du jour en len­de­main. Il fau­dra deux élé­ments clés, une fois dres­sé l’état des lieux que les ex­perts bap­tisent jo­li­ment “car­to­gra­phie”: une mé­thode et un par­cours dont la res­pon­sa­bi­li­té in­combe à un res­pon­sable tout dé­si­gné, dont la pré­sence est d’ailleurs obli­ga­toire, le DPO (da­ta pro­tec­tion of­fi­cer) – ou DPD (dé­lé­gué à la pro­tec­tion des don­nées) en fran­çais. Et un su­per-cor­res­pon­dant in­for­ma­tique & li­ber­tés (CIL) et vé­ri­table homme-or­chestre, avec une mis­sion

plus étof­fée que celle du DPO. “Le CIL ar­rête la liste des trai­te­ments et s’as­sure de leur confor­mi­té. Le DPO va de­voir, lui, sa­voir éva­luer les risques”, com­pare Flo­rence Bon­net, di­rec­trice du ca­bi­net TNP CIL Con­sul­ting. Ce qui sup­pose une double culture, ges­tion des risques et confor­mi­té, mais aus­si des com­pé­tences en IT et en sé­cu­ri­té. Il au­ra la charge à la fois de la car­to­gra­phie de l’en­semble des trai­te­ments et de la mise en évi­dence de la chaîne de res­pon­sa­bi­li­té. Fonc­tion trans­verse, il a l’oreille de la di­rec­tion gé­né­rale tout en étant in­dé­pen­dant. Juge et par­tie, un chief da­ta of­fi­cer ou un RSSI ne peut oc­cu­per ce rôle. Il peut s’agir d’un sa­la­rié (pro­té­gé) – ou d’un consul­tant ex­té­rieur comme un ju­riste.

‘Pri­va­cy by de­si­gn et Ac­coun­ta­bi­li­ty’

“Pri­va­cy by de­si­gn”: bases de don­nées et sites sont d’em­blée conçus en in­té­grant tous les dis­po­si­tifs de sé­cu­ri­té pré­voyant la pro­tec­tion des don­nées. Ce qui est évi­dem­ment beau­coup plus fa­cile pour une jeune pousse aux équi­pe­ments ré­cents que pour un grand groupe dont les his­to­riques strates in­for­ma­tiques s’en­tassent au gré des ans. “L’ac­coun­ta­bi­li­ty”, ce prin­cipe qui res­pon­sa­bi­lise l’en­tre­prise. Cette der­nière de­vient ain­si ga­rante du res­pect de la vie pri­vée.

Re­gistre obli­ga­toire

La dé­cla­ra­tion préa­lable à la Cnil, qui de­vait dé­mon­trer les man­que­ments, est sup­pri­mée, rem­pla­cée par l’obli­ga­tion de te­nir un re­gistre. Ce der­nier re­cense l’en­semble des dis­po­si­tifs mis en oeuvre pour sa­tis­faire ces nou­velles obli­ga­tions. Ce qui in­duit l’in­ver­sion d’un prin­cipe clé. Si hier, la charge de la preuve in­com­bait au ré­gu­la­teur, en mai pro­chain ce se­ra à l’en­tre­prise de prou­ver, grâce à son fa­meux re­gistre, qu’elle a pris les dis­po­si­tions adé­quates pour la sé­cu­ri­sa­tion de ses ap­pli­ca­tions. Tout en res­pec­tant la confi­den­tia­li­té des don­nées.

Zones de flous

Il reste en­core, pour les pra­ti­ciens se confron­tant à l’opé­ra­tion­nel, quelques belles zones de flou sus­cep­tibles de pro­vo­quer di­verses in­ter­pré­ta­tions. Un grand nombre de tran­sac­tions passe dé­sor­mais par les mo­biles. Les té­lé­phones sont donc au coeur des sys­tèmes ner­veux vé­hi­cu­lant des mon­ceaux de don­nées plus ou moins sé­cu­ri­sées. Ain­si, Ch­ris­tophe Vat­tier, fon­da­teur de la start-up Bubbles (mar­ke­ting di­gi­tal pour mo­bile) pro­pose aux en­seignes un sys­tème de pro­mo­tion sous forme de lo­te­rie – les achats se­ront gra­tuits pour un ache­teur sur dix – des­ti­née aux cha­lands en­trant dans leurs ma­ga­sins et aver­tis sur leur té­lé­phone. Le di­ri­geant doit donc non seule­ment réus­sir un chal­lenge tech­no­lo­gique, mais an­ti­ci­per les textes sur les don­nées. “Il faut être ca­pable de gé­rer beau­coup d’in­for­ma­tions, sur­tout, leurs in­ter­ac­tions.” Nombre d’ac­teurs doivent se par­ta­ger ces res­pon­sa­bi­li­tés. “Avec la RGPD, on connaît bien les règles et les prin­cipes, l’idée est ex­cel­lente, mais c’est dans l’exé­cu­tion et sur­tout leur in­ter­pré­ta­tion que ré­side l’es­sen­tiel pour les en­tre­prises et les ré­gu­la­teurs. Comment cette nou­velle ré­gle­men­ta­tion se­ra-t-elle ap­pli­quée? Ce­la peut être

l’en­fer ou le pa­ra­dis” pré­voit ce star­tup­per. Il ima­gine comme beau­coup un for­mi­dable cli­vage entre les grands groupes ayant les moyens de dé­ployer d’im­po­santes res­sources pour se mettre en règle, et nombre de PME beau­coup plus dé­mu­nies. Leurs don­nées sont sou­vent beau­coup plus dis­per­sées, moins cen­tra­li­sées dans les si­los in­for­ma­tiques. Comme l’ob­serve un ex­pert: “Les grands comptes ont dé­jà lan­cé leur pro­jet de com­pliance qui mo­bi­lise de 20 à 30 per­sonnes aux com­pé­tences va­riées. Faute de res­sources en in­terne, les ETI font ap­pel à des in­ter­ve­nants ex­té­rieurs. Les PME, elles, ne sont tout sim­ple­ment pas in­for­mées du su­jet.”

“Les grands comptes ont dé­jà lan­cé leur pro­jet de com­pliance qui mo­bi­lise de 20 à 30 per­sonnes aux com­pé­tences va­riées. Faute de res­sources en in­terne, les ETI font ap­pel à des in­ter­ve­nants ex­té­rieurs. Les PME, elles, ne sont tout sim­ple­ment pas in­for­mées du su­jet.”

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.