Depuis les années nonante, le traitement des données à caractère personnel a profondément évolué. Il était impossible à l’époque d’imaginer le succès d’Internet, des médias sociaux, des technologies mobiles ou du cloud computing. Et ce n’est pas fini : des évolutions telles que l’Internet des Objets vont également s’introduire de manière permanente dans la vie privée de chacun d’entre nous. La ‘Donnée’ est aujourd’hui au cœur d’un Business florissant, celui de la ‘Digital Economy’.
Les services administratifs publics: en route vers l’excellence!
Protection des données à caractère personnel en Europe : le changement, c'est maintenant!
1. Protection des données à caractère personnel en
Europe : le changement, c’est maintenant!
1
White paper 11 : Sécurité de l’information et conformité règlementaire
Mathieu Briol
Ayant toujours travaillé dans le monde du conseil en entreprise,
Mathieu Briol est actif depuis plus de 10 ans dans les domaines liés aux
télécommunications, à la gestion des risques de sécurité de l’information,
la conformité des systèmes d’information et la continuité d’activités. Ses
expériences métier couvrent les secteurs de la finance, des soins de santé,
de l’industrie technologique et le secteur public.
Fin 2008, il a participé avec deux associés à la création de Mielabelo, un
cabinet de conseil belge, actif notamment dans les domaines de la gestion
des risques, de la conformité et de la sécurité des systèmes d’information.
Introduction
Depuis les années nonante, le traitement des données à caractère personnel a profondément évolué. Il était
impossible à l’époque d’imaginer le succès d’Internet, des médias sociaux, des technologies mobiles ou du cloud
computing. Et ce n’est pas fini : des évolutions telles que l’Internet des Objets vont également s’introduire
de manière permanente dans la vie privée de chacun d’entre nous. La ‘Donnée’ est aujourd’hui au coeur d’un
Business florissant, celui de la ‘Digital Economy’.
Une législation vieillissante
La législation protégeant les données à caractère personnel
en Europe existe maintenant depuis près de vingt ans.
Le référentiel européen en la matière est principalement
composé de deux directives :
• La Directive 95/46/EC, aussi appelée «Directive
Vie Privée», constitue le texte de référence au niveau
européen: elle concerne la protection des personnes
physiques à l’égard du traitement des données à
caractère personnel et à la libre circulation de ces données.
Elle institue :
- L’interdiction du traitement automatisé, sauf si les exigences de proportionnalité,
transparence, et finalité légitime sont respectées,
- Le droit d’accès et de rectification aux données, ainsi que le principe du consentement,
- La création d’une autorité de protection des données personnelles au sein de chaque état
membre.
• La Directive 2002/58/EC, dénommée «Directive Vie Privée et Communications Électroniques»,
décrit des exigences spécifiques, relatives aux Technologies de l’Information et de la Communication,
afin de garantir le droit au respect de la vie privée. Les règles concernent notamment :
- L’interdiction des spams,
- Le régime de l’accord préalable de l’utilisateur (opt-in),
- L’installation de cookies.
Aujourd’hui, notre quotidien est marqué par des évolutions digitales continuelles qui nécessitent un
encadrement règlementaire adapté.
2. 2
Une évolution nécessaire
C’est pour cette raison qu’une nouvelle réglementation européenne est en préparation. L’Europe voit
dans la protection des données à caractère personnel une opportunité Business très importante ainsi
qu’un moyen de renforcer le droit des citoyens à la protection de leur vie privée.
À la suite des scandales NSA/Snowden, il est en
effet apparu clairement que si l’Europe parvient à
instituer des règles fortes, claires et globales dans
tout le territoire européen en matière de protection
des données, cela peut lui fournir un avantage
compétitif différentiateur. De plus, en instaurant
une telle politique, l’Europe assure à ses citoyens un
traitement transparent, uniforme et sécurisé de leurs
données privées… et dès lors, davantage de confiance
de leur part.
Ce n’est malheureusement pas toujours le cas aujourd’hui ; en effet, les Directives n’apparaissent pas
transposées de manière équivalente au sein de l’Union. Depuis mars 2014 et le vote du Parlement
européen concernant la proposition de règlement relative à la protection des données à caractère
personnel, la réforme apparaît aujourd’hui irréversible. Même s’il est pour le moment difficile de
prédire le contenu final du Règlement, plusieurs lignes de force se détachent :
• L’établissement d’une réglementation paneuropéenne unique et non 28 réglementations
différentes
• L’application transversale de la réglementation, pour toutes les entreprises, qu’elles soient
européennes ou pas
Les entreprises établies à l’extérieur de l’Union, mais opérant dans l’Union, devront également
appliquer cette nouvelle réglementation. Cela n’est pas le cas aujourd’hui et génère des contraintes
désavantageant les entreprises européennes face à la compétition étrangère.
• Des autorités nationales plus puissantes et des sanctions administratives graduelles
harmonisées dans l’Union (lettre d’avertissement, audit des mesures de protection, amende allant
jusqu’à 100 millions d’euros ou 5% du chiffre d’affaires mondial de l’organisation concernée)
• La mise en place du principe de responsabilisation, et l’obligation du responsable de traitement
de prouver sa conformité par l’adoption de politiques internes et de mécanismes visant à assurer
cette conformité
• La désignation de Data Protection Officers (DPO) ou
délégués à la protection des données
• La réalisation de Privacy Impact Assessments dans
des cas où des risques spécifiques sont présents, et la
mise en place de mesures de sécurité visant à contrer des
menaces telles que la destruction ou la perte accidentelle,
le traitement illégal, la dissémination, l’accès ou encore
l’altération non-autorisée de données personnelles
• La documentation de toutes les opérations de traitement de données
3. 3
• L’institution du droit à l’oubli : le citoyen européen pourra exiger la suppression de ses données
s’il ne souhaite plus qu’elles soient sujettes à traitement et sous certaines conditions
• La mise en place du consentement explicite au traitement de données à caractère personnel
• L’obligation de notification en cas de fuite ou d’incident
• La prise en compte de la protection des données personnelles dès le début des initiatives de
traitement de données, aussi appelée le «Privacy by Design».
L’adoption des textes finaux devrait intervenir courant 2015 et les premiers effets devraient se faire
sentir sur les organisations à partir de 2016. Il est donc temps de préparer !
Quelques conseils ciblés pour bien se préparer
Nous reprenons ici quelques conseils très ciblés par rapport aux contraintes haut niveau du règlement
à paraître. Les mesures finales n’étant pas encore confirmées, il se pourrait qu’il soit nécessaire
de procéder à des ajustements en cours de route. Cependant, les lignes directrices principales ne
devraient pas être modifiées.
1. Connaître votre ennemi
Une bonne connaissance de ces nouvelles contraintes apparaît indispensable
afin de définir une approche soutenable et pragmatique de mise en conformité.
Délégué à la Protection des données, consentement explicite, notification de
fuite de données, Privacy by Design, Privacy Impact Assessments, … autant
de contraintes et de concepts qu’il vous faudra comprendre pour fourbir vos
armes au moment voulu !
2. Sensibiliser la hiérarchie à la montée en puissance prévisible des autorités de protection
nationales
Les sanctions potentielles devraient suffire à faire comprendre au Management les conséquences
du nouveau règlement et toute l’utilité d’un programme de mise en conformité. Sans cette prise de
conscience du Management, il est difficile de mobiliser les forces vives et de sensibiliser l’ensemble
du personnel.
3. Mettre en place une organisation efficace au service de la conformité
La désignation d’un Délégué à la Protection des données
s’impose. Elle sera obligatoire, sauf pour les PMEs,
sous certaines conditions. Son implication dans chaque
initiative impliquant un traitement de données à caractère
personnel est une condition minimale du concept de
Privacy by Design.
4. Cartographier les flux de données personnelles
Difficile de se mettre en conformité sans connaître
les flux de données à caractère personnel au sein des
différents process métier de l’organisation. Identifier ces flux, comprendre les entrées, traitements
et sorties d’information est une étape essentielle afin d’espérer assurer un niveau de conformité
4. 4
minimal. Le cycle de vie de l’information, c’est-à-dire l’acquisition, le stockage, l’utilisation, le partage,
la destruction et l’archivage de données, doit donc faire l’objet d’une documentation claire de façon
à pouvoir évaluer les contrôles mis en place, leur adéquation par rapport aux risques identifiés et les
opportunités d’amélioration à cet égard.
5. Établir des politiques internes de gouvernance et de conformité de l’information
La documentation des activités de conformité est indispensable.
Elle devra fournir au minimum trois éléments:
• Une approche globale d’assurance de conformité,
• Les rôles respectifs de chacun (audit interne, audit externe,
délégué à la protection des données, process owner…),
• Les activités visant à fournir à l’autorité de protection
un niveau d’assurance raisonnable quant à la conformité
réglementaire de l’organisation et à sa répétabilité,
notamment via la génération systématique de traces.
Voulez-vous en savoir davantage sur le sujet?
Envoyez un mail à : mathieu.briol@mielabelo.com
Conclusion et recommandations
En conclusion, un programme de mise en conformité s’impose !
Comme toutes les exigences réglementaires, la nouvelle réglementation de protection des données
à caractère personnel risque de faire grincer des dents. À n’en point douter, elle va nécessiter des
investissements importants pour toutes les organisations car elle s’appliquera à tout traitement de
ce type de données. Le renforcement des autorités de protection nationales demandera également la
libération de nouveaux moyens budgétaires publics. En effet, pour être respectée, la législation doit
être appliquée de manière stricte. En instituant des pouvoirs significatifs aux autorités de protection
nationales, le nouveau règlement européen impose également un financement en ligne avec les
attentes réglementaires. En ces périodes budgétaires troublées, il est à espérer que nos politiciens
trouveront encore quelques euros pour soutenir ces efforts…
Pour les organisations souhaitant se mettre en conformité, l’étape initiale consiste en une évaluation
de l’écart entre le niveau réglementaire et les pratiques concrètes en matière de traitement des
données à caractère personnel. Sur cette base, un programme pourra être établi de manière à étaler
les efforts à fournir sur la durée. Si certaines mesures peuvent être rapidement mises en place
(désignation d’un délégué à la protection des données, etc.), d’autres, telles que l’implémentation
du Privacy by Design ou de mesures de notification d’incident, peuvent nécessiter de profondes
modifications dans les fonctionnements au quotidien.
Ne perdez donc pas de temps et retroussez d’ores et déjà vos manches ! 2016, c’est demain…