Aller au contenu
United States of Security

De Informatique et Libertés au RGPD (épisode 2)

·1912 mots·9 mins·
Sécurité IT Données Personnelles GDPR RGPD
Auteur
Cyril Amar
RSSI la journée, secouriste la nuit, un peu de protection des données personnelles entre les deux.
Sommaire

Un Fichier pour les gouverner tous, un Fichier pour les trouver, un Fichier pour les amener tous et dans les ténèbres les lier.

— Ministre de l’Intérieur, 1974 (citation approximative)

Ainsi naquit la loi Informatique et Libertés, quatre ans plus tard.

Depuis, elle a rendu bien des services1, et a été modifiée quelques fois pour la remettre au goût du jour. Mais de plus en plus, on s’aperçoit qu’elle a atteint ses limites face à l’appétit vorace des industriels de la DCP, qui en plus pour certains ont le mauvais goût de ne pas être représentés juridiquement sur le territoire national.

Quelque peu échaudée, l’Union Européenne a donc planché, à partir de 2012, sur sa nouvelle arme : le fameux Règlement Européen de Protection des Données, RGPD pour les intimes et GDPR pour les anglophones. Le Parlement européen a donc eu le plaisir de nous faire part de la naissance du règlement le 14 avril 2016. L’entrée en vigueur, sans transposition dans les droits nationaux, est prévue le 25 mai 2018.

Le Règlement Général de Protection des Données

Selon les propres mots de la CNIL, le RGPD poursuit trois objectifs :

  1. renforcer les droits des personnes,
  2. responsabiliser les responsables de traitements
  3. crédibiliser la régulation

Renforcement des droits des citoyens européens

La CNIL et le groupe des 29 ont publié une série de vignettes, dessinées par Martin Vidberg (réutilisées sous licence Creative Commons BY-NC-ND, copiées le 3 septembre 2017), pour expliquer les principaux changements. Les voici :

Portabilité des données

Droit à la portabilité
Nous disposerons désormais d’un droit à la portabilité de nos données. Concrètement, il sera possible de demander à Linkedin, par exemple, un export complet de nos données, dans un format standard (le texte dit « dans un format structuré, couramment utilisé et lisible par machine »), pour pouvoir le cas échéant les intégrer à une plate-forme concurrente.

Transparence

Droit à la transparence
Les responsables de traitement auront l’obligation de préciser clairement ce qui sera fait ou non avec nos données. Ils seront également tenus de faciliter l’exercice des droits habituels : accès, rectification, suppression. Dans des alinéas transpirant une mauvaise expérience, le texte liste un certain nombre de points que les responsables de traitement ne pourront pas opposer aux citoyens.

Protection des mineurs

Protection des mineurs

Ou en tout cas, protection de certains mineurs. Le texte imposera aux services en ligne l’obtention du consentement des responsables légaux des mineurs de 16 ans avant de finaliser l’inscription. Entre parenthèses, je souhaite bon courage aux différentes plates-formes pour l’implémentation de cette obligation.

Guichet unique

Guichet unique
Le texte a vocation à s’appliquer en faveur de chaque euro-citoyen, peu importe la nationalité du service. En conséquence, on pouvait craindre une multiplication des autorités à contacter en cas de besoin. Heureusement, le texte indique que le point de contact unique est l’autorité de régulation nationale, pour nous la CNIL.

Sanctions renforcées

Sanctions
Ce ne sont pas les citoyens qui seront visés (les traitements à usage exclusivement privé sont exclus du RGPD), mais bien les responsables de traitement. Elles auront toutefois un effet sur eux : les montants des amendes administratives pour les entreprises sont tels que toutes auront à cœur de protéger au mieux les droits des utilisateurs et leurs données personnelles. En effet, on parle, pour les entreprises, de 10 à 20 millions d’euros ou 2% à 4% du chiffre d’affaire annuel consolidé mondial, le montant le plus élevé étant retenu. Il n’est donc plus question de l’amende maximale fixe à 300 000 euros qui pouvait faire sourire les plus grandes multinationales.

Droit à l’oubli

Droit à l’oubli'
Le RGPD renforce le droit à l’oubli : il sera désormais possible de réclamer le retrait d’un lien d’un moteur de recherche, ou toute information publiée qui porte atteinte à la vie privée.

Il est à noter que ni la nationalité du responsable de traitement ni la localisation géographique des utilisateurs n’ont d’impact sur l’ouverture de ces droits : seule compte la nationalité de ces derniers. Un citoyen européen peut donc faire valoir ses droits même s’il réside en dehors de l’UE, auprès de tout responsable de traitement.

Responsabilisation des responsables de traitements

Le principe-clé à retenir dans l’application du Règlement tient en trois mots : privacy by design. La protection des DCP ne doit plus être une fonctionnalité de l’application, que l’on rajoutera à la fin s’il reste du temps et du budget, mais une exigence dès le début du projet. Cela doit s’entendre tant pour les données collectées (via la sécurisation de l’application) que celles qui finalement ne le seront pas (après réflexion, les données ne sont plus strictement nécessaires ou collectables légalement).

Conformité dans le temps

Avant RGPD, la protection des DCP reposait essentiellement sur un processus déclaratif préalable, au travers des dispenses, déclarations simplifiées, ordinaires ou normales, autorisation préalable de la CNIL. Une fois cette déclaration passée, peu d’obligations pesaient sur les épaules des responsables.

Après RGPD en revanche, le responsable de traitement doit être en mesure de démontrer son respect de ses obligations tout au long du cycle de vie des informations personnelles collectées.

Registre des traitements et analyses d’impact

Pour une bonne gouvernance des traitements de DCP, il convient de les identifier au travers de l’organisation. Le Règlement prévoit donc l’instauration obligatoire d’un registre des traitements, qui centralisera de manière exhaustive :

  • Qui ? Qui est le responsable du traitement, ou à défaut le DPO ? Qui accèdera aux données, incluant les sous-traitants éventuels ?
  • Quoi ? Quelles catégories de DCP sont traitées ? Posent-elles des risques particuliers en raison de leur sensibilité2 ?
  • Pourquoi ? Quelle est la finalité du traitement, qui justifie la collecte ?
  • Où ? Où sont stockées les données ? Y a-t-il des transferts internationaux prévus, et vers quels pays ?
  • Combien de temps ? Quelle durée de conservation des données ? La législation et le règlement imposent des maximums impératifs ou recommandés en fonction du type de donnée.
  • Quelle protection ?

Pour accompagner au mieux les entreprises dans leur mise en conformité, la CNIL propose un fichier modèle de registre sur son site (format MS Excel). Pour l’anecdote : la CNIL a laissé fuiter le nom de la collaboratrice qui a créé ce modèle dans les métadonnées du fichier 😉

À titre personnel, j’ajouterais également la base légale autorisant le traitement : consentement libre et éclairé de l’utilisateur, strictement nécessaire à l’exécution d’un contrat passé avec l’utilisateur ou au respect d’une obligation légale, strictement nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, etc. Cette étape supplémentaire permettra de s’assurer de la licéité du traitement.

De mon expérience professionnelle récente, il est judicieux de consolider la liste détaillée des données personnelles manipulées par chaque application et chaque métier (penser au fichier MS Excel qui se promène ici ou là dans les services !). Cela permet ainsi lors de la constitution du registre de pouvoir déduire les catégories de DCP traitées des applications nécessaires à chaque traitement.

Ce registre établi, il devient possible d’identifier l’ensemble des traitements de données sensibles2 pour faire réaliser par leurs responsables les « études d’impact sur la vie privée» (EIVP ou PIA). Ces études mettront en lumière les caractéristiques du traitement, les risques auxquels sont exposées les données et les personnes concernées, et les mesures de sécurité mise en œuvre pour réduire ces risques. Là encore, la CNIL a publié, en version beta, un logiciel et des guides (même page, section Guides PIA).

Dans la mesure où les risques sont élevés, la consultation de la CNIL nationale est obligatoire avant le déploiement du traitement3. Cette dernière pourra s’opposer au traitement si elle l’estime nécessaire.

La réalisation de ce registre et des PIA mettra peut-être (qui a dit « sans doute » ?!) en lumière des situations irrégulières, qu’il faudra alors corriger. Bon courage.

Obligation de sécurité et de notification

Stricte application du principe de privacy by design, le responsable de traitement est soumis à une obligation générale de sécurité pour garantir un niveau de sécurité adapté, tenant compte de l’état de l’art, des coûts, des risques et de la nature du traitement.

Il convient, pour s’y conformer, d’adopter et d’appliquer une méthodologie d’évaluation des risques incluant une EIVP, de déployer concrètement les mesures de protection décidées, et de tester régulièrement l’efficacité de ces dernières. Le respect de cette obligation de sécurité s’étend bien entendu à l’ensemble des sous-traitants mandatés par le responsable du traitement, mais seul ce dernier en porte la responsabilité juridique.

En complément de ces mesures préventives, le Règlement pose également des obligations de notification en cas d’atteinte à la sécurité des données :

  1. notification de l’autorité de contrôle nationale dans les plus brefs délais, lire dans les 72 heures après avoir pris connaissance de la violation des DCP, tout retard devant être justifié
    • nature de la violation, incluant les catégories et le nombre approximatif de personnes concernées et les catégories et le nombre approximatif d’enregistrements concernés ;
    • nom et coordonnées du DPO ou d’un autre point de contact pour obtenir plus d’informations ;
    • description des conséquences probables de la violation des DCP ;
    • description des mesures prises ou proposées par le responsable du traitement pour remédier à la violation des DCP, y compris les mesures pour atténuer les éventuelles conséquences négatives.
  2. notification individuelle des personnes concernées, lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, dans les plus brefs délais (pas d’obligation chiffrée cette fois-ci)
    • la notification « décrit, en des termes clairs et simples », la nature de la violation des DCP ainsi que les informations déjà notifiées à l’autorité de contrôle (cf ci-dessus) ;
    • dispense de notification si des mesures comme du chiffrement étaient mises en place, ou si la notification individuelle exigerait des efforts disproportionnés. En ce cas, une communication publique sera effectuée ;
    • l’autorité de contrôle nationale peut exiger que le responsable de traitement procède à la notification si elle l’estime nécessaire.

Crédibilisation de la régulation

Les pouvoirs des autorités de contrôle sont renforcés par le RGPD, pour dissuader notamment les grandes multinationales de jouer avec la loi. Ainsi, ces autorités disposeront désormais des pouvoirs d’enquêtes suivants :

  • ordonner au responsable du traitement de lui communiquer toute information nécessaire à l’exécution de leurs missions ;
  • notifier au responsable du traitement une violation alléguée du RGPD ;
  • obtenir du responsable de traitement l’accès à toutes les DCP et toutes les informations nécessaires à l’accomplissement de leurs missions ;
  • obtenir l’accès à tous les locaux du responsable du traitement.

La CNIL pourra également ordonner des mesures correctrices :

  • prononcer un avertissement ;
  • mettre en demeure l’entreprise défaillante ;
  • limiter temporairement ou définitivement un traitement ;
  • suspendre des flux de données ;
  • ordonner de satisfaire aux demandes d’exercices des droits des personnes ;
  • ordonner la rectification, la limitation ou l’effacement des données.

Enfin, les amendes administratives sont significativement augmentées : elles pourront aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel consolidé (remontant jusqu’aux maisons-mère) mondial, le montant le plus élevé étant retenu. On est loin des 300 000 euros que prévoit actuellement notre code pénal !

  1. on pourra toujours discuter du faible nombre de sanctions prises par la CNIL : 41 en 3 ans (source data.gouv.fr↩︎

  2. « données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi […] les données génétiques ou biométriques » — CNIL ↩︎ ↩︎

  3. et, pour mémoire, la simple collecte est un traitement ! ↩︎

Articles connexes

De Informatique et Libertés au RGPD (épisode 1)
·1151 mots·6 mins
Sécurité IT Données Personnelles GDPR RGPD
Conformément à la loi Informatique et Libertés du 6 janvier 1978 modifiée, vous disposez d’un droit d’accès, de rectification et de suppression des données vous concernant. Combien de fois l’avez-vous lue, ou en tout cas survolée ? Cette petite phrase est présente partout. En quelques mots, elle présente les principaux droits que chaque individu possède sur ses données. Mais d’où vient-elle ?
Décision d’adéquation pour les USA
·1908 mots·9 mins
Sécurité IT CJUE CNIL Commission Européenne Données Personnelles GAFAM Privacy Shield RGPD Schrems Trans-Atlantic Data Privacy Framework
On l’attendait depuis l’arrêt Schrems II, la Commission européenne a rendu une décision d’adéquation des USA au regard du RGPD. Véritable avancée ou nuage de fumée ?
De l’intérêt de la Privacy pour Madame Bismuth
·2525 mots·12 mins
Sécurité IT CNIL Données Personnelles Privacy RGPD Vie Privée
On a parlé du cadre législatif et réglementaire, on a abordé les impacts pour les entreprises et on a survolé les conséquences du RGPD pour un citoyen européen. Mais dans la vraie vie, qu’est-ce que cela change, et pourquoi est-ce important ? Surtout que vous, vous n’avez rien à cacher !