L’UE a décidé de sévir contre les abus de données. Tout qui collecte des données personnelles et ne se protège pas correctement contre les pertes s’expose à des amendes sévères. A quoi faut-il veiller et comment se prémunir?
Tout qui constate une perte de données dispose désormais de 72 h après les faits pour en faire état, tandis que tout qui stocke des données à caractère personnel doit pouvoir justifier pourquoi et combien de temps il entend les stocker. Avec son Règlement général sur la protection des données (RGPD), l’Europe semble décidée à légiférer en matière de stockage débridé de données. Désormais, votre organisation a 2 ans pour se conformer à cette nouvelle réglementation.
Le règlement s’applique à l’ensemble de l’UE, même aux entreprises extérieures qui travaillent sur des données de personnes de l’UE. En principe, les amendes ne seront appliquées que d’ici 2 ans (25 mai 2018), mais selon la nature et le volume des données traitées, votre organisation risque bien d’avoir besoin de pas mal de temps pour se conformer à la nouvelle disposition.
Cartographie
“En tant qu’entreprise, organisation ou administration publique, vous devez d’abord commencer par un assessment en faisant un instantané de la manière dont vous traitez à ce moment précis vos données. Faites-vous en l’occurrence assister par quelqu’un qui connaît la législation et dispose des connaissances IT nécessaires pour traduire la législation en fonction des besoins de votre structure”, explique Fabienne Lens, regulatory compliance director Europe chez CTG. CTG assiste les entreprises à comprendre la législation et à organiser le traitement des données. “Vous devez aussi faire du vendor management et veiller à ce que vos sous-traitants et partenaires respectent la législation. Ceux-ci doivent également pouvoir prouver qu’ils sont en règle. S’ils ne veulent pas ou ne peuvent pas le faire, vous devez vous tourner vers un autre partenaire.” Il en va de même pour les entreprises belges qui transmettent ces données à leur maison mère.
Un autre aspect concerne les procédures proprement dites. “Il faut les formaliser et décrire les responsabilités de chaque acteur ainsi que la manière de réagir à une perte de données. Idéalement, il conviendrait aussi de tester ce type de fuite pour voir qui est concerné et comment l’obligation d’avertissement est respectée. En fait, tous ces éléments devraient être maîtrisés avant qu’une véritable perte ou fuite n’arrive.”
Lens insiste aussi sur l’importance de la sensibilisation et de la formation du personnel, de même que sur la désignation d’un DPO (digital protection officer). “Il peut s’agir d’un employé interne, mais aussi d’une personne extérieure. Cela dit, il est important que ce DPO puisse réagir et travailler en toute indépendance. Il ne doit pas forcément s’agir d’un juriste, mais de quelqu’un qui maîtrise la compliance et ait des connaissances IT.”
Quant à savoir quels types de mesures mettre en oeuvre, tout dépend du type de données stockées. Si vous suivez déjà les bonnes pratiques depuis des années, la procédure devrait être plus facile. Mais l’organisation qui n’a encore rien fait et qui stocke des données sensibles risque d’avoir plus de travail. Mais après, le travail n’est pas fini. “Une fois la préparation terminée, il importe de réaliser un check-up. Car vous recrutez de nouveaux collaborateurs ou certaines procédures risquent d’être oubliées à certains moments délicats. Il faut donc se contrôler constamment. Même si c’est moins important une fois que les règles sont suivies.”
À l’aide, une perte!
L’un des aspects importants du RGPD est la possibilité de contrôle et de sanctions par les autorités locales sur la vie privée. “Cela peut être après la notification d’une perte/fuite ou suite à une plainte, mais des interventions spontanées sont aussi possibles”, poursuit Lens. Les amendes portent sur 2 types d’infractions. Ainsi, l’organisation qui n’a pas informé d’une perte/fuite dans les 72 h peut se voir imposer une amende allant jusqu’à 10 millions € ou 2 % de son chiffre d’affaires annuel (le montant le plus élevé étant d’application). L’autre amende concerne par exemple le stockage de davantage de données que ce qui est autorisé. En l’occurrence, l’amende peut atteindre 20 millions € ou 4 % du chiffre d’affaires annuel (ici aussi, le montant le plus élevé s’applique). “Personne ne sait ce qu’il adviendra dans le futur. Mais il est inévitable qu’il y aura des amendes. La priorité est donc de se mettre en règle.”
Ajoutons que le règlement attache beaucoup d’importance à la notification des pertes/fuites et à l’utilisation responsable des données. Mais les amendes record ne concernent pas forcément les pertes elles-mêmes. C’est logique dans la mesure où l’on sait que presque tout peut être piraté. Reste qu’en prenant les mesures nécessaires, on peut limiter sensiblement l’impact d’un tel piratage. Par ailleurs, l’Europe entend par ces mesures stimuler les organisations à faire état de toute perte ou fuite. En punissant l’imprévoyance, consciente que la malchance existe. Inversement, une autorité de la vie privée (comme la Commission vie privée belge) sera moins tendre si elle constate que la perte est la conséquence d’un non-respect des règles de sécurité.
Priorité à la vie privée
Le RGPD est en préparation depuis 2011 déjà, mais contrairement à une directive, cet ensemble de mesures est directement d’application dans toute l’Europe. Cela dit, les Etats membres peuvent le cas échéant renforcer ces règles, ce qui pourrait se traduire par des variantes locales. Ainsi, le stockage de données relatives aux enfants de moins de 16 ans nécessite l’autorisation des parents, mais l’Europe a prévu de pouvoir abaisser cette barrière à 13 ans.
La législation a surtout pour but d’offrir aux citoyens davantage de contrôle et de prise sur les données. “C’est nettement plus transparent, estime Lens. Une entreprise doit pouvoir préciser quelles informations elle collecte, stocke ainsi que où et pourquoi elle le fait. Les données oubliées sur de vieux serveurs poussiéreux, c’est du passé.”
La législation prévoit aussi la vie privée by design et by default. L’autorisation sur vos propres données doit être consentie librement pour un but spécifique, et le choix doit être laissé de l’accepter. De même, les organisations doivent communiquer de manière claire, simple et compréhensible sur les données qu’elles collectent et traitent.
A noter pour les utilisateurs qu’à l’avenir, ils auront droit à une indemnisation tant de l’organisme de contrôle que de traitement des données si des dommages ont été subis suite à la violation du RGPD. De même, le droit à l’oubli est prévu dans ce RGPD. Dans certains cas en effet, les utilisateurs ont le droit de demander l’effacement de données ou de faire transférer leurs données d’un contrôleur à un autre. Ce qui vous oblige en tant qu’entreprise à mettre en place un processus pour permettre l’effacement rapide et complet de données, de même que sur la procédure de transfert vers un tiers.
Les 7 principes de la protection des données
– Traitez les données de manière légale, honnête et transparente en fonction du type de données (par exemple votre utilisateur).
– Ne collectez des données qu’à des fins spécifiques, expresses et légi- times et ne traitez pas les données qui ne correspondent pas à ces finalités.
– Collectez les données de manière adaptée et pertinente, et limitez la collecte à ce qui est nécessaire en fonction des objectifs.
– Conservez des données précises et, si nécessaire, actualisées.
– Les thèmes des données ne peuvent plus être identifiables plus longtemps que nécessaire.
– Traitez les données avec la sécurité nécessaire pour les données personnelles.
– Le contrôleur (propriétaire) des données collectées a la responsabilité de démontrer qu’il est en règle avec les principes ci-dessus.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici