À quelques jours de l’entrée en vigueur du Règlement général sur la protection des données (RGPD) dans toute l’UE, les DSSI et leurs responsables de la sécurité et de la gestion des risques se posent encore de nombreuses questions.

Depuis un an, la préparation au RGPD est devenue la priorité absolue des directeurs de la sécurité des systèmes d'information (DSSI) et de leurs confrères responsables de la protection des données à caractère personnel et de la gestion des risques.

Chaque semaine, une trentaine de DSI et de responsables de la sécurité et de la gestion du risque contactent des sociétés de conseil pour s'enquérir des procédures afin de respecter ces nouvelles règles. Pour susciter la confiance des clients et échapper à des amendes prohibitives, il est primordial que les DSI et les dirigeants identifient tous les processus métier impactés par le RGPD. En parallèle, les responsables de la sécurité et de la gestion des risques doivent mettre en place un programme dédié à la vérification de l'observation des dispositions du règlement.

Néanmoins, cinq questions méritent d'être clarifiées :

1. Que recouvre exactement la notion de "traitement" des données personnelles ?

Par “traitement”, le RGPD entend toute action portant sur des données, de leur création ou leur obtention jusqu'à leur destruction finale, mais aussi toutes les opérations réalisées durant leur cycle de vie. Celles-ci englobent la copie, la modification, la pseudonymisation, le transfert, le stockage et, globalement, tout ce qu'une organisation peut être amenée à faire avec des données. Ainsi, le règlement s'appliquerait à des données projetées via l'écran d'une tablette à Dubaï si celles-ci sont en réalité hébergées dans un Datacenter situé aux Pays-Bas.

2. Au sein d'une organisation, qui est le garant du respect de ce règlement ?

Afin de se préparer à l'observation de règles nouvelles, toute organisation doit repenser sa structure dans le but de confier à chacun les bonnes responsabilités mutuelles. Pour chacun des processus métier qu'elle utilise, elle devra désigner un responsable dédié. Celui-ci sera chargé entre autres de réaliser à intervalles réguliers des évaluations d'impact sur la protection des données personnelles et des risques. Il devra également déterminer si le résultat s'inscrit dans la limite des risques que l'entreprise est prête à assumer. Il faudra donc octroyer à ces responsables les ressources et compétences adaptées pour atténuer les risques.

Pour permettre à leur organisation de prendre des décisions éclairées, basées sur des exercices de sensibilisation à la protection des données, les responsables de la sécurité et de la gestion des risques doivent évaluer les risques qui pèsent tant sur la confidentialité des données que sur les activités de l'entreprise. Ils doivent ensuite proposer à chaque responsable de processus métier des mesures correctrices qu'ils pourront décider d'adopter et d'appliquer. Chacun pourra alors accepter le risque résiduel, ou renforcer les mesures d'atténuation jusqu'à ce que le risque soit jugé acceptable.

3. Quelles données personnelles les organisations sont-elles autorisées à traiter ?

Avec les contrôles appropriés, il est possible de traiter presque tous les types de données. Cependant, toute organisation doit d'abord déterminer le fondement juridique de ce traitement, puis le documenter. Après avoir défini la finalité de cet usage, elle peut expliquer en quoi le traitement des données personnelles est un impératif pour y parvenir.

Le RGPD instaure entre les données traitées et leur finalité une relation croisée régie par un “plan de conservation” prévoyant une durée de conservation spécifique pour chaque finalité. Ce document indique quelles données peuvent être utilisées, et dans quelle situation. Évidemment, le fait de restreindre l'usage des données aux seuls cas autorisés par le RGPD impose de faire le nécessaire pour empêcher tout traitement injustifié. Cela passe par une gestion des autorisations et des accès et par l'application d'outils de pseudonymisation. Après l'atteinte des objectifs auxquels les informations étaient destinées et l'échéance de la période de conservation, les organisations sont tenues d'effacer les données personnelles.

Par ailleurs, celles-ci doivent être conservées pendant le plus court délai possible, et pas plus longtemps que ce qui est raisonnablement “nécessaire” pour atteindre l'objectif que sert leur traitement. Pour garantir l'efficacité de la protection des données personnelles et de l'identification des risques les menaçant, la confidentialité de toutes les données personnelles traitées doit être observée dans le cadre du traitement.

4. Le RGPD modifie-t-il les règles encadrant le consentement ?

Le consentement doit désormais répondre à des caractéristiques bien définies. Il doit tout d'abord être libre. La personne concernée ne doit pas être contrainte, trompée par une vente croisée ou soumise à une quelconque pression ; elle doit être libre de refuser ou de retirer son consentement sans subir de préjudice. Un principe qu'il n'est pas toujours simple de respecter. Par exemple, certains employés peuvent craindre de perdre leur emploi s'ils n'autorisent pas leur entreprise à mener certaines activités de traitement.

De plus, le consentement doit être univoque et donné pour une finalité spécifique, et les informations fournies aux utilisateurs suffisamment claires pour qu'ils puissent se décider en connaissance de cause. En outre, une bonne gestion du consentement relève du responsable du traitement et couvre non seulement l'administration (enregistrement) du consentement en soi, mais aussi les conditions dans lesquelles il a été octroyé.

5. Est-on sanctionné en cas de violation de données ?

Pas forcément. Aucun mécanisme de sécurité n'est infaillible et, à moins de renoncer au traitement des données, le risque zéro n'existe pas. Les organisations doivent donc partir du principe qu'elles seront tôt ou tard victimes d'une violation de données. Reste qu'elles sont tenues de faire le nécessaire pour éviter ce genre de désagrément, c'est-à-dire d'appliquer des contre-mesures préventives, adaptées et capables de détecter les tentatives d'attaque.

Le RGPD ne prévoit pas de sanction pour les organisations victimes d'une simple violation de données, mais leur impose de signaler ces violations - ou “toute perte involontaire de (contrôle sur des) données personnelles” - à l'autorité de contrôle compétente 72 heures au plus tard après s'en être aperçus. Si la violation est susceptible d'avoir une incidence sur les personnes auxquelles les données volées se rapportent, l'organisation doit également les prévenir. En cas de défaut de conformité révélée par une enquête consécutive à cette violation, ou même de simple défaut de notification, l'organisation pourra être sanctionnée par l'autorité de contrôle compétente.