On le sait, VOTRE objectif 2018, c’est que votre fille maîtrise son « petit pont » pour rabattre le caquet de Kylian au championnat départemental, mais quid du traitement des données personnelles que vous avez laissées au Club quand elle s’est inscrite l’année dernière ?
Article rédigé d’après les propos de Philippe Roggeband, Manager, Security Sales Business Development team
-
L’importance d’encadrer le traitement des données personnelles à l’ère digitale
En mai 2018, le GDPR (General Data Protection Regulation) ou RGPD en français (Règlement général sur la protection des données) aura un impact sur les citoyens, les organisations commerciales mais aussi sur les associations à but non lucratifs comme les associations.
Déjà en 1995, l’Union Européenne avait émis une directive pour protéger les données personnelles des citoyens, mais il fallait l’adapter aux nouvelles technologies comme le Cloud ou le tout digital qui à l’époque étaient des concepts vagues ou inexistants.
L’arrivée de le RGPD marque une rupture et une prise de conscience des états pour protéger par la loi les données personnelles des citoyens. Il s’agit d’une application immédiate dès le 9 mai 2018 et de manière strictement identique dans les pays de l’UE pour les droits et obligations qui en découlent.
La loi votée le 27 avril 2016, ne contient aucune obligation technologique. 173 clauses définissent le contexte de cette réglementation et environ 90 articles détaillent et définissent des politiques de sécurité, des procédures et des rôles à mettre en place. N’y figure aucun schéma ou moyen technologique à déployer.
Il s’agit bien d’un texte juridique qui décrit des procédures à mettre en place par les organisations. Ces dernières devant garantir la protection des données personnelles
-
Qu’est –ce que la protection des données personnelles ?
La directive définit les données à caractère personnel comme suit : « Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »
Le texte décrit les 2 grandes principes que recouvrent la protection des données :
1/ La Sécurité des données consiste en la capacité de conserver leur confidentialité stricte et leur intégrité, au sens où elles ne peuvent pas être modifiés de manière illogique ou sans cadre règlementaire défini.
2/Le Traitement des données concernent les modes d’utilisation et de partage des données.
-
Les 3 piliers du RGPD : Droit des citoyens, obligations des Etats et des organismes
1 – Droits de citoyens sur leurs données personnelles uniquement
Rappelons que le champ d’application concerne la localisation du sujet. Dès lors qu’il est dans l’UE, le RGPD s’applique.
- Le fournisseur pourra collecter les données personnelles de son client dès lors qu’elles sont strictement nécessaires à la réalisation du service demandé (Par exemple dans le cas d’un achat sur Internet, l’acheteur devra légitiment fournir son nom, prénom, adresse de livraison, email numéro de carte bancaire). Si le fournisseur souhaite collecter des données supplémentaires pour compléter le profilage de son client non nécessaire à la réalisation du contrat, il devra lui demander son consentement explicite.
- La réglementation prévoit aussi que le citoyen pourra révoquer son consentement, faire valoir son droit à l’oubli (suppression de ses données personnelles) et de portabilité (transfert de ses données d’un fournisseur A à B)
2 – Obligations pour les états membres
- Chaque état membre de l’UE doit définir une autorité de référence indépendante, vers laquelle les citoyens pourront se retourner si leurs droits étaient bafoués. Il s’agit de la CNIL en France.
3 – Obligations pour les organismes
- Comme évoqué, les organismes doivent mettre en œuvre un ensemble de processus et une organisation capables d’assurer la protection des données personnelles telles que spécifiées plus haut.
- Les obligations des organismes varient selon leur rôle. Un organisme est considéré comme « Data Controller » s’il définit la stratégie de collecte et de traitement des informations personnelles. Il est « Data Processor » s’il opère l’infrastructure sur laquelle a lieu le traitement de ces données.
- Pour les organismes dépassant la taille de 200 collaborateurs, le rôle de DPO (Data Protection Officer) doit être créé pour porter la responsabilité de la mise en œuvre et des procédures.
- Les organismes doivent documenter l’ensemble des dispositions mises en œuvre en cas d’audit. Ils doivent également désigner un organisme tiers capable d’auditer et de rendre compte de la conformité des dispositions prévues par la Réglementation (Privacy Impact Assesement) et s’enregistrer auprès de l’autorité compétente (La CNIL en France)
- Enfin, en cas de brèche, de fuite ou de vol de données, les organismes sont tenus de le déclarer aux autorités dans les 72 heures suivant l’incident.
-
Des risques à la hauteur des enjeux
Les sanctions budgétaires sont à la hauteur des enjeux liés au GRPD et à ses ambitions. Pour les organismes ne respectant les obligations, l’amende peut monter jusqu’à 2% du CA avec un plafond de 10 Millions d’euros. La note double si la non-conformité résulte d’un manquement évident ou est à l’origine d’un préjudice.
Néanmoins, il faut noter qu’il n’existe pas de label et que les organismes doivent apporter la preuve de leur bonne foi en cas de litige. Ils sont par défaut présumé « coupable ».
-
Quelle démarche pragmatique vers la conformité ?
Vous êtes peut-être déjà « RGPD ready » sans le savoir si votre organisme a mis en place des processus et des solutions qui visent la sécurité des données de vos clients. Le RGPD est une suite logique aux nouveaux risques et enjeux de l’économie digitale.
Nous vous conseillons une démarche de bon sens pour arriver à l’objectif RGPD :
1 – Faire un audit de l’existant
2 – Faire un audit des applicatifs : Sont-ils compatibles notamment avec les notions de consentement explicite, de révocation et de droit à l’oubli ?
3 – Opérer une classification des données selon leur nature : personnelle ou non, sensible ou non
4 – Evaluer vos capacités opérationnelles : les procédures sont-elles claires ? Permettent-elles par exemple d’escalader et de traiter les problèmes en cas de brèche ou de violation de données ?
Cisco propose aujourd’hui une gamme de services allant de l’évaluation de votre maturité « GRPD », à la proposition de moyens techniques en passant par l’élaboration d’une road map.
L’expertise technologique de Cisco s’appuiera notamment sur les questions de protection du data center, de la sécurité des données hébergées dans le cloud, du contrôle d’accès au niveau granulaire et enfin de la détection/notification des brèches et intrusions dans le réseau.
Ressources et définitions
- « Données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
- « Traitement », toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
- « Responsable du traitement », la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.
- « Consentement »de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.
- « Violation de données à caractère personnel », une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ;