Dans 12 mois à partir d’aujourd’hui, le 25 mai 2018, toutes les entreprises auront l’obligation de se mettre en conformité avec la RGPD ((UE) 2016/679 du 27 avril 2016). Dans un contexte de forte croissance du nombre d’attaques, du volume de données et de la valeur de ces dernières, n’est-ce pas simplement du bon sens qu’il est temps d’appliquer ?
La RGPD : qu’est-ce donc ?
Le Règlement Général pour la Protection des Données (RGPD ou GDPR in english) a pour objectif de renforcer les droits des citoyens et leur donner plus de maîtrise sur leurs données personnelles. Le règlement a également la bonne idée d’être applicable dans les même conditions partout en Europe avec un cadre juridique harmonisé (pas de distorsion sur ce point-là donc).
Qui est concerné ?
Pour faire simple, toutes les entreprises. Tous les systèmes traitant de données permettant d’identifier ou de rendre identifiable, directement ou indirectement, les personnes physiques sont dans la cible.
Autrement dit, si votre SI (ou celui de votre sous-traitant) contient et traite des noms, prénoms, adresses, âges, coordonnées bancaires, … mais encore, des adresses IP (maintenant considérées comme données personnelles depuis fin 2016), des IMEI, des plaques d’immatriculations (avez-vous des caméras dans votre parking ?), des badgeuses (souvent accompagnées de photos), des logs d’activités, des profils de comportement ….alors, vous êtes concernés. Rares seront les entreprises épargnées.
Que faire ?
Il y a un vrai changement de paradigme qui passe par un remplacement de l’obligation de déclarer ses traitements à la CNIL, par une une obligation d’autorégulation des entreprises, qui doivent apprécier l’impact de leurs traitements sur la vie de leur clients, et mettre en place une documentation démontrant leur maîtrise du sujet. L’obligation d’assurer la sécurité des données est renforcée, le règlement européen ne se contentant plus d’une déclaration de principe sur le sujet : les moyens d’assurer la sécurité des données sont définis dans le texte, et tout incident de sécurité doit être déclaré auprès de la CNIL dans les 72 heures maximum. Encore faut-il avoir les moyens de les identifier ! Il est également obligatoire de mettre en œuvre les outillages et les procédures permettant de démontrer le respect des règles.
L’ensemble des nouveaux traitements doit respecter le « privacy by design » et le « privacy by defaut ». Le sujet sécurité ne pourra donc plus être la queue de chantier des projets.
Le remplacement d’une « contrainte technique » (moyens de protection demandés par les architectes) par un prérequis business: L’externalisation du risque vers un sous-traitant n’est plus envisageable, ici aussi les preuves concrètes du bon fonctionnement prennent le pas sur le déclaratif. Si ce sous-traitant souhaite garder son client, il doit donc y mettre tous les moyens (protéger, détecter, organiser…). Comment réagiront les groupes dont les externalisations traversent les frontières européennes, confiant ainsi des données personnelles à des entreprises non-soumises à la GDPR ?
Une analyse d’impact relative à la GDPR (AIPD) doit être réalisée tous les 3 ans et est obligatoire pour tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
La nomination d’un DPO (Data Privacy Officer) est obligatoire pour toute entreprise procédant à des traitements importants de données. C’est lui qui aura notamment la charge de mettre en place la documentation visée ci-dessus.
Quels sont les risques ?
Ce changement s’accompagne d’une évolution des sanctions à encourager la vigilance. La CNIL a la possibilité de prononcer une sanction administrative dont le montant s’élève aujourd’hui à 3 M€ (elle était avant de 150 K€), et elle a en outre décidé de transmettre les dossiers au parquet pour une sanction pénale. La RGPD augmente le montant des sanctions administratives, qui pourront aller, seon les manquements à 2 ou 4% du CA de l’entreprise et jusqu’à 20 M€ pour les administrations.
Il reste une question : Est-ce que le régulateur sera bienveillant (sachant l’ampleur de la tâche pour les entreprises) ou cherchera-t-il un exemple (qu’il n’aura aucune difficulté à trouver). Dans le second cas de figure, il restera pour l’entreprise, à gérer l’impact sur son image…
12 mois donc…pour auditer…. pour organiser… pour faire évoluer … Business as usual … ou presque.