veillemag

Le rendez-vous des professionnels de l'information





Question de Droit

#GDPR, General Data Protection Regulation. Un an après ... Analyses et conclusions


Xavier Filiu.


Début 2015, j’ai contribué à la Cour de Justice de l’Union Européenne au Luxembourg, à quelques ateliers, entre autres sur les tenants, les aboutissants et les risques du profilage des individus sur internet et via l’usage des applications web. Les conclusions et analyses consécutives de ces ateliers ont préfiguré la loi européenne de la GDPR, General Data Protection Regulation.



Ce règlement, adopté le 14 Avril 2016 par le Parlement Européen, et à appliquer depuis le 25 Mai 2018 dans chacun des 28 états membres, constitue le texte de référence en matière de protection des données à caractère personnel, en faveur des individus de l’Union Européenne.

C’est sans conteste une des grandes révolutions culturelles dans les systèmes d’informations des sociétés, états, administrations, associations, … car enfin, nous avons décidé de comprendre et de définir les limites admissibles de ce que nous pouvons et devons gérer comme informations sur les individus dans les innombrables applications, systèmes et bases de données qui contribuent à régir l’économie mondiale d’aujourd’hui et de demain.

L’Union Européenne nous avait donné deux ans pour mettre en application ce règlement, et force est de constater, que bien souvent les projets de mise en conformité à la GDPR, francisée RGPD : règlement général à la protection des données, ont été plutôt lancés à partir de 2018, et non à partir de 2016. Que de très rares projets sont terminés. La plupart sont en cours, voire les premières bases ne sont pas encore finalisées, alors que les 99 articles du texte devraient être appliqués depuis 1 an.
Gardez le contact
Gardez le contact

Les B.A-BA de la mise en conformité ont en général été abordés.

Il s’agit pour la société, l’organisme, l’administration concerné de faire l’état des lieux de son système d’information quant aux données personnelles détenues et gérées dans leurs applications respectives.

Ce qui donne lieu au registre de traitements, établi par finalité (à savoir l’objectif principal d’une application ou d’un groupe d’applications informatiques). Selon aussi un fondement juridique bien défini pour chacun des traitements de données personnelles (justifié soit pour des raisons contractuelles, soit légales, soit sur la base du consentement explicite de chaque individu, soit pour assurer l’intérêt vital).

Au-delà du registre, les notions de responsable de traitement, de co-responsable en cas de sous-traitance, de droits des individus ont été plus ou moins comprises. Et beaucoup de chemin reste encore à parcourir aujourd’hui.
 
Nous ne pouvons pas citer de manière exhaustive toutes les tâches à réaliser, mais bien souvent les sociétés, organismes et administrations ont besoin d’être accompagnés pour justement définir les différentes étapes de mise en conformité progressive, graduelle et adaptée à leur organisation, à leurs traitements, même à leurs écosystèmes respectifs. Aussi bien avec leurs collaborateurs, leurs clients, leurs fournisseurs et les autres individus susceptibles d’être gérés dans leur système d’information, digital et/ou papier.
 

D’autres sujets tout aussi fondamentaux restent encore à établir, communiquer, appliquer.

D’abord l’information sur le règlement, le pourquoi du comment, qu’est ce qu’une donnée personnelle, a-t-on le droit de la récolter et la gérer, comment fonctionner à ce titre avec son et ses sous-traitants, avec ses clients, dans les flux d’informations, les mentions d’information sur les sites web, etc…

Ensuite, la gouvernance globale RGPD et l’organisation de la bonne application des textes de loi pour protéger les individus, la société, l’organisme passe par la nomination d’un DPO, Data Protection Officer, ou francisé : d’un DPD, Délégué à la Protection des Données. Qui peut être aussi bien interne qu’externe ou mutualisé pour plusieurs filiales en même temps. Une société de service spécialisée peut accompagner chacun de ses clients dans sa mise en conformité RGPD, de A à Z, et l’assurer ensuite de la conformité du cycle de vie ‘protection des données à caractère personnel’ de son système d’information, en prenant la casquette de DPO externalisé.

Il les assistera alors à évaluer le niveau de conformité, cartographier les données personnelles dans les différentes applications, minimiser les données, établir les PIA, privacy impact assessment, étude d’impact sur la vie privée, constituer les procédures de gestion des droits des individus (accès, rectification, suppression, …). 
Ainsi qu’à gérer les consentements des individus, l’archivage, la gestion des incidents, établir la politique de protection des données, assurer le chiffrement, l’authentification, la traçabilité, le transfert de données, le conseil en mesures de sécurité et de protection des données, écrire la charte informatique, assurer la sensibilisation des personnels, et à auditer le tout.

Enfin à préparer des clauses types pour les appels d’offre, la revue des contrats, des conventions, le dialogue avec certains éditeurs / sous-traitants, cadrer les échanges avec les tiers, les évaluer, les scorer.
Ce n’est pas qu’une obligation, une contrainte, le règlement RGPD est une chance, une opportunité de faire de notre système d’information, non pas seulement un Big Data où personne ne se préoccupe des milliards de contenus, mais justement un contenant sécurisé où les droits de la vie privée de chacun sont respectés.
 
 

Depuis un an, les plaintes des individus, les contrôles réalisés en France par la CNIL et les sanctions consécutives sont et font légions.

Ces dernières sont souvent accompagnées par une exposition médiatique peu flatteuse, et/ou par une amende qui peut être substantielle, voire par des suites pénales.
  • Les principaux manquements sanctionnés furent les suivants : défaut d’information aux collaborateurs, irrespect des droits des individus, manque de mesures de sécurité, absence de politique et de process de sécurité, ou alors non appliqués, non définition des responsabilités entre responsable de traitement et sous-traitants, manque de PIA sur des applications critiques, traitement illicite de données personnelles.
En poursuivant sur le manque d’information sur les cookies et leur traitement, la non application du principe de minimisation des données et de limitation de leur conservation, enfin bien sûr les fuites de données non communiquées, ou pas dans les temps impartis par le règlement. Et, on peut citer un cas pratique largement médiatisé : la violation du principe de transparence, par Google LLC. Leur politique de confidentialité était complexe, difficile à comprendre et à appliquer et ils furent sanctionnés ‘significativement’ pour cela par la CNIL.
 
En tous cas, ce règlement européen à la protection des données fait vraiment évoluer les mentalités, de nos dirigeants, des utilisateurs, des individus. Ces derniers sont plus au courant de ce que les sociétés, organismes, administrations ont le droit de faire et de ne pas faire. Ce règlement permet d’accroître les mesures de sécurité appliquées aux périmètres sensibles, permet de donner plus de sens à la valeur de la donnée, et par la même à notre patrimoine informationnel. Que nous devons tous et chacun tâcher de préserver, afin d’en assurer l’intégrité, la confidentialité et la finalité.
 

A propos de Xavier Filiu. RSSI - DPO - Département SSI - Sécurité des Systèmes d’Information PROXIAD Responsable de la Sécurité des Systèmes d’Information & Data Protection Officer

Près de 30 ans dans la direction de projets informatiques, RSSI depuis 15 ans, DPO depuis 4 ans, Xavier Filiu a défini et mis en place des stratégies, politiques et solutions de sécurité et de protection des données dans différents types d'entreprises, de services, industrielles, financières, notamment au regard des exigences clients et réglementaires.
Il a su rapidement profiter des standards et des règlements comme des leviers de sponsoring des projets sécurité souvent considérés comme de coûteuses contraintes. Il en décelait la valeur ajoutée apportée aux métiers pour convaincre le management et contribuer activement à la réduction des risques.













Spécial Abonnés

Partager ce site