19 octobre 2017 Emilie Sébert

La protection des données personnelles : moins d’un an pour se mettre en conformité

Le Règlement général sur la protection des données (RGPD) constitue le nouveau texte européen de référence en matière de protection des données personnelle. Le compte à rebours a commencé car il rentrera en vigueur le 25 mai 2018.
Comment se préparer efficacement à l’application du règlement ? Comment anticiper sa mise en œuvre ? Quelles évolutions apporter aux pratiques des e-commerçant ?

Dans moins d’un an, les traitements informatisés de données personnelles ne devront plus faire l’objet d’une déclaration préalable à la CNIL (Commission nationale informatique et libertés ) comme c’est le cas actuellement, mais être en conformité avec un nouveau règlement européen, le RGPD (Règlement général sur la protection des données daté du 27 avril 2016), qui supprimera la plupart de ces déclarations.

Toutefois, ce n’est pas pour autant que les entreprises n’auront plus aucune obligation par rapport à leur clientèle et à leurs ressources humaines.

Qu’est-ce que le RGPD?

Le RGPD n’est plus ni moins qu’un renforcement du texte de Loi informatique et libertés du 6 janvier 1978 qui réglemente la liberté de traitement des données personnelles et garantit aux personnes fichées:
– un droit d’accès
– un droit d’opposition
– un droit de rectification
– un droit à l’effacement

Le RGPD vient ajouter deux droit supplémentaires:
– un droit à la limitation
– un droit à la portabilité

Dans les faits, les entreprises intervenant dans le traitement des données doivent mettre en place des mesures techniques et organisationnelles, à savoir:
– obligation de protection des données dès la conception
– obligation de protection des données par défaut

Les mesures destinées à mettre en oeuvre les principes relatifs à la protection des données, sont de 3 types:
– la pseudonymisation, le chiffrement, la minimisation
– la confidentialité, l’intégrité, la disponibilité, la résilience
– les tests et évaluations régulières des mesures techniques et organisationnelles

Autre nouveauté, les responsabilités et les obligations sont partagées entre tous les acteurs intervenant dans le traitement des données:
– le responsable de traitement
– le responsable conjoint de traitement
– le sous-traitant

Concrètement, les responsables de traitement devront face au sous-traitant:
– vérifier les garanties concrètes offertes par le sous-traitant en matière de protection de données
– encadrer les relations avec le sous-traitant par le biais d’un contrat écrit comportant les exigences écrites
– vérifier qu’il respecte les nouvelles obligations mises à sa charge

En tant que sous-traitant, celui-ci devra:
– respecter les nouvelles obligations à sa charge: notification des violations, registre, DPO
– recruter uniquement des sous-traitants qui offrent des garanties concrètes quant à la protection des données
– alerter

Comment se préparer efficacement à l’application de ce nouveau règlement ?

Si les contrôles préalables systématiques de la CNIL seront supprimés (sauf pour certaines données sensibles qui restent à définir), ils vont être remplacés par une série d’obligations qui imposera aux entreprises d’analyser leurs traitements de données personnelles en amont, afin de mesurer leur impact sur la vie privée.

En cas de contrôle par la CNIL, elles devront démontrer qu’elles sont en conformité avec les règles en vigueur, ce qui nécessitera la tenue d’une documentation interne à jour sur les procédures qu’elles mettent en œuvre.

Devant l’explosion de la technique du ransomware, (installation d’un logiciel malveillant qui chiffre les données personnelles), largement utilisée par les hackers pour obtenir des rançons, apparue en Russie et prenant de l’ampleur désormais dans des pays tels que l’ Australie, l’Allemagne, ou les États-Unis, le législateur a souhaité protéger l’utilisateur qui laissent ses coordonnées sur les divers sites internet. L’idée sous-jacente est que les systèmes doivent être conçus par défaut pour protéger tous ces données personnelles (« Privacy by design »).

Mais il s’agit également de protéger les ressources internes des personnels, en garantissant la confidentialité des informations utilisées pour la gestion administrative des ressources humaines (gestion des dossiers du personnel, tenue d’un annuaire interne, d’un organigramme) et celles relatives au contrôle et de surveillance (comme l’écoute des appels téléphoniques dans le but d’améliorer le contact clientèle, ou les systèmes de vidéosurveillance).

Tout fichier comportant des détails personnels sur les employés d’une entreprise, (nom, prénom, photos ou vidéo, données biométriques) est considérée comme un traitement de données personnelles devant faire l’objet de la protection.

Il s’agit donc d’une stratégie relative à deux axes à mettre en œuvre, celui de la gestion des données internes, et celui des données provenant de l’extérieur.

À l’heure où une étude révèle que seules 43 % des organisations françaises disposent d’un plan complet pour s’adapter à ce règlement européen, applicable dès le 25 mai 2018 , il est temps de réaliser ce qu’il implique pour les entreprises, et les mesures à prendre pour s’y conformer au plus vite, sachant que les amendes en cas de non-respect pourront atteindre 20 millions d’euros, ou 4% du chiffre d’affaires mondial.

Comment se préparer efficacement à l’application du règlement ?

En matière de e-commerce, les implications concernent deux aspects de l’activité :

– Le premier concerne l’informatique et le traitement des données, ainsi que les responsabilités associées.

– Le second est relatif au marketing et à la publicité en ligne, touchés par les nouvelles contraintes en matière de cookies, qui inquiète énormément le e-commerce. Les e-commerçants risquent d’être pénalisés par la nouvelle norme avec un consentement global en ce qui concerne les cookies, et demandent à ce que le consentement recueilli sur le site prenne le pas sur le choix exprimé au niveau global. Cette mesure doit être encore discutée jusqu’à l’adoption définitive du règlement ePrivacy, prévue pour la fin de l’année 2017.

Le RGPD, induit donc de nouvelles obligations pour les entreprises qui doivent opérer d’importants chantiers internes pour répondre aux nouvelles normes. Hors, à l’heure actuelle, selon les sondages, 45 % des interrogés ignorent toujours le nouveau règlement européen, et parmi les mieux informés, seuls 24 % en mesurent les impacts et 87 % des organisations ne seront pas prêtes en mai 2018 car près de la moitié n’ont encore rien prévu.

La protection des données devra se faire dès la conception d’un projet avec le consentement (ou non) des individus. Il faudra qu’il y ait une protection par défaut et minimiser la collecte des informations seulement à celles indispensables.

Pour être en conformité avec le RGPD, les organisations doivent mettre en place des procédures leurs permettant de détecter et de se protéger contre des attaques de hackers, et de prédire et contenir les menaces au cœur de leur réseau. Elles vont se trouver dans l’obligation de signaler tout manquement à ces procédures et toute vulnérabilité dans les 72 heures au plus tard après les avoir constaté et de sauvegarder les données de leurs clients dans un endroit sûr.

La conformité au règlement se fait donc dès la conception du site, grâce à la protection optimale des données, dont la conformité devra pouvoir être démontrée à chaque instant, renforçant ainsi l’image de sérieux de l’entreprise auprès de ses clients. Loin de freiner l’activité économique, l’application de cette nouvelle règle européenne va créer des opportunités de développement en terme de chiffre d’affaires, grâce à la confiance accrue des clients.

Une entreprise qui ne voudrait donc pas se doter des moyens efficaces pour se mettre en conformité avec cette réglementation risque au contraire de voir son chiffre d’affaire s’effondrer en perdant la confiance des ses clients si un problème survient. La probabilité d’atteinte à la réputation suite à une violation de données est réelle, et fait le tour des médias et des réseaux sociaux en quelques heures, et il n’est pas rare qu’elle mène à une perte de clients difficile à récupérer par la suite.

Si cette réglementation impose la nomination d’un DPO (délégué à la protection des données), celle-ci l’impose seulement aux grandes entreprises comme les banques, les compagnies d’assurance, ou celles exerçant leur expertise dans des domaines sensibles comme celui de la santé, ou les entreprises du service public. Néanmoins, les plus petites entreprises devront elles aussi prendre des mesures pour se mettre à niveau des exigences du RGPD.

Quels sont les différentes stratégies à mettre en œuvre pour une entreprise ?

– La nomination d’un DPO pour les plus grandes d’entre-elles, le plus souvent c’est l’ancien correspondent informatique et libertés qui va changer d’intitulé de poste.

– La sensibilisation de l’ensemble de l’entreprise au sujet des données à caractère personnel, et la prise en compte de l’aspect éthique de la question, en identifiant clairement les traitements déjà en place.

– La mise en place d’une documentation, afin d’être en mesure de prouver en cas de contrôle que l’entreprise est en train de se mettre en conformité avec la nouvelle réglementation. Cette documentation doit être mise en place au fur et à mesure.

– Prévoir des questionnaires de réception de données adaptés à cette réglementation. Car avant de protéger les données, il faut vérifier qu’on a eu l’autorisation explicite de les recueillir. En particulier avec l’e-mail marketing qui représente une part importante du e-commerce. Le consentement devra être obtenu grâce à une « action claire et affirmative » de la part de la personne concernée.
L’entreprise devra également expliquer quelles informations seront collectées ainsi que les raisons pour lesquelles elles sont nécessaires au traitement. Les personnes concernées doivent également avoir la possibilité de retirer leur consentement.

– Établir une stratégie claire en cas d’incident. Pour faire face à l’obligation d’information des autorités dans les 72 heures de toute fuite de donnée personnelle, il faut organiser le processus nécessaire à cette déclaration, et souscrire éventuellement une assurance destinée à couvrir les cyberattaques, et ses conséquences financières.

C’est pourquoi, il est nécessaire que les entreprises adoptent au plus vite les outils de visibilité et de sécurité adéquats pour se protéger. Pour celles qui ne l’ont pas encore fait, il est indispensable de renforcer leur architecture de sécurité, de réaliser des simulations de cyberattaque et de s’assurer que ses collaborateurs connaissent les processus de notification si une faille est identifiée.

Toutes ces stratégies passent par une mise en place de solutions informatiques pointues, et un savoir-faire technique de haut niveau. Qu’il s’agisse de faire du chiffrement en base de toutes les données nominatives qui pourraient permettre de remonter à l’utilisateur, de la mise en place de cases à cocher en opt-in lors de la création et de l’édition du compte client pour demander si l’utilisateur accepte le profilage et s’il accepte la transmission à des tiers, de permettre l’export des données personnelles et la suppression du compte, d’anonymiser les commentaires, l’analyse du site e-commerce existant est le préalable avant de lui apporter les améliorations techniques nécessaires à sa mise en conformité avec le RGPD.

Arca Computing met à votre disposition son expertise, son analyse et ses ressources humaines, afin de vous accompagner dans cette démarche, et être en conformité avec le RGPD dès la conception de votre projet.