Le RGPD (Réglement Général sur la Protection des Données) est une importante réglementation votée par la Commission Européenne qui entrera en vigueur le 25 mai 2018.
Qu’on le veuille ou non, un nombre important de nos données personnelles sont stockées sur le web par les fournisseurs de services en ligne (Facebook, Gmail, Linkedin, Instagram, Dropbox etc..).
La Commission européenne a donc décidé de tracer un cadre stricte et applicable à tout le monde afin de protéger ces données.
1. Le risque lié à la collecte de données à caractères personnels
Dans le passé, nombre de ces fournisseurs ont reconnu des failles ayant eu pour effet d’exposer les données de certains de leurs clients à des hackers.
Quels sont les risques de ces failles ?
Lorsqu’un processeur de données personnelles présente une faille, vos données peuvent être consultées, changées et réutilisées contre votre gré.
La première utilisation abusive à laquelle on pense est la fraude : Imaginez qu’un utilisateur malicieux accède à votre compte Amazon et puisse acheter des articles en votre nom et consulter l’historique de vos achats: C’est une atteinte à votre portefeuille, même si cela est réparable, mais aussi à votre vie privée et à votre tranquillité d’esprit.
L’usurpation d’identité est un autre type d’abus qui peut mener à des situations où la victime voit des emprunts bancaires souscrits en son nom et voir ses biens saisis par les banques car les enquêtes prouvant la fraude et disculpant la victime prennent beaucoup plus de temps que les processus de recouvrement des banques.
Le chantage est également un risque connu de l’exposition non-souhaitée de vos données personnelles. Personne n’a forcément envie de voir tous les éléments de sa vie privée exposée au grand public. L’exemple du site Ashley Madison en 2015 en est un parfait exemple: Des dizaines de milliers membres de ce site de rencontres extra-conjugales avaient été contactés par les hackers avec la menace d’exposer l’historiques de leurs conquêtes à leur famille s’il ne fournissaient pas une certaine somme d’argent. Ce chantage avait mené certaines victimes jusqu’au suicide.
Les fournisseurs de données doivent faire un meilleur travail pour protéger les données personnelles de leurs utilisateurs, et c’est l’objectif du RGPD.
Le plan d’action du RGPDA partir du 25 Mai 2018, si vous opérez dans l’Union Européenne, vous aurez à vous conformer au RGPD.
L’Union Européenne est un ensemble économique de 28 pays et 508 millions de citoyens qui a des relations commerciales avec le monde entier. Le RGPD dépasse donc bien les frontières de l’Europe.
Le RGPD est il quelque-chose nouveau?
En fait, le RGPD est la simplification d’un ensemble de lois existantes qui avaient pour base la Directive de Protection des Données de 1995 qui laissait à chaque pays le soin d’interpréter à sa guise (par exemple avec la CNIL en France), la manière dont les données personnelles devaient être protégées. Ce qui posait des problèmes de cohérence, notamment pour les entreprises ayant des activités dans plusieurs pays de l’union.
Le RGPD a pour but de consolider ces lois en un référentiel unique auquel tout individu de l’Union Européenne, entreprise, ou fournisseur de service pourra se référer, quel que soit sa nationalité et quel que soit le pays où ses données sont stockées.
Les sanctions des entreprises contrevenantes ont également été homogénéisées et sont beaucoup plus sévères que celles anciennement en vigueur lorsque les politiques étaient définies au niveau national.
2. Les rôles impliqués dans le RGPD
- Le sujet des données :
Le sujet des données est un individu, citoyen ou résident d’un pays membre de l’Union Européenne. Le RGPD le considère sans exception comme le propriétaire de ses données personnelles.
- Le contrôleur des données :
Le contrôleur des données est l’organisation (entreprise, établissement d’enseignement, association ou organisme public) qui va collecter ces données personnelles du sujet. Le contrôleur est responsable de prouver que la collecte de ces données à une raison d’être mais aussi que la gestion et l’utilisation qu’il en fait est conforme à la loi (ce qui était déjà le cas avant le RGPD).
- Le processeur de données (l’hébergeur) :
Le processeur des données est le fournisseur qui va proposer l’hébergement des données du sujet, soit au sujet lui-même, soit par l’intermédiaire du contrôleur qui va utiliser ses services. Jusqu’ici les responsabilités du processeur des données n’étaient pas vraiment circonscrites. Le RDPG lui impose désormais les mêmes responsabilités que le contrôleur quant à la protection des données des sujets membre de l’UE, ce qui n’était pas le cas auparavant. Cela signifie que les grands hébergeurs ne pourront plus se disculper en cas d’abus en disant au contrôleur “nous ne sommes pas responsables des données que vous stockez chez nous”
- Le Responsable de la Protection des Données (DPO) :
Toute organisation gérant de façon automatisée les données personnels à grande échelle doit désormais nommer un RPD. Il est responsable de s’assurer que les pratiques de l’organisation qu’il représente sont conforme au RGPD. Ce rôle et cette obligation ne sont pas nouveaux en Europe, mais le RGPD permet de le généraliser à l’ensemble de l’union.
- L’Autorité de Protection des Données (DPA) :
L’autorité de protection des données est l’instance gouvernementale que chaque pays devra nommer, afin de faire appliquer le RGPD et d’en appliquer les sanctions. Par exemple, en France, nous avons la CNIL. Ce qui change c’est que désormais toutes les “CNIL” des pays de l’union appliqueront les même règles et il n’y aura plus de litiges possibles entre utilisateurs et organisations au sein de différents pays de l’Union.
3. Comprendre les données personnelles
Les données personnelles sont toutes les données relatives au “Sujet des données”. Elles sont divisées en trois catégories :
- Les données personnelles basiques :
Les données comme le nom, l’adresse, la date de naissance, le numéro de mobile, l’adresse MAC des appareils, l’adresse IP, les données stockées sur les réseaux sociaux, les données stockées par les services de domotique.
- Les données personnelles sensibles :
Il s’agit de données comme l’origine ethnique, la religion, l’orientation sexuelle, les opinions politiques et philosophiques, les données santé, l’appartenance à un syndicat etc.
-
Les données génétiques et biométriques :
L’ADN, les empreintes digitales ou la reconnaissance faciale ou rétinienne d’un individu font partie de ce type de données et peuvent être sujets à des obligations différentes des autres données dans le cadre du RGPD. En France par exemple c’était déjà le cas : Une entreprise pouvait parfaitement stocker le Nom et la Date de Naissance d’un individu, mais ses empreintes digitales ne pouvaient l’être que dans des conditions de sécurité extrême. Par exemple, lorsque l’employé avait accès à des information ultra sensibles et qu’une authentification forte était requise.
Maintenant, grâce cette nomenclature claires du RGPD sur les données personnelles, il n’y a plus d’équivoque quant à leur définition. Quelles sont les règles de consentement à la collecte des données personnelles ?
- Les données doivent être collectées avec le consentement du sujet
- Les données doivent être collectées de façon claire et sans ambiguïté
- Le sujet doit être informé sur l’usage de ses données si cet usage n’est pas évident ou si il s’agit de données personnelles sensibles.
- Le consentement des ses parents du sujet est obligatoire s’il a moins de 16 ans (dans certains cas 13 ans mais pas moins)
Quels sont les droits du sujet?
-
Le droit d’accès :
Le sujet doit pouvoir avoir la confirmation que ces données ont été collectées et doit avoir le droit de consulter ses données personnelles à tout moment et gratuitement (sauf en cas de demande abusive et répétée du sujet)
-
Le droit à l’oubli :
Le sujet peut demander la suppression de ses données personnelles lorsqu’il n’y a plus aucune raison pour le contrôleur de les stocker, s’il souhaite retirer son consentement ou si le sujet considère que les données ont été collectées de manière indue ou illégale. Les données sur les individus dont l’utilisation ne peut plus être justifiée doivent être effacées.
4. La portée territoriale
Si vos systèmes contiennent des données personnelles de citoyens ou résidents de l’UE, vous devez être conforme au RGPD.
Si vous offrez des services (payés ou non) en Union Européenne :
- Vous avez des bureaux en UE
- Vos sites sont traduits dans des langages de l’UE
- Vos prix sont présentés en Euros ou autres monnaies européennes
- Votre nom de domaine est en .eu (.fr, .de etc.)
- Vous livrez vos produits en Europe
En revanche, si vous avez un site internet, accessible du monde entier, sans aucun offre caractérisée par l’un des points cités ci-dessus, la collecte des données personnelles des résidents de l’UE ne sera pas soumise au RGPD.
5. Les sanctions
En cas d’accès frauduleux aux données personnelles qu’il gère, le contrôleur de données a 72 heures (3 jours) pour prévenir l’autorité de régulation. Il doit expliquer quelle a été la faille, quels sont les impacts possibles ainsi que les mesures prises pour mettre fin à cette faille.
Attention : Si la faille n’a aucun impact sur les droits et libertés des sujets de données, elle n’a pas à être rapportée à l’autorité.
Le RGPD a uniformisé les sanctions sous forme d’amendes pouvant aller jusqu’à la somme la plus haute entre 0 - 20 Millions d’Euros ou 4% du Chiffre d’Affaires global de l’entreprise contrevenante.
Auparavant, le contrevenant pouvait recevoir une amende forfaitaires locales ne représentant que quelques millièmes du revenu de l’entreprise.
Les amendes se basent sur :
- La violation des conditions de consentement du sujet
- L’utilisation abusive de ses données
- Le transfert de ces données dans un troisième pays et ou une organisation internationale
- Refus de se laisser auditer par une autorité de contrôle
- La durée de la faille
- Les négligences quant au RGPD
Un amende moins élevée de 10 Millions d’Euro ou 10% du CA global de l’entreprise.
Celà dit, l’amande n’intervient qu’en dernier recours ou qu’en cas de manquement graves. Des simples audits ou rappels à l’ordre sont préconisés lorsque c’est la première fois ou que la faute n’est pas volontaire.
Mais rassurez-vous, la sanction selon le RGDP doit être Efficace, Proportionnée et Dissuasive.
6. RGPD : Des principes à l’action
L’article 25 du RGPD mentionne que la protection des données doit être définie “dans la conception et par défaut”, ce qui implique deux conditions majeures :
- Votre système ne doit percevoir et garder que les données personnelles nécessaires à votre exploitation. Par exemple une compagnie d’assurance pour conserver les données médicales de ses adhérents, alors qu’une service de vente de spectacles n’y sera pas autorisée si elle ne parvient pas à en justifier la finalité.
- Votre système doit être protégé d’accès externes non contrôlés. En effet, si vous laissez une liste de clients avec leur données personnelles sur un fichier consultable en ligne par tout le monde, vous serez tenus responsables des abus qui pourraient découler de cette négligence.
a. Minimisez les données à caractère personnel que vous stockez
Respectez le principe de minimisation des données en vous posant les bonnes questions :
Quelles données? | Quelles données doit-on vraiment collecter? |
Jusqu’à quand? | Mon besoin de ces données est-il limité dans le temps? |
Où? | Est-ce que je sais ou sont stockées ces données? |
Dans quel but? | Ces données sont elles utilisées dans le but annoncé lors de la collecte? |
Les réponses à ces questions vous permettront de filtrer, lors de la collecte, les informations vraiment conformes à la régulation.
b. Protégez ces données
Lorsque vous stockez des données personnelles, assurez vous qu’elles ne soient pas exposées à des personnes qui ne devraient pas y avoir accès :
- Assurez-vous que votre réseau interne est bien protégé
- Si vous utilisez des accès externes (Cloud, VPN), assurez-vous que ces accès soient sécurisés par un contrôle d’accès suffisant (mots de passe, chiffrement, ssl etc.)
- Facilitez à vos utilisateurs l’accès à leur données personnelles et à la suppression de celles-ci.
- Si vous mettez en place un système de de collecte, optez pour la pseudonymisation des données à caractère personnel. (séparation entre l’identification et les données personnelles de l’utilisateur).
Au niveau de la conception informatique d’un programme de collecte, les meilleures méthodes sont :
- Le chiffrement des données par clé sécurisée
- Le hashing (chaîne de caractères permettant de comparer et reconnaître un utilisateur et ses données sans en voir le contenu)
- Le masquage : Cette technique consiste à simplement masquer les données personnelles dans vos systèmes selone les utilisateurs qui les consultent
- La pseudonymisation : Il s’agit ici de mettre en place un système séparant l’identification et les données personnelles de l’individu, ce qui rendrait leur piratage inutile
c. Contrôlez vos activités de traitement
Assurez-vous que vous avez la connaissance des process de collecte des données en vigueur dans votre organisation. Nous suggérons de tenir un dossier à jour.
Vous devez être en mesure de répondre aux questions suivantes :
- Qui sont les responsables de ces collectes d’information ?
- Quel est le but de la collecte ?
- Quelles sont les catégories de personnes et les catégories de données que vous stockez ? (Avez-vous par exemple une nomenclature par type, profil, sexe etc.)
- A qui sont destinées ces données personnelles ? Savez-vous qui y a accès et pourquoi ?
- Quelle est la date limite de conservation des ces données ?
- Quels sont les moyens techniques et organisationnels mis en oeuvre pour protéger ces données ?
Ces obligations sont pas applicables aux entreprises employant moins de 250 personnes sauf dans le cas suivants :
- La collecte n’est pas occasionnelle
- La collecte présente un risque pour le droit et la liberté des personnes
- Les données collectées sont très sensibles (ethnie, information biométrique ou génétique etc.)
Quelle que soit la taille de votre entreprise, la tenue d’un contrôle des activités de collecte représente un avantage important en cas de violation du RGPD: Il sera gage de votre bonne foi et de votre volonté d’avoir tout mis en oeuvre pour éviter les fuites ou utilisations abusives.
En résumé :
- Le RGPD va-t-il affecter votre activité ? (stockez vous des données sur des membres de l’UE ?)
- Comprenez vos données : Connaissez-vous les données personnelles que votre organisation stocke ?
- Comment pouvez-vous minimiser votre stockage ? Toutes les informations que vous stockez sur vos clients, par exemple, sont elles utiles?
- L’accès aux données stockées est-il protégé ? Quels sont les moyens mis en oeuvre pour sécuriser les données que vous avez collectées?
- Pensez à la protection dans le concept : Quel que soit le système que vous mettez en place, à partir du moment où il interagit avec des individus et est susceptible de récolter leurs informations personnelles, assurez-vous que ce système respectera les règles du RGPD.
- Le RGPD, c’est juste du bon sens ! En France, c’est même dans notre culture : la CNIL a statué ces principes depuis 1978. Nous pouvons considérer que ces principes sont maintenant la norme en Europe et dans le reste du monde.
Publiez un commentaire ! ConversionConversion EmoticonEmoticon