REPÈRES
Avec le Règlement Général de Protection des Données, l’entreprise devient responsable devant la Loi du traitement des données personnelles.
Parallèlement, la généralisation des réseaux, l’avènement des technologies du cloud et les besoins de mobilité croissants périment le modèle de sécurisation périmétrique.
Face à ce double enjeu, la sécurité des données ne sera plus conditionnée à l’endroit où elles sont stockées mais à la façon dont on les stocke.
Qu’est-ce que le RGPD (Ou GDPR) ?
Le Règlement Général sur la Protection des Données (General Data Protection Regulation) est un règlement adopté par le Parlement Européen. Il est entré en vigueur le 24 mai 2016 et est applicable à partir du 25 mai 2018.
C’est un outil de souveraineté européenne dont les finalités sont triples :
- Renforcer les droits des personnes
- Responsabiliser les acteurs traitant les données
- Crédibiliser la régulation et renforcer la coopération entre les Autorités Nationales
Le respect de la vie privée et la sécurité des données doivent désormais être au cœur de la conception logicielle des systèmes d’information.
Le RGPD au cœur des systèmes d’information
Les données personnelles des citoyens de l’Union Européenne devront désormais être confidentielles et sécurisées, ce qui implique une transformation des systèmes d’information de toutes les entités, organisations et entreprises, européennes ou non, qui traitent les données des Européens.
Les systèmes d’information doivent être repensés selon le principe général de protection des données dès la conception, soit :
- Privacy by design
- Security by default
- Données sensibles et données personnelles
Les données sensibles telles que raciales, ethniques, religieuses, philosophiques, politiques, syndicales, génétiques, biométriques, médicales, vie privée ou orientations sexuelles sont, sauf exception (comme la recherche médicale), soumises au régime d’interdiction.
Les données personnelles , permettant une identification directe ou indirecte des personnes, sont soumises au RGPD.
De nouveaux droits pour les citoyens européens
Après le vote du « Patriot Act » suite au 11 septembre 2001, les données personnelles des citoyens de l’Union européenne ont été mises à mal par le Safe Harbor .
C’est un ensemble de principes de protection des données, qui permet aux entreprises américaines de transférer des données personnelles des citoyens européens vers les États-Unis. Il a été invalidé le 6 octobre 2015, par la Cour de justice de l’Union européenne.
Le RGPD donnera désormais à tous les citoyens de l’Union européenne les droits suivants :
- Droit d’accéder et d’effacer ses données personnelles
- Droit à l’objection, à la rectification et à la suppression
- Droit de portabilité sur ses données personnelles
- Un consentement clair et explicite
De nouveaux devoirs pour les entreprises
Réciproquement, le RGPD fait peser sur les entreprises, responsables de données personnelles, un ensemble de devoirs :
- En tant que responsable du traitement elles deviennent Responsable des Données selon le principe d’ « Accountability »
- Elles ont l’obligation de tenir un registre des traitements
- Elles doivent désigner un pilote : le Data Protection Officer (DPO) ou Responsable des Données Personnelles (RDP)
- Elles doivent réaliser l’inventaire des données et documenter les pratiques
- Elles ont obligation de déclarer aux Autorités les fuites de données dans un délais de 72 heures.
En cas de manquement, les sanctions vont jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros.
L’entreprise n’a pas obligation de résultats mais obligation de moyens renforcés, c’est à dire au regard de l’État de l’Art.
Principe d’Accountability
L’entreprise devient responsable du traitement des données personnelles, directes ou indirectes concernant une personne physique, que la personne soit identifiée ou identifiable, que le traitement soit automatisé ou non.
Le responsable du traitement est considéré comme l’acteur économique responsable, et en tant que tel il lui revient de prendre les mesures pour garantir la protection des données personnelles :
- Déterminer les finalités
- Documenter les traitements
- Recueillir les consentements explicites
- Donner accès aux données
- Permettre leur effacement ou leur portage
Le RGPD impose une rupture dans la manière de stocker les données
Pour les entreprises, l’avènement du Règlement Général de Protection des Données se présente comme une rupture stratégique à la fois juridique et technique.
Depuis l’invention de l’informatique, la sécurité des données a toujours été construite autour de la sécurité physique (les machines) et périmétrique (le réseau).
A l’image d’un château-fort du Moyen-Age, c’était l’épaisseur des murs qui assurait le niveau de défense. C’était vrai jusqu’en 2010.
Cependant la généralisation des réseaux, l’avènement des technologies du cloud et les besoins de mobilité croissants périment ce modèle.
Après le Moyen-Age del’informatique, l’internet et le Cloud sont les imprimeries modernes qui nous amènent la Renaissance : les murailles se percent de fenêtres pour faciliter les échanges avec le monde.
La sécurité des données ne sera plus conditionnée à l’endroit où elles sont stockées mais à la façon dont on les stocke.