Dans moins d'un an, un règlement européen renforcera considérablement les devoirs des entreprises en matière de données personnelles. Pourtant, une bonne part d'entre elles n'y est pas encore prête. Le seront-elles à temps ? Nous en avons discuté avec plusieurs experts, au moment où le droit européen subit d'autres chamboulements.
Le 25 mai 2018, le droit européen sur la protection des données sera revisité de fonds en comble. C'est à cette date que s'appliquera le Règlement général sur la protection des données (RGPD), qui renforce les obligations des entreprises, les responsabilités (et pouvoirs) des autorités nationales ainsi que les sanctions en cas de manquement.
Des contraintes supplémentaires pour les sociétés
Adopté à la mi-avril 2016 après des années de débats, le texte impose la tenue d'un registre des traitements, la notification des failles (aux autorités et aux internautes), l'adhésion à des codes de conduites, et dans certains cas la nomination d'un délégué à la protection des données (DPO).
La responsabilité de l'autorité de protection du pays de l'internaute est renforcée, comme la coopération entre celles-ci. Surtout, les sanctions voient leur plafond exploser, passant à 4 % du chiffre d'affaires mondial, contre trois millions d'euros actuellement en France.
Une entreprise dont les données clients auront fuité devra donc les prévenir rapidement, ainsi que les CNIL des pays concernés. Elles doivent aussi être en mesure de lister tous les traitements effectués sur ces informations, en ayant obtenu l'accord de l'internaute pour chacune d'elle.
En cas de problème, notamment de sécurité, un hébergeur sera coresponsable avec le service qu'il stocke. Les sociétés manipulant de grandes masses de données devront disposer d'un DPO, comme elles ont aujourd'hui un responsable de la sécurité informatique.
La communication a grandi ces dernières semaines, à l'adresse des entreprises. Ces dernières se réveillent-elles à un an de l'échéance ? C'est la question que nous avons posée à des spécialistes, notamment Alain Bouillé, président du Club des experts de la sécurité de l'information et du numérique (Cesin), Alban Schmutz, vice-président d'OVH, et Amal Taleb, vice-présidente du Conseil national du numérique (CNNum), à l'occasion du Cloud Independance Day 2017 le 6 juin.
Aujourd'hui, la sérénité n'est clairement pas de mise, alors que la protection des données n'est pas toujours prise en compte, et que d'autres textes européens importants se mettent en place, comme le règlement ePrivacy.
« En mai 2018, beaucoup de gens ne seront pas prêts »
Pour Compuware, le cabinet Vansen Bourne a interrogé 400 directeurs des systèmes d'information (DSI) en juin 2016. 53 % des répondants affirmaient être bien informés à propos du RGPD, et 45 % « vaguement ». Un tiers affirme tout de même disposer d'un plan « détaillé et ambitieux », quand 41 % auraient « un plan d'ensemble ». Plus de 20 % n'avaient rien planifié l'an dernier.
Dans le même temps, 53 % des entreprises disent ne pas pouvoir localiser précisément leurs données. Surtout, près des deux tiers s'appuyaient sur un consentement global au traitement de leurs données, alors que le règlement demande une autorisation explicite à chacun d'eux. Une différence qui peut poser problème.
Au Medef en mars, la présidente de la CNIL, Isabelle Falque-Pierrotin, était plus directe (PDF). « Le constat est préoccupant : moins d’un tiers des entreprises se sentent prêtes à se conformer, 97 % n’ont pas de plan d’action, 10 % considèrent qu’elles seront parfaitement prêtes » tranchait-elle.
« Deux ans pour mettre en œuvre le RGPD est déjà audacieux. Certains très grands groupes le feront sans trop de difficultés, mais remettre à niveau les compétences de tous les acteurs publics et privés commence déjà à être une gageure » estime Amal Taleb du CNNum.
« En mai 2018, beaucoup de gens ne seront pas prêts. Le travail est colossal, abonde Alban Schmutz d'OVH, qui travaille sur le sujet depuis plus de deux ans. Tout le monde se réveille, il faut dire ce qui est. Qui parlait du RGPD il y a trois ou quatre mois ? » Une vision relativisée par Alain Bouillé du Cesin, même « [s']il ne faut pas traîner ».
Pour ce dernier, « il y a deux catégories d'entreprises : celles qui avaient déjà désigné un correspondant Informatique et libertés (CIL), et les autres, qui ne l'ont pas fait pour de multiples raisons ». Les sociétés qui disposent d'un CIL, qui incarne la question de la vie privée, auraient déjà des processus en place, « de la déclaration à la protection des données, en passant par l'information des personnes concernées par le traitement ». « Ces entreprises ont un saut à faire, mais il n'est pas colossal. Le CIL va plus ou moins devenir un DPO » recommandé par le prochain règlement européen, estime-t-il.
Des entreprises qui doivent se mettre en ordre de bataille
Les nouvelles contraintes peuvent être importantes, notamment en termes d'inventaire des traitements de données. Pour les entreprises qui se souciaient peu du problème, voire se limitaient à une déclaration CNIL obligatoire, le choc pourra être plus rude. « Là effectivement, commencer maintenant est sûrement déjà trop tard. Ce n'est pas la peine qu'ils espèrent être prêts en mai 2018. C'est un chantier de très longue haleine » reconnait Alain Bouillé.
De nombreuses strates d'une société sont concernées, de l'informatique au juridique en passant par la communication. « Le vrai chantier est dans les grandes entreprises qui n'avaient pas cette culture », sachant que la majorité d'entre elles n'avaient pas de correspondant CNIL, estime notre interlocuteur. Il se veut tout de même optimiste, la loi Informatique et libertés nous habituant à la question depuis 1978.
La nomination d'un délégué à la protection des données (DPO) n'est obligatoire que pour les entités publiques ou les entreprises traitant de grandes masses d'informations (y compris sensibles). Elle reste fortement recommandée pour les autres. Le club prévient d'ailleurs que si le DPO doit bien incarner le sujet, il doit rester en équilibre avec le responsable de la sécurité informatique (RSSI), notamment sur le financement.
« L'horizon se rapproche, mai 2018 est demain. Donc on pourrait se dire qu'en 2017, tous les budgets sont dédiés au RGPD... Alors que les hackers continuent d'être inventifs et WannaCry nous a rappelé (s'il en était besoin) à la dure réalité du quotidien » nous déclare son président. Pour les PME, se conformer au règlement « ne sera pas la fin du monde », à moins de traiter les données de millions d'internautes.
Et la CNIL dans tout ça ?
En mars, la CNIL alertait publiquement les entreprises, rappelant que le RGPD « ne souffre pas de retard », publiant une large documentation. En fait, depuis trois mois, les conseils pour se préparer, le détail du rôle de DPO ou encore la visualisation interactive des articles du règlement arrivent régulièrement sur son site. Fin mai, elle marquait même l'échéance d'un an, cruciale. Contactée, la commission se refuse à tout verdict, renvoyant vers la documentation qu'elle a publiée.
Il reste que la CNIL elle-même doit se préparer. En plus de la « priorité absolue » qu'est de préparer les entreprises, elle doit disposer d'une nouvelle loi Informatique et libertés, dépoussiérant le texte de 1978. 57 passages du RGPD feraient ainsi référence à des dispositions nationales, déclarait l'institution en mars dernier. Un texte doit être déposé en conseil des ministres avant l'été.
L'enjeu est aussi européen pour la CNIL, regroupée avec ses homologues des autres États membres au sein du G29 (Article 29). Celui-ci doit devenir l'European Data Protection Board (EDPB), ce qu'il reste encore à mettre en place. Les commissions doivent aussi s'accorder sur les lignes directrices, à appliquer dans chaque pays. Pour le moment, seule une partie est publiée, une absence notable étant celle sur le consentement, un des concepts centraux du règlement.
En anglais, Isabelle Falque-Pierrotin de la CNIL évoque le chantier du règlement
Les prestataires face au nouveau règlement
L'alarme à un an de l'échéance n'est pas le fait que de la CNIL. Des acteurs comme IBM et Microsoft se positionnent publiquement sur le dossier ces derniers mois, notamment à l'adresse des clients cherchant une solution « cloud ». Les entreprises seraient de plus en plus sollicitées sur la question de la mise en conformité, face à l'ampleur de la tâche.
« Il ne faut pas trainer, ni se laisser impressionner, en particulier par les éditeurs. J'ai une proposition à peu près tous les matins d'un nouvel éditeur qui me propose la solution miracle pour appréhender le RGPD, essentiellement sur les problématiques d'inventaire. Évidemment, il faut raison garder, un outil ne règlera pas l’ensemble du problème » nous affirme Alain Bouillé du Cesin. Pour lui, le plus grand défi a bien été d'harmoniser les lois, non d'y adapter les entreprises.
En fait, avec la nouvelle responsabilité conjointe des sous-traitants, donc des hébergeurs eux-mêmes, les prestataires « cloud » ont du pain sur la planche. Depuis deux ans, des prestataires d'une quinzaine de pays européens, avec Amazon, préparent le code de conduite du CISPE. Ce dernier a été formé dans ce but, pour fournir une base légale aux acteurs de l'IaaS (infrastructure comme service) face aux nouvelles obligations, adhérer à un code de conduite étant recommandé.
Pour OVH, préparer les clients est bien plus de travail que se préparer lui-même, nous déclare Alban Schmutz. Le code a été présenté officiellement fin septembre aux institutions européennes, fournissant une marche à suivre pour les sociétés et des principes à respecter, comme donner le choix de la localisation des données ou ne pas revendre celles des entreprises clientes.
Pour le moment, environ 35 services se sont auto-déclarés conformes. La démarche vise les PME, pour lesquelles un audit tiers est estimé trop coûteux. « À partir de mai 2018, seul l'audit par un tiers sera possible pour obtenir le label » assure le vice-président d'OVH.
Un terrain législatif encore incertain
Malgré ces réserves vis-à-vis des entreprises, le RGPD reste un document voté, stable. Ce n'est pas le cas d'autres textes en chantier en Europe, en pleine poussée vers un marché unique numérique par la Commission européenne. « Il y a une dizaine de sujets qui interagissent les uns avec les autres, et le RGPD est l'un d'eux » résume Alban Schmutz, qui évoque par exemple la directive NIS, sur la sécurité informatique. Y préparer les acteurs français est d'ailleurs un travail important en cours, nous affirme l'ANSSI.
La principale inconnue concerne le règlement ePrivacy, destiné à compléter le règlement général sur certains angles morts, comme la question des cookies, les métadonnées ou des collectes spécifiques. Encore pris dans le ping pong législatif entre institutions européennes, il doit s'appliquer le 25 mai 2018, pile en même temps que son homologue.
« C'est la volonté de la Commission européenne, je pense que tous les pays sont d'accord aujourd'hui. La principale difficulté est la discussion au pas de charge. Ça peut créer des problèmes par la suite », par exemple au Parlement, estime Amal Taleb du CNNum. Pour elle, il faudra choisir entre la date de la Commission et un texte totalement prêt. Ces prochains jours, ce sont ses amendements qui seront discutés, alors que la Commission des libertés civiles du Parlement vient de diffuser le brouillon de son rapport sur la question.
Des points spécifiques restent à définir, comme la distinction entre données personnelles et non-personnelles et les régimes de traitement de ces données. Autant de craintes qu'ont déjà soulevées le CNNum et le Contrôleur européen de la protection des données, Giovanni Buttarelli.
La prise en compte des innovations à venir est aussi en question. « ePrivacy soulève des questions sur l'Internet des objets. Sur de l'IoT classique avec les données de transport, par exemple, mais aussi sur l'IoT industrielle où on n'est pas du tout sur les mêmes problématiques, avec des standards différents. Ce sont des sujets qui nécessiteront sûrement une intervention » appréhende Amal Taleb.
Pour Alban Schmutz d'OVH, « la réalité technique va aussi s'entrechoquer avec ces principes ». De quoi nourrir les ajustements, voire une jurisprudence dans un cadre où les hébergeurs gagneront en responsabilité. La stabilité légale, elle, devrait arriver au moment où RGPD et ePrivacy seront en application même si, comme répond Amal Taleb, « il serait malhonnête intellectuellement de spéculer ».
