Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Vie privée : la course des entreprises françaises pour se conformer au RGPD

Quand on ne part pas à point
Droit 10 min
Vie privée : la course des entreprises françaises pour se conformer au RGPD
Crédits : guvendemir/iStock

Dans moins d'un an, un règlement européen renforcera considérablement les devoirs des entreprises en matière de données personnelles. Pourtant, une bonne part d'entre elles n'y est pas encore prête. Le seront-elles à temps ? Nous en avons discuté avec plusieurs experts, au moment où le droit européen subit d'autres chamboulements.

Le 25 mai 2018, le droit européen sur la protection des données sera revisité de fonds en comble. C'est à cette date que s'appliquera le Règlement général sur la protection des données (RGPD), qui renforce les obligations des entreprises, les responsabilités (et pouvoirs) des autorités nationales ainsi que les sanctions en cas de manquement.

Des contraintes supplémentaires pour les sociétés

Adopté à la mi-avril 2016 après des années de débats, le texte impose la tenue d'un registre des traitements, la notification des failles (aux autorités et aux internautes), l'adhésion à des codes de conduites, et dans certains cas la nomination d'un délégué à la protection des données (DPO).

La responsabilité de l'autorité de protection du pays de l'internaute est renforcée, comme la coopération entre celles-ci. Surtout, les sanctions voient leur plafond exploser, passant à 4 % du chiffre d'affaires mondial, contre trois millions d'euros actuellement en France.

Une entreprise dont les données clients auront fuité devra donc les prévenir rapidement, ainsi que les CNIL des pays concernés. Elles doivent aussi être en mesure de lister tous les traitements effectués sur ces informations, en ayant obtenu l'accord de l'internaute pour chacune d'elle.

En cas de problème, notamment de sécurité, un hébergeur sera coresponsable avec le service qu'il stocke. Les sociétés manipulant de grandes masses de données devront disposer d'un DPO, comme elles ont aujourd'hui un responsable de la sécurité informatique.

La communication a grandi ces dernières semaines, à l'adresse des entreprises. Ces dernières se réveillent-elles à un an de l'échéance ? C'est la question que nous avons posée à des spécialistes, notamment Alain Bouillé, président du Club des experts de la sécurité de l'information et du numérique (Cesin), Alban Schmutz, vice-président d'OVH, et Amal Taleb, vice-présidente du Conseil national du numérique (CNNum), à l'occasion du Cloud Independance Day 2017 le 6 juin.

Aujourd'hui, la sérénité n'est clairement pas de mise, alors que la protection des données n'est pas toujours prise en compte, et que d'autres textes européens importants se mettent en place, comme le règlement ePrivacy.

« En mai 2018, beaucoup de gens ne seront pas prêts »

Pour Compuware, le cabinet Vansen Bourne a interrogé 400 directeurs des systèmes d'information (DSI) en juin 2016. 53 % des répondants affirmaient être bien informés à propos du RGPD, et 45 % « vaguement ». Un tiers affirme tout de même disposer d'un plan « détaillé et ambitieux », quand 41 % auraient « un plan d'ensemble ». Plus de 20 % n'avaient rien planifié l'an dernier.

Dans le même temps, 53 % des entreprises disent ne pas pouvoir localiser précisément leurs données. Surtout, près des deux tiers s'appuyaient sur un consentement global au traitement de leurs données, alors que le règlement demande une autorisation explicite à chacun d'eux. Une différence qui peut poser problème.

Au Medef en mars, la présidente de la CNIL, Isabelle Falque-Pierrotin, était plus directe (PDF). « Le constat est préoccupant : moins d’un tiers des entreprises se sentent prêtes à se conformer, 97 % n’ont pas de plan d’action, 10 % considèrent qu’elles seront parfaitement prêtes » tranchait-elle.

RGPD évaluation impact vie privée
Le PIA (étude d'impact sur la vie privée) demandé sur les projets des entreprises - Crédits : G29

« Deux ans pour mettre en œuvre le RGPD est déjà audacieux. Certains très grands groupes le feront sans trop de difficultés, mais remettre à niveau les compétences de tous les acteurs publics et privés commence déjà à être une gageure » estime Amal Taleb du CNNum.

« En mai 2018, beaucoup de gens ne seront pas prêts. Le travail est colossal, abonde Alban Schmutz d'OVH, qui travaille sur le sujet depuis plus de deux ans. Tout le monde se réveille, il faut dire ce qui est. Qui parlait du RGPD il y a trois ou quatre mois ? » Une vision relativisée par Alain Bouillé du Cesin, même « [s']il ne faut pas traîner ».

Pour ce dernier, « il y a deux catégories d'entreprises : celles qui avaient déjà désigné un correspondant Informatique et libertés (CIL), et les autres, qui ne l'ont pas fait pour de multiples raisons ». Les sociétés qui disposent d'un CIL, qui incarne la question de la vie privée, auraient déjà des processus en place, « de la déclaration à la protection des données, en passant par l'information des personnes concernées par le traitement ». « Ces entreprises ont un saut à faire, mais il n'est pas colossal. Le CIL va plus ou moins devenir un DPO » recommandé par le prochain règlement européen, estime-t-il.

Des entreprises qui doivent se mettre en ordre de bataille

Les nouvelles contraintes peuvent être importantes, notamment en termes d'inventaire des traitements de données. Pour les entreprises qui se souciaient peu du problème, voire se limitaient à une déclaration CNIL obligatoire, le choc pourra être plus rude. « Là effectivement, commencer maintenant est sûrement déjà trop tard. Ce n'est pas la peine qu'ils espèrent être prêts en mai 2018. C'est un chantier de très longue haleine » reconnait Alain Bouillé.

De nombreuses strates d'une société sont concernées, de l'informatique au juridique en passant par la communication. « Le vrai chantier est dans les grandes entreprises qui n'avaient pas cette culture », sachant que la majorité d'entre elles n'avaient pas de correspondant CNIL, estime notre interlocuteur. Il se veut tout de même optimiste, la loi Informatique et libertés nous habituant à la question depuis 1978.

La nomination d'un délégué à la protection des données (DPO) n'est obligatoire que pour les entités publiques ou les entreprises traitant de grandes masses d'informations (y compris sensibles). Elle reste fortement recommandée pour les autres. Le club prévient d'ailleurs que si le DPO doit bien incarner le sujet, il doit rester en équilibre avec le responsable de la sécurité informatique (RSSI), notamment sur le financement.

« L'horizon se rapproche, mai 2018 est demain. Donc on pourrait se dire qu'en 2017, tous les budgets sont dédiés au RGPD... Alors que les hackers continuent d'être inventifs et WannaCry nous a rappelé (s'il en était besoin) à la dure réalité du quotidien » nous déclare son président. Pour les PME, se conformer au règlement « ne sera pas la fin du monde », à moins de traiter les données de millions d'internautes.

Et la CNIL dans tout ça ?

En mars, la CNIL alertait publiquement les entreprises, rappelant que le RGPD « ne souffre pas de retard », publiant une large documentation. En fait, depuis trois mois, les conseils pour se préparer, le détail du rôle de DPO ou encore la visualisation interactive des articles du règlement arrivent régulièrement sur son site. Fin mai, elle marquait même l'échéance d'un an, cruciale. Contactée, la commission se refuse à tout verdict, renvoyant vers la documentation qu'elle a publiée.

Il reste que la CNIL elle-même doit se préparer. En plus de la « priorité absolue » qu'est de préparer les entreprises, elle doit disposer d'une nouvelle loi Informatique et libertés, dépoussiérant le texte de 1978. 57 passages du RGPD feraient ainsi référence à des dispositions nationales, déclarait l'institution en mars dernier. Un texte doit être déposé en conseil des ministres avant l'été.

L'enjeu est aussi européen pour la CNIL, regroupée avec ses homologues des autres États membres au sein du G29 (Article 29). Celui-ci doit devenir l'European Data Protection Board (EDPB), ce qu'il reste encore à mettre en place. Les commissions doivent aussi s'accorder sur les lignes directrices, à appliquer dans chaque pays. Pour le moment, seule une partie est publiée, une absence notable étant celle sur le consentement, un des concepts centraux du règlement.


En anglais, Isabelle Falque-Pierrotin de la CNIL évoque le chantier du règlement

Les prestataires face au nouveau règlement

L'alarme à un an de l'échéance n'est pas le fait que de la CNIL. Des acteurs comme IBM et Microsoft se positionnent publiquement sur le dossier ces derniers mois, notamment à l'adresse des clients cherchant une solution « cloud ». Les entreprises seraient de plus en plus sollicitées sur la question de la mise en conformité, face à l'ampleur de la tâche.

« Il ne faut pas trainer, ni se laisser impressionner, en particulier par les éditeurs. J'ai une proposition à peu près tous les matins d'un nouvel éditeur qui me propose la solution miracle pour appréhender le RGPD, essentiellement sur les problématiques d'inventaire. Évidemment, il faut raison garder, un outil ne règlera pas l’ensemble du problème » nous affirme Alain Bouillé du Cesin. Pour lui, le plus grand défi a bien été d'harmoniser les lois, non d'y adapter les entreprises.

En fait, avec la nouvelle responsabilité conjointe des sous-traitants, donc des hébergeurs eux-mêmes, les prestataires « cloud » ont du pain sur la planche. Depuis deux ans, des prestataires d'une quinzaine de pays européens, avec Amazon, préparent le code de conduite du CISPE. Ce dernier a été formé dans ce but, pour fournir une base légale aux acteurs de l'IaaS (infrastructure comme service) face aux nouvelles obligations, adhérer à un code de conduite étant recommandé.

Pour OVH, préparer les clients est bien plus de travail que se préparer lui-même, nous déclare Alban Schmutz. Le code a été présenté officiellement fin septembre aux institutions européennes, fournissant une marche à suivre pour les sociétés et des principes à respecter, comme donner le choix de la localisation des données ou ne pas revendre celles des entreprises clientes.

Pour le moment, environ 35 services se sont auto-déclarés conformes. La démarche vise les PME, pour lesquelles un audit tiers est estimé trop coûteux. « À partir de mai 2018, seul l'audit par un tiers sera possible pour obtenir le label » assure le vice-président d'OVH.

Un terrain législatif encore incertain

Malgré ces réserves vis-à-vis des entreprises, le RGPD reste un document voté, stable. Ce n'est pas le cas d'autres textes en chantier en Europe, en pleine poussée vers un marché unique numérique par la Commission européenne. « Il y a une dizaine de sujets qui interagissent les uns avec les autres, et le RGPD est l'un d'eux » résume Alban Schmutz, qui évoque par exemple la directive NIS, sur la sécurité informatique. Y préparer les acteurs français est d'ailleurs un travail important en cours, nous affirme l'ANSSI.

La principale inconnue concerne le règlement ePrivacy, destiné à compléter le règlement général sur certains angles morts, comme la question des cookies, les métadonnées ou des collectes spécifiques. Encore pris dans le ping pong législatif entre institutions européennes, il doit s'appliquer le 25 mai 2018, pile en même temps que son homologue.

« C'est la volonté de la Commission européenne, je pense que tous les pays sont d'accord aujourd'hui. La principale difficulté est la discussion au pas de charge. Ça peut créer des problèmes par la suite », par exemple au Parlement, estime Amal Taleb du CNNum. Pour elle, il faudra choisir entre la date de la Commission et un texte totalement prêt. Ces prochains jours, ce sont ses amendements qui seront discutés, alors que la Commission des libertés civiles du Parlement vient de diffuser le brouillon de son rapport sur la question.

Des points spécifiques restent à définir, comme la distinction entre données personnelles et non-personnelles et les régimes de traitement de ces données. Autant de craintes qu'ont déjà soulevées le CNNum et le Contrôleur européen de la protection des données, Giovanni Buttarelli.

La prise en compte des innovations à venir est aussi en question. « ePrivacy soulève des questions sur l'Internet des objets. Sur de l'IoT classique avec les données de transport, par exemple, mais aussi sur l'IoT industrielle où on n'est pas du tout sur les mêmes problématiques, avec des standards différents. Ce sont des sujets qui nécessiteront sûrement une intervention » appréhende Amal Taleb.

Pour Alban Schmutz d'OVH, « la réalité technique va aussi s'entrechoquer avec ces principes ». De quoi nourrir les ajustements, voire une jurisprudence dans un cadre où les hébergeurs gagneront en responsabilité. La stabilité légale, elle, devrait arriver au moment où RGPD et ePrivacy seront en application même si, comme répond Amal Taleb, « il serait malhonnête intellectuellement de spéculer ».

21 commentaires
Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 15/06/17 à 07:40:15

Guénaël a écrit :

Les sociétés manipulant de grandes masses de données devront disposer d'un DPO...

On a une idée du seuil à partir duquel c'est "une grande masse de données" ?

(Merci pour cet article assez dense et pourtant très clair :chinois: )

Avatar de manus Abonné
Avatar de manusmanus- 15/06/17 à 07:49:30

Toutes les entreprises sont concernées?
Car les logiciel de gestion client, RH, CRM,... même les très petites en ont et tout cela me parait compliqué (et très couteux) pour des petites structures.

Avatar de goldiman INpactien
Avatar de goldimangoldiman- 15/06/17 à 08:04:15

ça n'a pas à voir directement avec l'article..

L'un de vous a des conseils sur des outils IT pour faciliter le passage à la RPGD?

Merci :chinois:

Avatar de Jurideek INpactien
Avatar de JurideekJurideek- 15/06/17 à 08:10:38

La loi Informatique et Libertés leur est déjà applicable. D'ailleurs, la question de l'application de la loi n'est pas une question de taille des entreprises, à ce que je sache.

Avatar de TexMex Abonné
Avatar de TexMexTexMex- 15/06/17 à 08:39:15

  On risque surtout de découvrir un tas de cadavres planqués sous le tapis.
A suivre...

Avatar de tmtisfree Abonné
Avatar de tmtisfreetmtisfree- 15/06/17 à 09:09:26

Encore une superbe usine à gaz technocratique pour soutirer de l'argent à peu de frais : une aubaine pour la bureaucratie parasitocratie qui doit être toute fébrile et jubiler à l'idée de pouvoir réguler par ici, encadrer par là, réglementer et chapeauter un petit peu plus ce formidable levier de liberté qu'est Internet tout en siphonnant le système.

Avatar de bloossom INpactien
Avatar de bloossombloossom- 15/06/17 à 09:24:17

Elle peut l'être si le législateur décide d'exempter certaines entreprises de certaines obligations, ce que propose la GDPR, notamment en ce qui concerne l'obligation de tenir un registre des activités de traitement pour les entreprises de moins de 250 employés, sauf exceptions.

Avatar de Jurideek INpactien
Avatar de JurideekJurideek- 15/06/17 à 09:33:39

Bien entendu, à moins que le texte le précise expressément : mais en l'occurrence, il ne fait pas de doute qu'une très grande partie des dispositions du RGPD leur seront applicable.

Tout comme l'est aujourd'hui la loi Informatique et Libertés. Rappelons que la "panique" que l'on voit depuis quelques semaines autour de ce sujet est bien une démonstration que la loi Informatique et Libertés n'est pas respectée par les entreprises.

Avatar de bloossom INpactien
Avatar de bloossombloossom- 15/06/17 à 09:37:25

Je sais qu'il existe des logiciels de diagnostique du flot de données au sein d'un système, mais il ne faut pas se focaliser que sur l'IT. L'analyse du respect du règlement prend en compte tant les moyens techniques (données anonymisées, données chiffrées, encryptées ou pseudonymisées, robustesse du système ou autre), qu'organisationnels (contrats entre le fournisseur de stockage et celui qui collecte, gestion de l'accès, organisation de l'entreprise pour répondre efficacement aux demandes potentielles, etc)

 Le mieux est de faire une étude d'impact de la protection des données que ta boite traite. qu'est-ce qui rentre, qu'est-ce qui sort, comment elles sont stockées et utilisées. Ensuite, il faut savoir que plus le traitement est risqué (des données sensibles, ou beaucoup de données croisées) plus il faut faire gaffe. Après, il faut définir quels sont les risques (accès illicite, sécurité, faille ou autre ainsi que leurs conséquences) et comment tu t'organises pour faire en sorte de les réduire au maximum.

C'est un gros changement mais fondamentalement, l'idée de la protection des données reste la même.

Avatar de Kilorya INpactien
Avatar de KiloryaKilorya- 15/06/17 à 09:37:31

Non, il n y a pas de "seuil". Dans l'une des lignes directrices du G29 (réunion de toutes les CNIL) il est précisé que c'est plus un principe, une sorte de rapport entre le nombre de personnes touchées par le traitement et une population type possible.
Bref pas un nombre précis ou un pourcentage, c'est remis au "bon sens et au jugement".

Pour avoir travaillé un peu dessus, les plus gros problèmes seront la gestion du consentement et l'application des droits de la personne dont les données sont utilisées (suppression, transfert, limitation du traitement,...).

Il n'est plus possible de commenter cette actualité.
Page 1 / 3
  • Introduction
  • Des contraintes supplémentaires pour les sociétés
  • « En mai 2018, beaucoup de gens ne seront pas prêts »
  • Des entreprises qui doivent se mettre en ordre de bataille
  • Et la CNIL dans tout ça ?
  • Les prestataires face au nouveau règlement
  • Un terrain législatif encore incertain
S'abonner à partir de 3,75 €