Dans moins d'un an, un règlement européen renforcera considérablement les devoirs des entreprises en matière de données personnelles. Pourtant, une bonne part d'entre elles n'y est pas encore prête. Le seront-elles à temps ? Nous en avons discuté avec plusieurs experts, au moment où le droit européen subit d'autres chamboulements.
Le 25 mai 2018, le droit européen sur la protection des données sera revisité de fonds en comble. C'est à cette date que s'appliquera le Règlement général sur la protection des données (RGPD), qui renforce les obligations des entreprises, les responsabilités (et pouvoirs) des autorités nationales ainsi que les sanctions en cas de manquement.
Des contraintes supplémentaires pour les sociétés
Adopté à la mi-avril 2016 après des années de débats, le texte impose la tenue d'un registre des traitements, la notification des failles (aux autorités et aux internautes), l'adhésion à des codes de conduites, et dans certains cas la nomination d'un délégué à la protection des données (DPO).
La responsabilité de l'autorité de protection du pays de l'internaute est renforcée, comme la coopération entre celles-ci. Surtout, les sanctions voient leur plafond exploser, passant à 4 % du chiffre d'affaires mondial, contre trois millions d'euros actuellement en France.
Une entreprise dont les données clients auront fuité devra donc les prévenir rapidement, ainsi que les CNIL des pays concernés. Elles doivent aussi être en mesure de lister tous les traitements effectués sur ces informations, en ayant obtenu l'accord de l'internaute pour chacune d'elle.
En cas de problème, notamment de sécurité, un hébergeur sera coresponsable avec le service qu'il stocke. Les sociétés manipulant de grandes masses de données devront disposer d'un DPO, comme elles ont aujourd'hui un responsable de la sécurité informatique.
La communication a grandi ces dernières semaines, à l'adresse des entreprises. Ces dernières se réveillent-elles à un an de l'échéance ? C'est la question que nous avons posée à des spécialistes, notamment Alain Bouillé, président du Club des experts de la sécurité de l'information et du numérique (Cesin), Alban Schmutz, vice-président d'OVH, et Amal Taleb, vice-présidente du Conseil national du numérique (CNNum), à l'occasion du Cloud Independance Day 2017 le 6 juin.
Aujourd'hui, la sérénité n'est clairement pas de mise, alors que la protection des données n'est pas toujours prise en compte, et que d'autres textes européens importants se mettent en place, comme le règlement ePrivacy.
« En mai 2018, beaucoup de gens ne seront pas prêts »
Pour Compuware, le cabinet Vansen Bourne a interrogé 400 directeurs des systèmes d'information (DSI) en juin 2016. 53 % des répondants affirmaient être bien informés à propos du RGPD, et 45 % « vaguement ». Un tiers affirme tout de même disposer d'un plan « détaillé et ambitieux », quand 41 % auraient « un plan d'ensemble ». Plus de 20 % n'avaient rien planifié l'an dernier.
Dans le même temps, 53 % des entreprises disent ne pas pouvoir localiser précisément leurs données. Surtout, près des deux tiers s'appuyaient sur un consentement global au traitement de leurs données, alors que le règlement demande une autorisation explicite à chacun d'eux. Une différence qui peut poser problème.
Au Medef en mars, la présidente de la CNIL, Isabelle Falque-Pierrotin, était plus directe (PDF). « Le constat est préoccupant : moins d’un tiers des entreprises se sentent prêtes à se conformer, 97 % n’ont pas de plan d’action, 10 % considèrent qu’elles seront parfaitement prêtes » tranchait-elle.
« Deux ans pour mettre en œuvre le RGPD est déjà audacieux. Certains très grands groupes le feront sans trop de difficultés, mais remettre à niveau les compétences de tous les acteurs publics et privés commence déjà à être une gageure » estime Amal Taleb du CNNum.
« En mai 2018, beaucoup de gens ne seront pas prêts. Le travail est colossal, abonde Alban Schmutz d'OVH, qui travaille sur le sujet depuis plus de deux ans. Tout le monde se réveille, il faut dire ce qui est. Qui parlait du RGPD il y a trois ou quatre mois ? » Une vision relativisée par Alain Bouillé du Cesin, même « [s']il ne faut pas traîner ».
Pour ce dernier, « il y a deux catégories d'entreprises : celles qui avaient déjà désigné un correspondant Informatique et libertés (CIL), et les autres, qui ne l'ont pas fait pour de multiples raisons ». Les sociétés qui disposent d'un CIL, qui incarne la question de la vie privée, auraient déjà des processus en place, « de la déclaration à la protection des données, en passant par l'information des personnes concernées par le traitement ». « Ces entreprises ont un saut à faire, mais il n'est pas colossal. Le CIL va plus ou moins devenir un DPO » recommandé par le prochain règlement européen, estime-t-il.
Des entreprises qui doivent se mettre en ordre de bataille
Les nouvelles contraintes peuvent être importantes, notamment en termes d'inventaire des traitements de données. Pour les entreprises qui se souciaient peu du problème, voire se limitaient à une déclaration CNIL obligatoire, le choc pourra être plus rude. « Là effectivement, commencer maintenant est sûrement déjà trop tard. Ce n'est pas la peine qu'ils espèrent être prêts en mai 2018. C'est un chantier de très longue haleine » reconnait Alain Bouillé.
De nombreuses strates d'une société sont concernées, de l'informatique au juridique en passant par la communication. « Le vrai chantier est dans les grandes entreprises qui n'avaient pas cette culture », sachant que la majorité d'entre elles n'avaient pas de correspondant CNIL, estime notre interlocuteur. Il se veut tout de même optimiste, la loi Informatique et libertés nous habituant à la question depuis 1978.
La nomination d'un délégué à la protection des données (DPO) n'est obligatoire que pour les entités publiques ou les entreprises traitant de grandes masses d'informations (y compris sensibles). Elle reste fortement recommandée pour les autres. Le club prévient d'ailleurs que si le DPO doit bien incarner le sujet, il doit rester en équilibre avec le responsable de la sécurité informatique (RSSI), notamment sur le financement.
« L'horizon se rapproche, mai 2018 est demain. Donc on pourrait se dire qu'en 2017, tous les budgets sont dédiés au RGPD... Alors que les hackers continuent d'être inventifs et WannaCry nous a rappelé (s'il en était besoin) à la dure réalité du quotidien » nous déclare son président. Pour les PME, se conformer au règlement « ne sera pas la fin du monde », à moins de traiter les données de millions d'internautes.
Et la CNIL dans tout ça ?
En mars, la CNIL alertait publiquement les entreprises, rappelant que le RGPD « ne souffre pas de retard », publiant une large documentation. En fait, depuis trois mois, les conseils pour se préparer, le détail du rôle de DPO ou encore la visualisation interactive des articles du règlement arrivent régulièrement sur son site. Fin mai, elle marquait même l'échéance d'un an, cruciale. Contactée, la commission se refuse à tout verdict, renvoyant vers la documentation qu'elle a publiée.
Il reste que la CNIL elle-même doit se préparer. En plus de la « priorité absolue » qu'est de préparer les entreprises, elle doit disposer d'une nouvelle loi Informatique et libertés, dépoussiérant le texte de 1978. 57 passages du RGPD feraient ainsi référence à des dispositions nationales, déclarait l'institution en mars dernier. Un texte doit être déposé en conseil des ministres avant l'été.
L'enjeu est aussi européen pour la CNIL, regroupée avec ses homologues des autres États membres au sein du G29 (Article 29). Celui-ci doit devenir l'European Data Protection Board (EDPB), ce qu'il reste encore à mettre en place. Les commissions doivent aussi s'accorder sur les lignes directrices, à appliquer dans chaque pays. Pour le moment, seule une partie est publiée, une absence notable étant celle sur le consentement, un des concepts centraux du règlement.
En anglais, Isabelle Falque-Pierrotin de la CNIL évoque le chantier du règlement
Les prestataires face au nouveau règlement
L'alarme à un an de l'échéance n'est pas le fait que de la CNIL. Des acteurs comme IBM et Microsoft se positionnent publiquement sur le dossier ces derniers mois, notamment à l'adresse des clients cherchant une solution « cloud ». Les entreprises seraient de plus en plus sollicitées sur la question de la mise en conformité, face à l'ampleur de la tâche.
« Il ne faut pas trainer, ni se laisser impressionner, en particulier par les éditeurs. J'ai une proposition à peu près tous les matins d'un nouvel éditeur qui me propose la solution miracle pour appréhender le RGPD, essentiellement sur les problématiques d'inventaire. Évidemment, il faut raison garder, un outil ne règlera pas l’ensemble du problème » nous affirme Alain Bouillé du Cesin. Pour lui, le plus grand défi a bien été d'harmoniser les lois, non d'y adapter les entreprises.
En fait, avec la nouvelle responsabilité conjointe des sous-traitants, donc des hébergeurs eux-mêmes, les prestataires « cloud » ont du pain sur la planche. Depuis deux ans, des prestataires d'une quinzaine de pays européens, avec Amazon, préparent le code de conduite du CISPE. Ce dernier a été formé dans ce but, pour fournir une base légale aux acteurs de l'IaaS (infrastructure comme service) face aux nouvelles obligations, adhérer à un code de conduite étant recommandé.
Pour OVH, préparer les clients est bien plus de travail que se préparer lui-même, nous déclare Alban Schmutz. Le code a été présenté officiellement fin septembre aux institutions européennes, fournissant une marche à suivre pour les sociétés et des principes à respecter, comme donner le choix de la localisation des données ou ne pas revendre celles des entreprises clientes.
Pour le moment, environ 35 services se sont auto-déclarés conformes. La démarche vise les PME, pour lesquelles un audit tiers est estimé trop coûteux. « À partir de mai 2018, seul l'audit par un tiers sera possible pour obtenir le label » assure le vice-président d'OVH.
Un terrain législatif encore incertain
Malgré ces réserves vis-à-vis des entreprises, le RGPD reste un document voté, stable. Ce n'est pas le cas d'autres textes en chantier en Europe, en pleine poussée vers un marché unique numérique par la Commission européenne. « Il y a une dizaine de sujets qui interagissent les uns avec les autres, et le RGPD est l'un d'eux » résume Alban Schmutz, qui évoque par exemple la directive NIS, sur la sécurité informatique. Y préparer les acteurs français est d'ailleurs un travail important en cours, nous affirme l'ANSSI.
La principale inconnue concerne le règlement ePrivacy, destiné à compléter le règlement général sur certains angles morts, comme la question des cookies, les métadonnées ou des collectes spécifiques. Encore pris dans le ping pong législatif entre institutions européennes, il doit s'appliquer le 25 mai 2018, pile en même temps que son homologue.
« C'est la volonté de la Commission européenne, je pense que tous les pays sont d'accord aujourd'hui. La principale difficulté est la discussion au pas de charge. Ça peut créer des problèmes par la suite », par exemple au Parlement, estime Amal Taleb du CNNum. Pour elle, il faudra choisir entre la date de la Commission et un texte totalement prêt. Ces prochains jours, ce sont ses amendements qui seront discutés, alors que la Commission des libertés civiles du Parlement vient de diffuser le brouillon de son rapport sur la question.
Des points spécifiques restent à définir, comme la distinction entre données personnelles et non-personnelles et les régimes de traitement de ces données. Autant de craintes qu'ont déjà soulevées le CNNum et le Contrôleur européen de la protection des données, Giovanni Buttarelli.
La prise en compte des innovations à venir est aussi en question. « ePrivacy soulève des questions sur l'Internet des objets. Sur de l'IoT classique avec les données de transport, par exemple, mais aussi sur l'IoT industrielle où on n'est pas du tout sur les mêmes problématiques, avec des standards différents. Ce sont des sujets qui nécessiteront sûrement une intervention » appréhende Amal Taleb.
Pour Alban Schmutz d'OVH, « la réalité technique va aussi s'entrechoquer avec ces principes ». De quoi nourrir les ajustements, voire une jurisprudence dans un cadre où les hébergeurs gagneront en responsabilité. La stabilité légale, elle, devrait arriver au moment où RGPD et ePrivacy seront en application même si, comme répond Amal Taleb, « il serait malhonnête intellectuellement de spéculer ».
Commentaires (21)
#1
#2
Toutes les entreprises sont concernées?
Car les logiciel de gestion client, RH, CRM,… même les très petites en ont et tout cela me parait compliqué (et très couteux) pour des petites structures.
#3
ça n’a pas à voir directement avec l’article..
" />
L’un de vous a des conseils sur des outils IT pour faciliter le passage à la RPGD?
Merci
#4
La loi Informatique et Libertés leur est déjà applicable. D’ailleurs, la question de l’application de la loi n’est pas une question de taille des entreprises, à ce que je sache.
#5
On risque surtout de découvrir un tas de cadavres planqués sous le tapis.
A suivre…
#6
Encore une superbe usine à gaz technocratique pour soutirer de l’argent à peu de frais : une aubaine pour la bureaucratie parasitocratie qui doit être toute fébrile et jubiler à l’idée de pouvoir réguler par ici, encadrer par là, réglementer et chapeauter un petit peu plus ce formidable levier de liberté qu’est Internet tout en siphonnant le système.
#7
Elle peut l’être si le législateur décide d’exempter certaines entreprises de certaines obligations, ce que propose la GDPR, notamment en ce qui concerne l’obligation de tenir un registre des activités de traitement pour les entreprises de moins de 250 employés, sauf exceptions.
#8
Bien entendu, à moins que le texte le précise expressément : mais en l’occurrence, il ne fait pas de doute qu’une très grande partie des dispositions du RGPD leur seront applicable.
Tout comme l’est aujourd’hui la loi Informatique et Libertés. Rappelons que la “panique” que l’on voit depuis quelques semaines autour de ce sujet est bien une démonstration que la loi Informatique et Libertés n’est pas respectée par les entreprises.
#9
Je sais qu’il existe des logiciels de diagnostique du flot de données au sein d’un système, mais il ne faut pas se focaliser que sur l’IT. L’analyse du respect du règlement prend en compte tant les moyens techniques (données anonymisées, données chiffrées, encryptées ou pseudonymisées, robustesse du système ou autre), qu’organisationnels (contrats entre le fournisseur de stockage et celui qui collecte, gestion de l’accès, organisation de l’entreprise pour répondre efficacement aux demandes potentielles, etc)
Le mieux est de faire une étude d’impact de la protection des données que ta boite traite. qu’est-ce qui rentre, qu’est-ce qui sort, comment elles sont stockées et utilisées. Ensuite, il faut savoir que plus le traitement est risqué (des données sensibles, ou beaucoup de données croisées) plus il faut faire gaffe. Après, il faut définir quels sont les risques (accès illicite, sécurité, faille ou autre ainsi que leurs conséquences) et comment tu t’organises pour faire en sorte de les réduire au maximum.
C’est un gros changement mais fondamentalement, l’idée de la protection des données reste la même.
#10
Non, il n y a pas de “seuil”. Dans l’une des lignes directrices du G29 (réunion de toutes les CNIL) il est précisé que c’est plus un principe, une sorte de rapport entre le nombre de personnes touchées par le traitement et une population type possible.
Bref pas un nombre précis ou un pourcentage, c’est remis au “bon sens et au jugement”.
Pour avoir travaillé un peu dessus, les plus gros problèmes seront la gestion du consentement et l’application des droits de la personne dont les données sont utilisées (suppression, transfert, limitation du traitement,…).
#11
La panique vient aussi du renforcement des droits pour les sujets des données, de l’extension du champ d’application du règlement (en Suisse par exemple, le règlement a des effets assez importants par rapport à avant et les entreprises ont pas le réflexe de s’intéresser au droit de l’UE), et de l’insécurité juridique qui découle de la nouveauté. Tout le monde se dit que pour créer de la jurisprudence et clarifier la situation, certaines têtes vont devoir tomber. Difficile de quantifier l’efficacité le la loi précédente, même si c’est passablement établi que les lois sur la protection des données sont en général massivement violées.
#12
La différence c’est que la loi informatique et liberté, dans pas mal de cas, n’imposait qu’une déclaration.
Avec la RGPD, grosso-modo, il faut que la société soit en mesure de démontrer pour tout système manipulant des données personnelles qu’elle a pris les mesures appropriées. Et la définition de données personnelle est très, très large.
Tel que je le comprends, il faut grosso-modo faire une analyse des risques + dossier récapitulant comment ce qui a été fait est conforme aux risques identifiés. Ça a un air de famille avec les homologations RGS par exemple, mais sur un périmètre bien plus large.
Ca reste une bonne pratique, mais repasser en revue tout l’existant, c’est un travail colossal.
#13
A partir de 2,c’est un couple. A partir de 3 c’est un troupeaux.
" />
Plus sérieusement, on s’en fout de connaitre le volume de données collectées acceptable ou même de savoir si il s’agit de données personnelles ou pas. Dans l’esprit de la GDPR, ce qui importe c’est la finalité de la collecte :
En gros.
#14
merci ! 
" />
#15
Non, pas du tout ! Il devait en effet y avoir une déclaration du traitement à la CNIL, mais la CNIL n’en analysait pas la conformité (sauf sur les demandes particulières, comme les demandes d’autorisation). La conformité à la loi n’était pas remplie du seul fait de la déclaration, loin de là ! Il fallait bien analyser la situation juridique, la sécurité informatique des traitements, etc.
Pour le coup, la définition de données personnelles n’a pas fondamentalement changée : c’est grosso modo la même chose.
RGPD :
“toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;”
LIL :
“Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.”
Le RGPD va plus loin dans le détail en faisant une liste, mais aucun élément de ce qu’il liste n’aurait pas déjà été considéré comme étant ou a minima pouvant être une donnée personnelle en appliquant la définition de la LIL.
Les grands principes du RGPD étaient déjà présents dans la LIL. Certes, le RGPD en renforce la portée, mais globalement, ce n’est pas une révolution, plutôt une évolution.
Sur le travail colossal, je ne le sais que trop bien… Mais il n’est aussi colossal que parce qu’avant, une attention portée à ce sujet était très limitée.
#16
De mémoire, il n’y a pas de seuil précis. De toute manière, cela reste recommandé pour beaucoup d’entreprises de disposer d’un DPO, même au-delà de la pure obligation.
" />)
(Merci !
#17
moins d’un tiers des entreprises se sentent prêtes à se conformer, 97 % n’ont pas de plan d’action, 10 % considèrent qu’elles seront parfaitement prêtes
Dans le détail:
#18
De ce que j’en ai compris, il y a inversion de la charge de la preuve. Avec la LIL, si on avait un CIL, on pouvait se contenter de déclarer (et évidemment de faire les opérations de sécurisation). Avec la RGPD, il faut démontrer a priori les mesures qu’on a prises.
Ça ne change radicalement ni le périmètre, ni les mesures techniques à prendre, mais toute la doc est à reprendre.
#19
Exact, il y a inversion de la preuve.
La nomination d’un CIL avec la LIL permettait déjà de se passer de déclaration à la CNIL (c’était même l’avantage perçu par les entreprises). En l’absence de CIL nommé, il fallait passer par des déclarations à la CNIL. Les demandes d’autorisation étaient dans tous les cas à faire à la CNIL.
Avec le RGPD, il faudra créer des preuves de la sécurisation initiale des projets. La documentation existante est du coup à reprendre et à compléter, effectivement.
#20
Je dirais que ça mange pas de pain de nommer un DPO, y compris dans les petites entreprises. Comme l’exigence de qualification dépend du traitement envisagé, (plus il présente de risques, plus il faut quelqu’un de compétent), une entreprise qui traite des données personnelles (a peu près toutes) mais sans effectuer de traitement risqué peut simplement nommer un collaborateur ou un associé responsable histoire d’avoir simplement une personne de contact pour ces questions (et quelqu’un qui y pense dans l’entreprise tout simplement).
#21
c’est moi ou l’image du PIA c’est de l’anglais dégueulasse traduit du français ???