L’Union Européenne travaille à la mise à jour de la législation en matière de protection des données. L’objectif étant de mettre en place un Règlement Européen venant remplacer la législation actuelle définie par une Directive publiée en 1995, soit avant l’éclatement de la bulle Internet, et dont les termes se veulent, de fait, quelque peu dépassés aujourd’hui. Au cours des derniers mois, les ministres de la justice et de l’Intérieur des pays membres de l’UE se sont rencontrés à plusieurs reprises pour débattre de leurs propositions sur le Règlement sur la protection des données. Il reste à se mettre d’accord sur de nombreux points, mais des consensus ont déjà été trouvés et les exigences marquantes de ce Règlement commencent à prendre forme.

Rappel du cadre –  Les définitions et parties prenantes , lorsque l’on parle de protection des données pour les individus et les entreprises :

o        Données personnelles – toute information relative à une personne physique identifiée ou identifiable.

o        Personnes concernées – une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement.

o        Gestionnaire des données – la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les objectifs, les conditions et les moyens du traitement des données personnelles.

o      Traitement des données – une personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel au nom du contrôleur. Le traitement désigne toute opération ou ensemble d’opérations effectuées sur des données personnelles ou des ensembles de données personnelles, que ce soit ou non par des moyens automatisés (collecte, enregistrement, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, diffusion) ou toute autre mise à disposition, le rapprochement ou l’interconnexion, l’effacement, etc.

Pourquoi cette nouvelle réglementation est-elle nécessaire ?

Les 20 dernières années ont été marquées par des évolutions technologiques considérables qui ont largement modifiées nos modes de vie (e-commerce, réseaux sociaux, etc.). En janvier 2012, la Commission Européenne, a proposé la mise en place d’une nouvelle législation tenant compte de l’évolution importante du paysage technologique.

Les débats sur le sujet sont très longs et trois ans plus tard, cette nouvelle législation est toujours débattue. En effet, la définition des termes du Règlement et sa validation finale nécessitent notamment l’implication de trois entités européennes à savoir la Commission Européenne, le Parlement Européen et le Conseil de l’Union Européenne.

 

L’an dernier, le Parlement européen a adopté sa version du Règlement fondée sur la proposition de la Commission.

Aujourd’hui, le Conseil Européen est toujours en train de débattre des dernières propositions et a publié certaines de ses modifications. Une fois que le Conseil sera d’accord sur sa version (ce qui est censé être le cas d’ici à la fin du mois de juin 2015), les trois organismes (Commission, Parlement et Conseil) pourront définir et valider le texte final au cours d’une « procédure législative ordinaire ».

La Commission Européenne espère voir le processus complété en 2015 pour une entrée en vigueur du Règlement en 2017 afin de permettre à toutes les entités concernées de préparer sa mise en application.

Quelles différences avec la Directive de 1995 ?  

·  Il s’agit d’un Règlement et non d’une Directive comme actuellement. La différence est majeure : les Règlements ont force de loi pour tous les Etats membres et entrent en vigueur à la même date pour tous les Etats membres. Alors que les Directives prévoient certes certains résultats qui doivent être atteints, mais chaque Etat membre est libre de décider de la manière dont il souhaite transposer ces directives dans sa législation nationale.

Les trois parties prenantes ont par exemple d’ores et déjà adopté le concept de « privacy by design », le mécanisme « one-stop-shop »  pour résoudre les différents ou encore l’obligation d’informer les personnes concernées et impactées par des failles de sécurité. L’un des principaux points d’accords étant évidemment la nécessité d’accroître la sécurité des données. La majeure partie des exigences en matière de sécurité peut être trouvée dans le chapitre IV, section 2, articles 30, 31 et 32.

Sécurité des données : des points de convergence et un point de désaccord persistant :  

·      Les points de convergence – Chacune des trois entités européennes en charge du Règlement utilise un langage différent dans la rédaction de l’article 30 mais à la lecture des trois textes, un consensus peut être trouvé autour de nombreux aspects de la sécurité des données :

  • L’implémentation d’une politique de sécurité des données : chacune des trois versions provisoires (émanant des trois institutions européennes) spécifie que « le gestionnaire et l’entité en charge du traitement des données doivent mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adéquat au regard des risques ». Bien que la langue puisse varier entre les trois versions provisoires, il apparaît que l’UE prend au sérieux la sécurité des données.
  • Un accès restreint aux données personnelles : des références explicites à la restriction de l’accès aux données personnelles ressortent de chacun des trois projets de texte. Le Conseil va le plus loin en précisant dans l’article 30, 2b, que : « le gestionnaire et l’entité en charge du traitement des données prennent des mesures pour veiller à ce que toute personne agissant sous l’autorité du gestionnaire ou de l’entité en charge du traitement des données qui a accès à des données personnelles ne peut les traiter que sur instruction du gestionnaire, à moins qu’il ou elle soit tenu de le faire par la loi de l’UE ou de l’Etat membre ».
  • Le chiffrement : les articles 31 et 32 ​​contiennent les exigences de notification à l’autorité responsable ainsi qu’aux personnes victimes, en cas de violations de données. Selon les versions provisoires actuelles des textes, le fait de crypter les données et ainsi de les rendre incompréhensibles pour une tierce partie supprime la responsabilité des gestionnaires de ces données à informer les personnes concernées. Le chiffrement est ainsi un moyen viable de réduire le fardeau de la conformité d’une entreprise en cas de violation.
  • Un point de désaccord tenace – Les processus d’anonymisation et pseudonymisation peuvent avoir pour effet de déconnecter les individus de leurs données. Cependant, dans le cas de la pseudonymisation, les personnes auxquelles appartiennent les données peuvent être ré-identifiées en utilisant un ensemble de données distinctes. Les trois entités (Commission, Parlement et Conseil) excluent les données dans lesquelles la personne concernée (personne physique) n’est pas identifiable d’un point de vue de la loi. La question clé est donc de savoir si la personne concernée est identifiable. A l’ère du big data, l’anonymisation et la pseudonymisation pourraient permettre aux gestionnaires de données d’éviter des problématiques de conformité avec la législation, mais anonymiser complètement les données est beaucoup plus difficile qu’il n’y paraît.

La version du Conseil est la seule à inclure des références à la pseudonymisation et la lecture du texte démontre que pour le Conseil la pseudonymisation est un outil très utile en matière de protection de données.

Le processus de validation par les trois parties définira dans quelle mesure l’anonymisation et la pseudonymisation des données exempteront d’amendes et de sanctions les gestionnaires et entités en charge du traitement des données comme c’est le cas avec le chiffrement.

Quelle implication en matière de gestion des logs ?

Même si les noms des individus ne sont pas collectés, la gestion des logs inclut de plus en plus de données personnelles. Or les propriétaires des données étant considérés comme des personnes physiques identifiables directement ou indirectement, les entreprises collectant et gérant des quantités très importantes de logs (adresses emails, adresses IP, données de géolocalisation, données de santé, etc.) sont confrontés à de nouveaux problèmes. La définition des données anonymisées et pseudonymisées et les « mesures techniques et organisationnelles » visant à « dépersonnaliser » les données pourraient avoir un impact profond sur la manière dont les entreprises gèrent les données issues des logs.

Un rôle de plus en plus majeur pour la surveillance des utilisateurs privilégiés

Outre le chiffrement des données personnelles, le projet de Règlement sur la protection des données nécessite le renforcement de la restriction de l’accès aux données personnelles. Par conséquent, les gestionnaires et les sociétés en charge du traitement des données doivent prendre des mesures techniques pour contrôler l’accès aux données sensibles, incluant un certain niveau de processus d’autorisation de l’utilisateur. Ainsi les entreprises devront protéger les données, tout comme elles protègent déjà leurs infrastructures sensibles, ce qui impliquera forcément de mieux surveiller les utilisateurs ayant accès à des données personnelles.

Décryptage par12-Luby, Responsable Marketing Produit BalaBit IT Security