Les revues spécialisées, les sites web et réseaux sociaux professionnels regorgent d’articles et de publicités parlant de mise en conformité des entreprises et du couperet du 25 Mai 2018 (date de mise en application du règlement européen sur la gestion des données privées, voté et rendu effectif en 2016).
A en croire ce que l’on y lit, d’un côté de l’échelle, celui tenu par les vendeurs d’audit RGPD, personne n’est en conformité et cela va coûter très cher dès le 26 mai 2018. De l’autre côté, tenu par des avocats, des RSSI, et autres pseudo-spécialistes juridiques, on est persuadé que les autorités de régulation n’auront pas le temps ni les moyens de mettre en œuvre les contrôles pour faire appliquer ce règlement, et donc qu’il est urgent de ne rien faire.
Sans tomber dans la folie du bug de l’an 2000, qui selon les prédictions de Gartner de 1995 aurait pu coûter entre 300 et 600 milliards de dollars dans le monde (en fait personne n’a osé faire le calcul à posteriori), cette nouvelle « lubie » informatique commence à faire du bruit et les entreprises, surtout les PME, ne savent plus vraiment qui écouter et surtout quoi faire.
J’en profite pour faire un aparté sur le bug de l’an 2000 : les informaticiens étaient pointés du doigt une fois le 1er janvier passé car rien de catastrophique n’était arrivé. Je répondrais 3 choses :
- D’abord, les informaticiens ne sont pas des médias, ces derniers ayant fait leurs couvertures pendant au moins 6 mois rien qu’avec ce sujet.
- Ensuite, le parc informatique français était nettement en retard sur l’évolution des équipements. Cela a permis une vraie mise à niveau massive (utiliser des 386SX dans les mairies en 1999, c’est quand même limite).
- Enfin, s’il n’y a pas eu de problème, c’est peut-être aussi parce que les systèmes avaient dans leur grande majorité été mis à jour. Fin de l’aparté.
Pour en revenir à ce fameux Règlement Général sur la Protection des Données (RGPD), il faut dire qu’il est, comme tout document législatif, totalement imbuvable. Quand vous êtes sur la brèche tous les jours pour faire tourner votre PME, en jonglant avec vos fournisseurs, vos clients, vos salariés (et tous les sujets qui vont avec), vous n’avez pas forcément envie le soir, de substituer votre moment de détente par la lecture d’un pavé écrit en police « Arial 8 » et sans images…
Du coup, que peut-on dire de cette nouvelle régulation ? Faut-il s’y plier, faut-il ne rien faire ? Quel est son contenu et qu’est-ce que cela veut dire dans la vie de mon entreprise ?
Tout d’abord, il faut savoir que nous ne partons pas de zéro. Dans la majorité des pays européens et en France depuis 1978, nous avons une législation qui encadre peu ou prou de manière équivalente la collecte et la manipulation des données personnelles des citoyens européens.
Suis-je concerné ?
Il faut être clair, la réponse est OUI. Le fond de ce règlement est que si vous êtes une entreprise européenne, vous êtes assujettie à RGPD. Si vous êtes une entreprise hors UE, mais que vous collectez et/ou traitez des données de citoyens européens, vous êtes assujettie à RGPD. Donc autant dire que, sauf si vous êtes un garagiste biélorusse, vous allez devoir vous conformer à ce règlement.
Une entreprise est par essence une machine à collecter les données. Elle a des salariés, et quand bien même il s’agirait d’une très petite entreprise unipersonnelle, elle a des clients. Il faut donc qu’elle enregistre des noms, des adresses, voir des numéros de téléphones et des adresses emails pour maintenir le lien avec eux.
Qu’est-ce qu’une donnée personnelle ?
Dans l’esprit du règlement, cette définition est la plus large possible. Pourquoi ? Parce que les technologies évoluent chaque jour et que nous sommes amenés à produire de plus en plus de données nous concernant.
Il y a donc un élément clef ici, qui dit que chaque donnée permettant de faire un lien d’identification avec une personne réelle rentre de facto dans la case « donnée personnelle ».
Cela veut dire que si vous avez une base de données (sous forme de fichier Excel ou autre) qui contient les numéros de badge de tous vos salariés, mais qu’il n’y a aucun moyen de relier ce numéro à une personne réelle, alors ce n’est pas une donnée personnelle. Dès l’instant que ce même numéro de badge permet de faire ce lien, cela devient une donnée personnelle.
Que dois-je faire avec ces données ?
La première chose importante qui ressort de ce règlement, c’est la notion de comportement responsable et honnête avec la collecte et le traitement des données personnelles.
Que cela veut-il dire ? Et bien cela veut dire que vous devez vous comporter avec les données de vos clients/salariés (liste non exhaustive) comme vous voudriez que l’on se comporte avec VOS données personnelles. (là, on enfonce une porte ouverte, mais il est parfois bon de rappeler des évidences).
La première façon d’être honnête, c’est de demander l’accord de la personne lorsque vous collectez une/des donnée(s) la concernant. Ce point est l’idée initiale du règlement : on valide et on garde la trace du consentement de la personne réelle lorsque l’on récupère des informations personnelles la concernant.
Avoir le consentement, c’est bien, mais vous devez aussi prouver que vous avez expliqué à la personne physique quel sera l’usage de ses données. Et si vos besoins en matière d’usage évoluent, vous devez refaire une demande de consentement et réexpliquer le nouvel usage.
De même, nous devons permettre à la personne physique de demander l’effacement total ou partiel de ses données, mais aussi de les récupérer dans un format standard et lisible (afin éventuellement de changer de prestataire).
ATTENTION, lorsque la collecte d’informations personnelles couvre un besoin légal et légitime tels que la paye des salariés, le traitement de l’impôt ou autre, les demandes d’effacement total ne sont bien entendu pas recevables. Mais les demandes de modification, elles, le sont.
Vous devez bien sûr faire en sorte de sécuriser ces données. Cela veut dire tout mettre en œuvre pour que personne ne puisse voler ni utiliser ces données à des fins autres que celles pour lesquelles vous les avez collectées. On parle donc de sécuriser le transfert des données entre vos différents systèmes, de sécuriser leur stockage, de sécuriser leur accès.
Le règlement vous impose aussi d’informer l’autorité de régulation (la CNIL en France) ainsi que les propriétaires des données, lorsque vous détectez que vous avez été victime d’une brèche de sécurité et que des données ont potentiellement été volées.
Vous avez un délai très court de 72 heures pour effectuer cette démarche d’information.
Comment dois-je m’y prendre ?
Pour s’assurer que tout cela se passe dans les meilleures conditions, il faut s’atteler à plusieurs chantiers :
- Le premier est d’ordre organisationnel. Il faut que dans votre entreprise, il y ait au moins une personne qui comprend ce règlement, qui sache l’expliquer et qui ait suffisamment de « poids » pour être écoutée (cette personne n’a pas obligation d’être à temps plein, ni d’être salariée de l’entreprise).
- Vous devez décrire vos processus de collecte et de traitement de données, même de manière simple. L’important est de savoir expliquer à un contrôleur ce que vous faites avec les données et de montrer que vous avez décrit les mécanismes pour le faire.
- Vous devez documenter votre politique de sécurité, votre politique de gestion des données.
- Vous devez informer et former vos salariés à ce nouveau règlement (attention, ils n’ont pas vocation à devenir expert. Ils doivent juste savoir que cela existe et ce que ça veut dire pour eux et pour l’entreprise).
- Si vous développez en interne des applications (web ou autre), vous devez appliquer la règle du « privacy by design/by default ». Cela veut simplement dire que vos équipes doivent s’assurer avec les outils adéquats que leur code est exempt de faille de sécurité et que les formulaires de consentement sont par défaut sur « je ne veux pas laisser mes données ».
Ce qui s’applique pour le développement d’application s’applique aussi pour toute mise en œuvre d’un nouvel environnement informatique (gestion des mots de passe, gestion des accès admin, gestion des mises à jour de sécurité, etc.).
Et si je ne fais rien ?
Dans ce cas, le règlement prévoit de déléguer le pouvoir d’enquête aux autorités locales (CNIL par exemple) et inscrit 2 amendes administratives dans son arsenal d’intimidation.
Ces amendes font les choux gras des chantres de la peur. En effet, annoncer à grand renfort de titre en police de taille 72 que vous allez prendre une amende de 4% du chiffre d’affaires annuel de votre entreprise (ou 20 millions d’euros au plus haut de ces 2 possibilités), ça fait parler (et ça fait vendre du papier ou de la pub internet).
Il y a en fait 2 niveaux :
- 2% du CA ou 10M€ pour une entreprise qui n’aurait pas du tout mis en place les éléments organisationnels et fonctionnels pour respecter le règlement.
- 4% du CA ou 20M€ dans le cas d’une entreprise qui aurait sciemment fait usage de données personnelles en dehors du cadre évoqué par ce règlement (revente à des tiers, pas de consentement, collecte de toutes les données possibles sans rapport avec le traitement prévu initialement).
Un autre aspect de ce pouvoir d’enquête, c’est qu’à partir de RGPD, c’est à vous de prouver que vous êtes conforme aux exigences du règlement, là où la loi « informatique et liberté » demandait à la CNIL de prouver que vous n’étiez pas conforme.
Comme vous le voyez dans ce très rapide et léger tour d’horizon de ce règlement, il y a des choses à faire…
Sachez que vous ne pourrez pas échapper à la mise en conformité, pour une raison simple, c’est que ce règlement ouvre aussi la voie à des actions au civil pour les particuliers. Mais vous n’aurez pas non plus à vous jeter sur le premier « vendeur de rêve » venu pour vous mettre en conformité.
La date du 25 Mai 2018 est un jalon dans la mise en œuvre de ce règlement, un jalon important puisque c’est le temps zéro de la prise en compte uniformisée du droit sur la donnée personnelle dans toute l’Europe.
C’est le début d’une grande histoire dans laquelle tous les acteurs ont un rôle à jouer :
- Les entreprises devront savoir précisément ce qu’elles font avec les données.
- Les particuliers devront savoir exactement ce qu’ils veulent que vous fassiez avec leurs données personnelles.
- Le régulateur devra faire l’arbitre au milieu de tout cela.
Voilà donc RGPD qui va rentrer dans la vie de tout le monde, ce n’est ni une catastrophe, ni une fin en soi, mais c’est une réalité avec laquelle il va falloir compter.
Alors préparez-vous, organisez-vous et prenez le temps de choisir un partenaire en lequel vous avez confiance pour vous accompagner sur ce sujet qui fait beaucoup parler (la preuve, vous venez de lire cet article qui en parle encore, et encore, et encore…).
__________
Laurent Benoît est Manager Sécurité chez Avanade France.