(suite de la partie II) Quelles obligations et contraintes une entreprise devra suivre pour être compatible avec la GPDR ?

 
Comme écrit dans le précédent post, en recoupant plusieurs métadonnées il devient dès lors possible de construire un profil digital relativement fidèle de la personne. De nos jours, il n’est même plus nécessaire de se connecter pour se faire « alpaguer » : tous les faits et gestes sont « épiés » grâce notamment aux cookies. C’est d’autant plus vrai que les publicités sont de plus en plus ciblées, signe que les informations collectées sont de plus en plus fines et sûres. Alors en partant de l’adresse IP, même si ce n’est qu’une information parmi d’autres, on peut déjà faire beaucoup la technique de l’adresse IP fournit une information concernant une personne physique identifiée ou identifiable, tout comme le numéro de téléphone fixe ou mobile le fait actuellement. Elle fournit une « information concernant une personne physique identifiée ou identifiable » et se trouve être disponible pour le fournisseur de service, ce qui est la définition précise d’une donnée à caractère personnel au sens de la GDPR (ou General Data Protection Regulation).
 
Est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Cette définition des données à caractère personnel est importante pour les professionnels de la sécurité de l’information parce qu’elle implique des données qui ne semblent pas, à première vue, pouvoir être considérées comme personnelles. Les adresses IP, les identifiants d’application, les données des systèmes de navigation (GPS), les cookies, les adresses physiques des cartes réseau (adresses MAC), les identifiants uniques d’appareils mobiles (UDID), et le numéro de série des équipements mobiles (IMEI) en sont des exemples.
 
La révolution qui s’annonce pour les professionnels de la collecte des métadonnées va désormais s’appeler RÈGLEMENT E-PRIVACY et doit remplacer la directive Vie Privée et Communications Electroniques (ou VPCE). On y trouve notamment une définition des métadonnées touchant aux communications électroniques, ainsi que les contraintes et autres obligations y afférant. Cette nouvelle loi prévoit six grands principes pour encadrer les traitements appliqués aux données personnelles que les organismes (publics ou privés) peuvent être amenés à stocker :
 

  • le traitement doit être licite, loyal et transparent
  • la finalité de traitement doit être déterminée, explicite et légitime
  • les données inhérentes devront être pertinentes et limitées (principe de minimisation)
  • les données se voudront exactes et si nécessaire, tenues à jour
  • la durée de conservation des données sera limitée
  • la garantie de sécurité des données doit être assurée (a minima : anonymisation et chiffrement)

 
La loi demandera également un consentement explicite de la personne dont on traite les données pour une finalité déterminée. Conserver des données personnelles selon le principe du « récupérons tout ce qu’on peut et on verra après comment le valoriser » ne sera désormais plus possible (Twitter and Co. vont devoir revoir leurs copies…). Les obligations liées aux données collectées sont désormais explicites : stocker et traiter des données personnelles exigera un traitement déterminé en amont et exprimé clairement aux personnes concernées. Ces dernières devront non seulement donner leur accord, mais pourront encore le retirer à tout moment
 
La future loi européenne impose ainsi de nombreuses obligations aux organismes concernant le traitement des données personnelles. Toutefois la GDPR va au-delà de l’injonction et ajoute des sanctions pécuniaires à destination des entreprises qui ne respecteraient pas la loi et ne se mettraient pas en conformité: des amendes de type « 10 millions d’euros minimum ou 2% du CA mondial » sont prévues pour sanctionner l’entreprise qui ne serait pas organisée de manière conforme à la GDPR. Les amendes de type « 20 millions d’euros ou 4% du CA mondial » sont, quant à elles, destinées à sanctionner tout non-respect des droits accordés aux personnes dont les données sont traitées.
 
Cette nouvelle loi fait reposer de nombreuses responsabilités sur les épaules des entreprises qui pratiquent le traitement de données. Elle identifie notamment deux acteurs pour les différentier :
 

  • le data controller ou responsable du traitement (l’entité qui détermine les moyens et les finalités du traitement)
  • le data processor ou sous-traitant (l’entité qui agit pour le compte du data controller)

 
Il va de soi qu’une entreprise peut assumer les deux rôles selon les traitements. MAIS dès l’instant que vous collectez, stockez et traitez des données que vous ne produisez pas (statistiques de trafic web, informations clients contenues dans votre CRM, etc.), vous êtes considéré comme sous-traitant. Et il suffit de très peu de données pour l’être. Cela concerne donc toutes les entreprises actives sur le net et proposant des services digitaux aux utilisateurs européens. Toutes seront dès lors tenues de respecter les obligations (et contraintes), à savoir
 

  • maintenir un registre des traitements
  • sécuriser les données
  • notifier les personnes concernées en cas de faille de sécurité et/ou de fuite de données
  • respecter le droit à la transparence.

 
Enfin, la GDPR exige la présence d’un Data Protection Officer (ou délégué à la protection des données). Ce dernier a un rôle de conseil et de contrôle. Il est le point de contact pour tout ce qui concerne le traitement des données dans quatre cas :
 

  1. le traitement est effectué par une autorité publique ou un organisme public
  2. les activités de base de l’entreprise sont des activités de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes
  3. les activités de bases de l’entreprise sont du traitement à grande échelle de données sensibles et de données d’infractions pénales
  4. le droit de l’UE ou de l’Etat membre l’exigent

 
Avec la GDPR, l’Union Européenne change la donne et remet la protection des données des citoyens au centre du jeu. De ce fait, elle a réussi à imposer du changement, notamment aux Google, Apple, Facebook et autre Amazon, dont les traitements des données personnelles des utilisateurs sont souvent (trop) obscurs.
 
Mais que l’on ne s’y trompe pas ! Les entreprises vont avoir du pain sur la planche pour se mettre en conformité d’ici mai 2018 et respecter les obligations (et autres contraintes) en relation avec la GDPR: juristes et spécialistes de l’informatique vont devoir travailler main dans la main, car les contraintes techniques et juridiques induites par la GDPR sont le plus souvent indissociables.
 
En cas de non respect des règles, la GDPR introduit un mécanisme de mise à l’index par lequel les entreprises devront notifier aux autorités compétentes en matière de protection des données s’il y a un incident de sécurité qui affecte la sécurité des données à caractère personnel qu’elles détiennent. La notification doit être faite dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Si la notification n’est pas faite dans les 72 heures, les entreprises doivent donner le motif justifié de ce retard. Si la violation peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, ou à tout autre dommage économique ou social important pour les personnes concernées, les entreprises devront notifier la violation aux personnes concernées.
 
Il est important de noter qu’aucune notification aux personnes concernées ne sera requise si les entreprises ont mis en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour les données qui ont été affectées par la violation. Ainsi, si, avant la violation, les données ont été rendues incompréhensibles, par exemple par un chiffrement, les entreprises ne sont pas tenues de notifier cette violation aux personnes concernées.
 
Le coût élevé des défaillances L’UE veut que les nouvelles règles de protection des données deviennent une question abordée au plus haut niveau de l’entreprise et elle a donc décidé de rendre les infractions passibles de lourdes amendes : si une entreprise ne se conforme pas aux obligations en matière de sécurité des données stipulées dans la GDPR, elle peut recevoir une amende pouvant aller jusqu’à 10’000’000 € ou jusqu’à 2 % de son chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu. Pire encore, si une entreprise est repérée en violation de certaines autres obligations relevant de la GDPR, l’amende peut s’élever à 4 % de son chiffre d’affaires annuel mondial total. Ce qui peut inciter plus d’un acteur à respecter les contraintes imposées par la GDPR.

 

Suite et fin dans le prochain et dernier post: Au sujet de la bonne gestion de la donnée

Vos données ont de la valeur !

La Data Intelligence est destinée aux gestionnaires, décideurs et dirigeants d’entreprise. Il s’agit de la mise en œuvre des moyens, outils et méthodes destinés à fournir l’information utile pour décider et agir en toute connaissance de cause. Mettez-toutes les chances de votre côté en vous appuyant sur des professionnels de la donnée.

Les experts CALYPS sont là pour vous aider