Qu’est-ce que le règlement général sur la protection des données de l’UE ?

Cela fait longtemps qu’il a été annoncé, mais le règlement général sur la protection des données de l’UE est en voie d’être finalisé. Mais qu'est-il exactement et qu'implique-t-il pour les entreprises ? Par quoi commencer pour s'y conformer ?

Nous avons suivi le règlement général sur la protection des données de l’UE (General Data Protection Regulation, GDPR) au cours des deux dernières années au fil de sa progression dans le processus législatif européen. À ce stade, il existe deux versions du GDPR, celle du Conseil et celle du Parlement. Les parties prenantes travaillent maintenant à trouver un langage commun. Vous pouvez lire cet article de nos amis de l’IAPP pour tout savoir sur les plus récents compromis. Si tout se déroule comme prévu, un accord devrait être atteint d’ici la fin de l’année.

Cela signifie que le GDPR entrera probablement en vigueur dans le courant de l’année 2017. Gardez votre calme, il n’y a encore aucune raison de paniquer. 

Il est possible de voir le nouveau GDPR comme une évolution de la Directive de Protection des données (DPD) qui constitue les règles existantes de l’UE en la matière. Si votre entreprise est nouvelle sur le marché européen, le GDPR pourrait constituer un défi. Toutefois, toute société respectant les meilleures pratiques informatiques ou les normes du secteur d’activité (PCI DSS, SAN Top 20, ISO 27001, etc.) ne devrait pas trouver le GDPR trop contraignant.

Une manière de décrire le GDPR consisterait à dire qu’il réglemente un grand nombre d’idées relatives à la sécurité des données et relevant du bon sens. Pour la plupart, celles-ci sont issues de l’école de pensée qui recommande le respect de la vie privée dès la conception : minimiser le recueil des données personnelles, supprimer les données personnelles devenues inutiles, restreindre les accès et sécuriser les données sur l’ensemble de leur cycle de vie.

Directive de Protection des Données 2.0

La Directive de Protection des Données (DPD) européenne actuelle existe depuis 1995, mais les avancées de la technologie ont rendu certaines de ses lacunes plus apparentes. L’Internet, le cloud et les Big data n’ont été que quelques-uns des facteurs qui ont forcé l’UE à reconsidérer son approche de sa loi sur la sécurité des données.

Un des principaux problèmes de la Directive est d’avoir autorisé les États membres à rédiger leurs propres législations en utilisant la Directive en tant que modèle et en la « transposant » en jargon bureaucratique européen, puis en appliquant ces règles de manière séparée. Suite aux révolutions technologiques mentionnées ci-dessus, les États membres avaient différentes interprétations de ce qui constitue un identifiant personnel (adresses MAC, données biométriques ?) ou du responsable des données lorsque celles-ci se trouvent dans le cloud (la société ou le fournisseur de services).

Comprenant que l’ancienne loi sur la sécurité des données devait être modernisée, la Commission européenne a démarré le processus de création d’une nouvelle législation en 2012. Son objectif principal était une loi unique, une « harmonisation » comme elle a été appelée, concernant tous les pays européens et une approche à « guichet unique » de son application par une autorité chargée des données.

Le GDPR ne constitue pas une refonte complète de la DPD. Au lieu de cela, il améliore la DPD existante. Il est intéressant de rappeler que dans les années 1990, la DPD avait aussi pour objectif d’aboutir à une loi unique remplaçant les réglementations nationales individuelles.

Le GDPR semble sur le point de réaliser enfin ce rêve, ou de s’en approcher de beaucoup plus près.

Ainsi, il est probablement mieux de voir cette nouvelle loi comme une DPD 2.0. Elle apporte cependant quelques changements importants. En particulier, il existe une exigence de notification de violation qui obligerait les entreprises à informer les autorités concernées et les consommateurs en cas d’exposition des données. Rien de tel n’existe vraiment ici aux États-Unis.

Un autre changement concerne les amendes pour non-conformité qui seront importantes : 2 % du chiffre d’affaires global (dans la version du Conseil) ou 5 % (dans celle du Parlement). Certains diraient que le GDPR vise en fait les multinationales, en particulier les multinationales américaines qui réalisent la plus grande partie de leur chiffre d’affaires à l’extérieur de l’UE.

Vocabulaire du GDPR

Le GDPR est un document énorme comptant plus de 100 pages de textes légaux au format PDF. Cependant, pour les informaticiens et les spécialistes de la sécurité qui doivent mettre en œuvre certaines de ces règles, les parties essentielles se trouvent dans quelques articles de la réglementation.

Mais avant de plonger dans le GDPR, mettons les choses au point en ce qui concerne le vocabulaire de base.

Dans le GDPR, données à caractère personnel signifie « toute information se rapportant à une personne concernée ». Une personne concernée est « une personne physique identifiée ou une personne physique qui peut être identifiée, directement ou indirectement, par des moyens raisonnablement susceptibles d’être utilisés ».

Cette définition quelque peu alambiquée relève du langage réel de la DPD d’origine. Comme l’ancien règlement, le GDPR englobe les identifiants évidents tels que les numéros de téléphone, adresses et numéros de comptes ainsi que les nouveaux identifiants de l’ère de l’Internet tels que l’e-mail et les données biométriques et tout ce qui permet de remonter à une personne déterminée.

Le GDPR prend aussi en compte ce qui est connu sous le nom de quasi-identifiants à propos desquels nous avons écrit auparavant dans ce blog. Ce sont des champs de données multiples (typiquement des coordonnées géographiques et des dates) dont le traitement et l’association à des références externes peuvent servir à cerner indirectement un individu.

En tout cas, les données à caractère personnel constituent ce que vous êtes censé protéger ! Les données anonymes ne sont pas concernées par le GDPR ni par la DPD actuelle.

Le GDPR perpétue la terminologie de la DPD concernant le responsable du traitement et le sous-traitant, laquelle est utilisée dans l’ensemble de la loi.

Le responsable du traitement est toute personne qui détermine « les finalités et moyens du traitement des données à caractère personnel ». C’est une autre manière de dire que le responsable du traitement est la société ou l’organisation qui prend toutes les décisions d’accepter initialement les données de la personne concernée.

Le sous-traitant est toute personne qui traite les données pour le compte du responsable du traitement. Le GDPR définit spécifiquement le stockage en tant que fonction de traitement, ce qui englobe aussi le stockage virtuel dans le cloud.

En somme, le GDPR définit les règles de protection des données à caractère personnel lors de leur collecte par les responsables du traitement et de leur transfert aux sous-traitants. Une lacune de la DPD était qu’elle comportait des vides en ce qui concernait les sous-traitants, c’est-à-dire les fournisseurs de services cloud, que le GDPR comble désormais de manière efficace.

Études des articles

Entrons maintenant un peu dans le jargon juridique du GDPR. La nouvelle loi définit des obligations plus spécifiques en ce qui concerne les sous-traitants et donc le cloud. Ceci est décrit dans les articles 26 (sous-traitant) et 30 (sécurité du traitement) – pour les mordus, cela correspond à l’article 17 de la DPD – dans lesquels il est dit que le fournisseur de services cloud doit protéger la sécurité des données qui lui sont confiées par le responsable du traitement.

Le GDPR ajoute la possibilité d’intenter directement une action en dommages-intérêts à l’encontre du sous-traitant. Dans la DPD, seul le responsable du traitement pouvait voir sa responsabilité engagée.

L’article 5 (principes relatifs au traitement des données à caractère personnel) fait essentiellement écho aux conditions de minimisation de la DPD : les données à caractère personnel doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ». Mais il est également dit que le responsable du traitement a la charge ultime de la sécurité et du traitement des données.

L’article 23 (protection des données par conception et par défaut) consacre encore davantage les idées du respect de la vie privée dès la conception. Cet article s’avère plus explicite en ce qui concerne les limites de la rétention des données et leur minimisation, avec des restrictions de durée et d’accès définies par défaut et la possibilité pour la Commission européenne de formuler des réglementations techniques encore plus spécifiques à une date ultérieure.

Autres articles : les nouveautés

Il existe quelques nouvelles conditions qui ont une incidence directe sur l’informatique. Encore une fois, si vous suivez les meilleures pratiques de bon sens, aucune d’entre elles ne devrait représenter un trop grand fardeau. Bien que les DPIA (voir ci-dessous) constituent une couche bureaucratique supplémentaire qui causera probablement une certaine perplexité (et quelques jurons), les détails devront sans doute être mis au point par les régulateurs.

L’article 28 (documentation) ajoute de nouvelles conditions de documentation des opérations concernant les responsables du traitement et les sous-traitants. Il existe maintenant des règles de classification des données collectées par les responsables du traitement, des règles d’enregistrement des destinataires auprès desquels les données sont divulguées et des règles de spécification des limites temporelles après lesquelles les données à caractère personnel doivent être effacées. 

L’article 33 prévoit des évaluations d’impact sur la protection des données (data protection impact assessments, DPIA) avant que le responsable du traitement ne propose de nouveaux services ou produits fondés sur la santé de la personne concernée, sa situation économique ou géographique ou ses préférences personnelles, et en particulier les données relatives à la race, aux préférences sexuelles et aux maladies infectieuses. Les DPIA ont pour objectif de protéger la vie privée de la personne concernée en forçant le responsable du traitement à décrire les mesures de sécurité qui seront mises en place (entre autres restrictions).

La nouvelle règle de notification de violation est probablement celle qui a reçu le plus d’attention de la part des médias. Avant le GDPR, seuls les fournisseurs de services Internet et sociétés de télécommunications étaient tenus de signaler les violations dans les 24 heures en vertu de la directive Vie privée et communications électroniques. Rédigé sur la base de cette directive, l’article 31 du GDPR stipule que les responsables du traitement doivent informer l’autorité de surveillance de la nature de la violation, des catégories de données et du nombre de personnes concernées ainsi que des mesures prises pour atténuer la gravité de la violation.

L’article 32 ajoute que les personnes concernées doivent aussi être averties de la violation, mais seulement après avoir informé l’autorité de surveillance.

L’article 17 (droit à l’effacement et droit à l’oubli) a renforcé les règles existantes de la DPD en matière de suppression et ajoute le controversé droit à l’oubli. Il existe maintenant un langage qui forcerait le responsable du traitement à prendre des mesures raisonnables pour informer les tiers d’une demande de suppression d’informations.

Cela signifie que dans le cas d’un service de médias sociaux publiant les données à caractère personnel d’un abonné sur le Web, celui-ci devrait non seulement supprimer les informations initiales, mais aussi contacter les autres sites Web susceptibles d’avoir copié ces informations. Un processus bien encombrant !

Enfin, une condition qui a reçu moins d’attention, mais aux implications importantes est le nouveau principe de l’extraterritorialité décrit par l’article 3. Il dit que même si une entreprise n’a aucune présence physique dans l’UE, mais recueille des données relatives à des personnes concernées européennes (par exemple par l’intermédiaire d’un site Web), toutes les exigences du GDPR restent en vigueur.

C’est une idée très controversée, en particulier en ce qui concerne la manière dont elle serait appliquée.

Concentrez-vous sur la conformité au GDPR 

Quelques-unes des différences les plus importantes actuellement négociées par les parties prenantes sont la durée admissible de déclaration d’une violation (24 heures dans la version du Parlement et 72 heures dans celle du Conseil), l’exigence d’un délégué à la protection des données (data privacy officer, DPO – respectivement obligatoire ou facultatif) et les amendes maximales pour non-conformité (respectivement 5 % ou 2 % du chiffre d’affaires global du responsable du traitement).

En chemin, le GDPR n’a pas atteint son objectif initial de guichet unique : une autorité de surveillance centralisée qui gérerait les plaintes et appliquerait la loi.

Au lieu de cela, dans la version du Conseil, les sociétés s’adresseraient à un DPA principal situé dans le pays du responsable du traitement. Les choses se compliquent lorsque les données à caractère personnel sont transférées vers d’autres pays européens et que les DPA de ces pays seraient eux aussi impliqués. Toutefois, si les DPA n’arrivent pas à trouver un accord, le cas serait soumis à un super-DPA, le Comité européen de la protection des données, dont les décisions seraient définitives.

Conclusion : les entreprises devront probablement traiter avec plusieurs DPA. Et d’autres changements significatifs surviendront sans doute avant que le GDPR ne soit finalisé.

Pour les entreprises nouvelles sur le marché européen et pour toute entreprise (en particulier américaine) prise dans le filet de l’extraterritorialité, le GDPR sera quelque peu choquant. Ceci reste très vrai pour les services basés sur le Web qui ne sont pas réglementés par les lois de sécurité américaines relatives aux données financières ou médicales.

Alors que nous attendons tous le texte final de la nouvelle législation, voici quatre domaines auxquels vous devriez consacrer votre attention et vos ressources :

·       Classification des données – Sachez où les données à caractère personnel sont stockées sur votre système, en particulier dans les formats non structurés constitués de documents, présentations et feuilles de calcul. Ceci est essentiel pour protéger les données et aussi répondre aux demandes de correction et d’effacement des données personnelles.

·       Métadonnées – Compte tenu des exigences de limitation de rétention des données, il vous faudra des informations de base sur la date et les raisons du recueil des données ainsi que sur leur finalité. Les données à caractère personnel se trouvant dans les systèmes informatiques doivent être périodiquement examinées pour déterminer la nécessité de les sauvegarder pour utilisation future.

·       Gouvernance – Avec la loi et les principes de sécurité des données intégrés dès la conception, les entreprises doivent prêter attention aux notions fondamentales de gouvernance des données. En ce qui concerne les données non structurées, cela doit comprendre la connaissance des individus accédant aux données personnelles dans le système de fichiers de l’entreprise, de ceux qui doivent être autorisés à disposer de tels accès, et la limitation des permissions de fichiers d’après la fonction réelle des collaborateurs, c.-à-d. des contrôles d’accès basés sur les rôles.

·       Supervision – L’exigence de notification de violation impose un nouveau fardeau aux responsables du traitement. En vertu du GDPR, le mantra de sécurité informatique est « superviser en permanence ». Il vous faut détecter les accès inhabituels aux fichiers contenant des données personnelles et signaler promptement toute exposition à l’autorité de données locale. Tout manquement à cette règle peut mener à des amendes énormes, en particulier pour les multinationales réalisant un chiffre d’affaires mondial important.

Ce tour d’horizon plutôt complet devrait vous permettre de mieux appréhender la future réglementation et de prendre les mesures nécessaires pour vous mettre en conformité avec celle-ci.

Autour du même sujet