Protéger les données pour protéger les personnes
Le futur règlement européen sur la protection des personnes concernées par les traitements de données personnelles se préoccupe beaucoup plus de sécurité des données que la directive de 1995 aujourd’hui applicable. Il rendra l’utilisation de solutions de Data Loss Protection indispensable dans les entreprises.
En 1995, Google et les réseaux sociaux n’existaient pas, le grand public
découvrait à peine l’internet, l’informatique en nuage était inconcevable.
C’est pourtant de cette époque que date la directive 95/46/CE, principal texte régissant la
protection des données personnelles en Europe.
La Commission européenne vient donc de
dévoiler le projet d’un nouveau règlement qui élargira les droits des
« personnes concernées par le traitement des données ». Il les rendra
aussi identiques dans toute l’Union Européenne puisque, contrairement à la
démarche habituelle où toute directive doit être transposée dans les
législations nationales, désormais celui-ci sera directement applicable.
Les deux documents ont pratiquement le même
titre. Comme la directive de 1995, le futur règlement porte sur « la
protection des personnes physiques à l'égard du traitement des données à
caractère personnel et à la libre circulation de ces données ». Mais, à la
suite de ce titre, le projet de règlement ajoute entre parenthèses :
« règlement général sur la protection des données ». L’expression
« protection des données » figurait cinq fois dans la directive et
son exposé des motifs. Avec le règlement, on dénombre… 340 occurrences !
Si la directive insistait sur l’utilisation
des données, elle s’intéressait peu à leur sécurisation. Le nouveau règlement,
au contraire, y attache une importance extrême. Ainsi, quand la directive se
contentait d’envisager la désignation d’un « détaché à la protection des
données à caractère personnel », le projet de règlement impose aux
administrations et aux entreprises de plus de 250 personnes la nomination d’un
« délégué à la protection des données » ; il consacre une
section entière à sa désignation, à sa fonction et à ses missions. Une section
entière est aussi réservée à la « sécurité des données », expression
qui ne figure pas une seule fois dans la directive de 1995.
Le devoir de mémoire, corollaire du droit à l’oubli
Aux dispositions expressément prévues par le
nouveau texte s’ajoutent des contraintes implicites. Le futur règlement introduit, par exemple, un
« droit à l’oubli numérique et à l’effacement », déjà prévu par la
loi « Informatique et libertés » française mais non par la directive
de 1995 (article 17 du projet) : chacun pourra réclamer l’effacement de
données le concernant. Le « droit à l’oubli » n’est pas comme chez
les historiens l’inverse du « devoir de mémoire ». Dans le monde des
données, il en est au contraire le corollaire : pour effacer des données,
encore faut-il savoir avec certitude où elles se trouvent. Et cela, que les
données soient au repos, en transit ou en cours d’utilisation.
D’autres
dispositions du futur texte, comme le droit à la portabilité des données,
c’est-à-dire le droit pour la personne concernée de transmettre des données
d’un système de traitement à un autre (en clair, par exemple, la possibilité de
transférer son profil d’un réseau social à un autre), mettent de nouvelles
obligations à la charge des entreprises et des administrations.
Ces
questions ne doivent pas être prises à la légère : une entreprise qui,
même par simple négligence, ne respecterait pas le droit à l’oubli numérique
serait passible d’une amende de 1% de son chiffre d’affaires annuel
mondial. L’amende s’élève même à 2% du chiffre d’affaires mondial pour
celle qui omettrait de désigner un délégué à la protection des données ou de
lui donner les moyens nécessaires à sa fonction.
Pour respecter les dispositions du
règlement et se prémunir contre de telles sanctions, les solutions de
protection contre les pertes de données, ou DLP (pour Data Loss Protection)
deviendront en pratique indispensables. Ces solutions ont cinq missions
principales : repérer les informations présentes dans l’écosystème
informatique, classer les informations en appliquant des règles déterminées,
gérer la politique d’utilisation et de circulation des données, veiller à
l’application effective des contrôles de sécurité, signaler les infractions à
la politique de sécurité. Elles couvrent donc l’essentiel des obligations
prévues par le futur règlement et constitueront un outil de travail
indispensable pour les responsables des traitements et les délégués à la
protection des données.