Pourquoi les process de protection des données personnelles sont à revoir ?

Les process de sécurité des projets et de protection des données personnelles sont à revoir à l’aune du futur cadre légal.

Quels sont les enjeux de la protection des données personnelles ?

Les données personnelles font  l’objet d’une vigilance spéciale de la part de l’entreprise qui collecte ces données  tant au niveau du respect des droits et libertés des personnes,  que  de la sécurité de son patrimoine informationnel.

En dehors de son obligation légale, l’entreprise se doit de les protéger car elles sont aussi des ressources précieuses et indispensables.

Elles sont vulnérables car susceptibles de faire l’objet de piratage aux fins de chantage terroriste ou d’intelligence économique ou encore d’escroquerie. Dans ce cadre, il est important de protéger les données personnelles qui peuvent se révéler les points d’entrée à une attaque.

Elles sont stratégiques car elles sont au cœur des projets de dématérialisation des échanges, de développement de nouvelles parts de marché, ou des projets sans cesse innovants des entreprises.

Elles sont convoitées, espionnées par les organismes d’état nationaux ou internationaux. La défense de la sécurité des états prévaut sur la défense de la vie privée. Sur fond de terrorisme et de contexte international, nos libertés individuelles sont menacées. La protection des données et les actions de la CNIL et des CNIL européennes (G29) maintiennent un certain équilibre. Les futures Etudes d’Impact sur Vie Privée (EIVP) y contribueront aussi.

Comment sont protégées les données personnelles dans l’entreprise ?

La protection des Données à Caractère Personnel (DCP) s’inscrit dans la démarche globale de sécurité des projets.  

Les entreprises doivent composer entre profits et respect des règles légales. Il incombe au responsable de traitement[1]  de prendre toutes les mesures de sécurité adéquates correspondantes  à l’état de l’art ou suffisantes au regard de la nature des données concernées et des risques. Elles doivent veiller à prendre des mesures de sécurité complémentaires  concernant leurs données confidentielles ou sensibles, et exiger  le même niveau de sécurité de leurs sous-traitants.

Le Correspondant Informatique et Libertés (CIL), ou toute autre personne en charge de la gestion des données personnelles au sein de l’entreprise, et le Responsable Sécurité des Systèmes d’Informations (RSSI) participent à cet enjeu de sécurité.

Ainsi les mesures de protection à prendre sont déterminées compte tenu d’une part de l’analyse de conformité et de légitimité du traitement, et d’autre part de l’analyse de sécurité (qualification des données à caractère personnel, niveau de confidentialité et de disponibilité attendus déduits de la sensibilité de la donnée…), et de l’étude des risques.

En quoi les futures analyses d’impact sur vie privée vont-elles modifiées la sécurité des projets et la protection des données personnelles ?

Les Institutions Européennes ont entamé un processus de modification de la directive 95/46/CE du 24 octobre 1995, texte fondateur du cadre légal actuel des états membres de la communauté européenne.

Le futur règlement introduit l’obligation de réaliser une analyse des impacts de certains traitements envisagés sur la protection des données à caractère personnel. Comment cette démarche peut-elle s'inscrire dans les procédures déjà engagées par les entreprises en ce qui concerne la sécurité des systèmes d'information et des données collectées ?

A l’étude des risques s’ajoutera l’analyse des impacts sur les droits et libertés des personnes. Le Data Privacy Officer (CIL) et le RSSI devront déterminer les mesures nécessaires pour réduire les risques sur vie privée, et les entreprises devront justifier de leur démarche de conformité et des mesures qu’elles ont choisies (accountability).  Dans ce contexte, elles devront  prendre des mesures organisationnelles adéquates.

L’étude de légitimité et conformité du traitement devient un préalable nécessaire à l’analyse des impacts sur vie privée.

La mise en œuvre du projet dépendra de la maitrise des risques pesant sur la vie privée des personnes concernées.

Les entreprises ont-elles le temps ? Ne doivent-elles pas anticiper[2] le futur règlement. Car les projets sont longs à développer et leur mise en œuvre se fera certainement postérieurement à l’adoption du règlement.

Le CIL futur DPO devra acquérir de nouvelles compétences mais ne doit-il pas le faire dés à présent ? Le métier se professionnalise et les institutions s’interrogent sur la nécessité de vérifier les compétences du CIL.

C’est une étude de la gouvernance I&L (Informatique et Libertés) de l’entreprise qui doit être dés à présent menée afin de l’adapter aux nouvelles exigences.

 

[2] Ici ou là apparaissent déjà des guides, pour la compréhension de ce que sera un PIA (Privacy Impact Assement). Par ex : source

Cnil / Dématérialisation