Adoption du GDPR : impact sur la signature électronique

Dès 2018, le General Data Protection Regulation entrera en vigueur. Cette règlementation s’applique à toutes les entreprises publiques et privées qui collectent des données numériques personnelles.

Le GDPR (pour General Data Protection Regulation) veille à la protection des données personnelles en garantissant que la collecte des données s’est faite avec le consentement éclairé et informé des individus. Ainsi les entreprises devront pouvoir à tout moment prouver la traçabilité des consentements et le traitement de ceux-ci.

En harmonisant les réglementations nationales des pays membres de l’UE, destinées à répondre aux besoins des entreprises, la commission Européenne inscrit sa démarche dans la continuité du règlement eIDAS[1]. En effet, plus de 90% des entreprises européennes souhaitent avoir une loi commune sur la protection des données à caractère personnel. Et pour cause, chaque pays membre possède des lois différentes sur le traitement et la sécurité des données. Par exemple, en Espagne la signature électronique ne pouvait s’effectuer que via un certificat remis en face à face basé sur un Support durable (SSCD), en Belgique seuls certains documents ne pouvaient être signés électroniquement et uniquement en utilisant le certificat de signature embarqué sur la carte d’identité électronique des citoyens Belges qui nécessite un lecteur de carte spécifique.

Le GDPR vient en remplacement de la directive datant de 1995 sur la protection des données. Celle-ci définissait déjà le cadre juridique général de la protection des données personnelles dans le domaine de l'informatique. Le cadre comprend entre autres le droit d'accès et de rectification aux données et le principe du consentement. Ce cadre juridique a permis à chaque membre de l’UE une transposition dans son droit national. Pour exemple, le modèle général de la Commission nationale Informatique et libertés (CNIL), établi en France, a servi à instituer une autorité de protection des données personnelles à l’échelle européenne, conformément à l’article 28 de la directive du GDPR.

En France, le GDPR exige des entreprises qu’elles définissent le niveau le plus élevé d’utilisation des données personnelles recueillis. Ainsi, à chaque nouvelle souscription ou adhésion à un produit ou service, l’entreprise devra obtenir le consentement express et spécifique de l’utilisateur. Le traitement de ces données devra concerner uniquement les données dites « nécessaires » au bon fonctionnement du produit ou du service.

Le délégué à la protection des données : un métier clé pour la mise en conformité

Le GDPR impacte également les ressources humaines, car il impose aux établissements publics et aux entreprises qui ont à gérer des données personnelles à grande échelle de nommer un DPO (Data Protection Officer, ou délégué à la protection des données). Celui-ci sera le garant légal de la conformité GDPR. Etant donné le nombre important d’organisations de ce type en France, nous devrions assister à de nombreuses créations de poste dans les prochains mois.

L’objectif du GDPR est avant tout de renforcer la protection des données personnelles : si une entreprise ne peut déterminer directement l’identité d’un individu à partir des données collectées, un tiers de confiance reconnue dans la « Trusted list »[2] - liste de confiance comprenant des tiers certificateurs ou des autorités d’enregistrement pour le compte d’un tiers de confiance - pourrait potentiellement le faire.

Pour s’assurer que la réglementation soit bien mise en place, Bruxelles emploie la manière forte : elle prévoit des amendes pouvant aller jusque 4% du chiffre d’affaires annuel de l’entreprise. Ce qui souligne l’urgence, pour les entreprises traitant des données en masse, de se mettre en conformité.

[1] Entrée en vigueur le 1er juillet 2016, ce décret eIDAS (identification électronique et services de confiance) a pour but d’harmoniser les standards de signature électronique entre tous les États membres de l’Union Européenne. Ce fut une reconnaissance institutionnelle sans précédent pour la signature électronique, qui a désormais le même statut et les mêmes effets juridiques que son pendant manuscrit dans toute l’Union. Grâce au règlement eIDAS, le cadre juridique entourant la signature électronique d’une firme ou d’un organisme se voit approuvé, de même que l’horodatage électronique des transactions.

[2] En parallèle du règlement eIDAS, la commission européenne a émis une « Trusted List » regroupant les solutions de signature numérique jugées fiables à travers le continent. Les entreprises ne pouvaient jusqu’ici se référer à aucun texte international quant à la légalité de leurs signatures.