Bonnes pratiques, procédures et chiffrement : de nouvelles étapes vers l’objectif GDPR 2018
Près de 6 mois après l’annonce de l’adoption du GDPR - ou General Data Protection Regulation -, les entreprises travaillent sur la question de la conformité de leurs pratiques avec ce texte en vue de l’échéance de mai 2018.
Rappelons que le GDPR (General Data Protection Regulation) propose un nouveau règlement de protection des données personnelles, applicable à tous les Etats membres de l’Union européenne. De son côté, le Contrôleur européen de la protection des données (CEPD)1, Giovanni Buttarelli, parle du GDPR comme étant « un monument des Droits de l’Homme ». Reste que le nouveau règlement, s’il a fait couler beaucoup d’encre, a jusqu’à présent posé plus de questions qu’il n’en a résolues. Après la lecture et l’analyse du texte ainsi que la concertation de juillet 2016 organisée par la CNIL 2, les synergies s’organisent et de nouvelles étapes sont amorcées dans l’effort mené collectivement pour l’intégration du GDPR dans la vie des entreprises.
Groupes de travail et bonnes pratiques
Comme le stipule le nouveau règlement européen, les acteurs impliqués dans le traitement et le stockage de la donnée personnelle sont invités à définir et à suivre des codes de conduite. Cette étape, mentionnée dans l’article 40, précise ainsi que « l’existence de codes de conduite peut servir d'élément attestant du respect des obligations incombant au responsable du traitement »3. Elles sont également incitées à réfléchir sur la création de mécanismes de certifications approuvés (article 42). Ces exigences ont donc donné naissance aux premiers groupes de travail, tels que celui de Régis Delayat, vice-président CIGREF et administrateur AFAI, et Stanislas de Rémur, vice-président TECH IN France. Alors que beaucoup d’entreprises pilotent déjà leur transformation digitale et autre migration vers le Cloud, dans le même temps, ces groupes de travail vont être des leviers importants pour harmoniser les bonnes pratiques et conseiller les entreprises dans le choix de leur infrastructure (structure et hébergement), qu’elle soit hébergée en leur sein ou chez un prestataire externe (Cloud).
De son côté, la CNIL4 avait lancé ses premiers packs de conformité en 2014 à destination des marchés verticaux en fonction de leurs problématiques « données » spécifiques. A présent, elle propose également une lecture simplifiée du règlement qu’elle définit en 3 objectifs : renforcer les droits des personnes, responsabiliser les acteurs traitant les données (collecteurs et hébergeurs) et crédibiliser la régulation grâce au déploiement du GDPR dans tous les Etats membres de l’Union européenne (UE). Le non-respect de ces objectifs étant assorti de sanctions pouvant s’élever jusqu’à 4% du chiffre d’affaires global d’une entreprise.
Procédures IT et marketingLa route vers la conformité commence par un audit méticuleux des procédures actuelles qui touchent les données personnelles. Dans un 2ème temps, un parcours vers une certification ISO pourra aider les entreprises à améliorer les procédures existantes et à les rendre conformes et certifiées, car les problématiques soulevées par le nouveau règlement européen peuvent être résumées en 3 grands thèmes intrinsèquement liés : les outils, les procédures et la question des hébergeurs Cloud. Les entreprises devront coûte que coûte mener une réflexion de fond dans leur approche du traitement et du stockage de la donnée afin de bien appréhender les procédures écrites et de différentes natures, imposées par le nouveau règlement. La première est abordée dans l’article 12 qui définit les procédures et mécanismes prévus pour l'exercice des droits des personnes auxquelles appartiennent les données personnelles (rectification, droit à l’oubli, etc.). Ces procédures engagent les métiers, et en l’occurrence les services Ressources Humaines et Marketing en premier lieu puisqu’ils gèrent les points d’entrées des données personnelles, le traitement et l’engagement des prospects et clients avec l’entreprise. La seconde exigence de procédure, liée au traitement de la donnée personnelle dans son contexte technologique (hébergement, stockage, migration, cybersécurité), concerne quant à elle la DSI (Direction des Systèmes d’Information). L’article 32.1. a énonce en effet que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris, entre autres, […] la pseudonymisation et le chiffrement des données à caractère personnel ».
Chiffrer la donnée
Dans ce contexte, pourquoi la question du chiffrement devient-elle donc prépondérante ? Car la donnée est aujourd’hui en mouvement, transitant d’une infrastructure à une autre, d’un terminal à un autre sans contrainte géographique, et ce en un clic. Gabriele Carzaniga, Sales Engineer Manager chez Google, l’a bien compris lorsqu’il explique qu’« aujourd'hui, la transformation numérique impose que les données soient disponibles, accessibles et partageables à tout moment ». Dans ce contexte, la donnée n’est plus contenue au sein même du périmètre des entreprises, déjà protégé par de nombreux dispositifs, et devient de ce fait plus facilement accessible par un tiers non autorisé ou malveillant. Le chiffrement permet de conserver la confidentialité des données lorsque ces dernières sont partagées, diffusées ou externalisées. Le GDPR a bien inclus cet aspect dans l’article 32 mentionné ci-dessus. Par ailleurs, le chiffrement de disque, bien que toujours intéressant dans le cadre d’un plan de cybersécurité classique, ne constitue pas une solution suffisante. Car c’est bien la donnée personnelle qu’il faut chiffrer depuis son poste de travail, avant qu’elle ne sorte du périmètre de l’entreprise. En effet, si la donnée est chiffrée par une clé hébergée sur le territoire de l’UE, elle peut être stockée n’importe où sans problème. Rappelons d’ailleurs qu’une donnée chiffrée volée n’est pas considérée comme une brèche de sécurité si la clé de déchiffrement est inaccessible. Selon l’étude Global Data Encryption Research5 établissant des prévisions sur les 6 prochaines années, il faut s’attendre à une hausse de 18% du taux de croissance annuel moyen sur le marché du chiffrement de données, pour atteindre 4 milliards de dollars aux Etats-Unis d’ici 2022. Selon l’étude, c’est la migration vers le Cloud qui alimenterait cette tendance. Mais le GDPR n’y est sans doute pas étranger non plus.
Prochaine étape : la publication tant attendue des bonnes pratiques par le CEPD qui devrait donner un avant-goût de ce que les instances européennes vont concrètement attendre des entreprises pour Mai 2018.
Références2 Concertation sur le nouveau règlement Européen, site Internet de la CNIL
3 GDPR article 40
4 Règlement Européen pour la Protection des Données. Ce qui change pour les professionnels,in CNIL
5 Global Data Encryption Research Report forecast 2022, in MarketResearch Future (MRFR)