Protéger les données pour protéger les personnes

Le futur règlement européen sur la protection des personnes concernées par les traitements de données personnelles se préoccupe beaucoup plus de sécurité des données que la directive de 1995 aujourd’hui applicable. Il rendra l’utilisation de solutions de Data Loss Protection indispensable dans les entreprises.

En 1995, Google et les réseaux sociaux n’existaient pas, le grand public découvrait à peine l’internet, l’informatique en nuage était inconcevable. C’est pourtant de cette époque que date la directive 95/46/CE, principal texte régissant la protection des données personnelles en Europe.

La Commission européenne vient donc de dévoiler le projet d’un nouveau règlement qui élargira les droits des « personnes concernées par le traitement des données ». Il les rendra aussi identiques dans toute l’Union Européenne puisque, contrairement à la démarche habituelle où toute directive doit être transposée dans les législations nationales, désormais celui-ci sera directement applicable.

Les deux documents ont pratiquement le même titre. Comme la directive de 1995, le futur règlement porte sur « la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Mais, à la suite de ce titre, le projet de règlement ajoute entre parenthèses : « règlement général sur la protection des données ». L’expression « protection des données » figurait cinq fois dans la directive et son exposé des motifs. Avec le règlement, on dénombre… 340 occurrences !

Si la directive insistait sur l’utilisation des données, elle s’intéressait peu à leur sécurisation. Le nouveau règlement, au contraire, y attache une importance extrême. Ainsi, quand la directive se contentait d’envisager la désignation d’un « détaché à la protection des données à caractère personnel », le projet de règlement impose aux administrations et aux entreprises de plus de 250 personnes la nomination d’un « délégué à la protection des données » ; il consacre une section entière à sa désignation, à sa fonction et à ses missions. Une section entière est aussi réservée à la « sécurité des données », expression qui ne figure pas une seule fois dans la directive de 1995.

Le devoir de mémoire, corollaire du droit à l’oubli
Aux dispositions expressément prévues par le nouveau texte s’ajoutent des contraintes implicites. Le futur règlement introduit, par exemple, un « droit à l’oubli numérique et à l’effacement », déjà prévu par la loi « Informatique et libertés » française mais non par la directive de 1995 (article 17 du projet) : chacun pourra réclamer l’effacement de données le concernant. Le « droit à l’oubli » n’est pas comme chez les historiens l’inverse du « devoir de mémoire ». Dans le monde des données, il en est au contraire le corollaire : pour effacer des données, encore faut-il savoir avec certitude où elles se trouvent. Et cela, que les données soient au repos, en transit ou en cours d’utilisation.

D’autres dispositions du futur texte, comme le droit à la portabilité des données, c’est-à-dire le droit pour la personne concernée de transmettre des données d’un système de traitement à un autre (en clair, par exemple, la possibilité de transférer son profil d’un réseau social à un autre), mettent de nouvelles obligations à la charge des entreprises et des administrations.

Ces questions ne doivent pas être prises à la légère : une entreprise qui, même par simple négligence, ne respecterait pas le droit à l’oubli numérique serait passible d’une amende de 1% de son chiffre d’affaires annuel mondial. L’amende s’élève même à 2% du chiffre d’affaires mondial pour celle qui omettrait de désigner un délégué à la protection des données ou de lui donner les moyens nécessaires à sa fonction.

Pour respecter les dispositions du règlement et se prémunir contre de telles sanctions, les solutions de protection contre les pertes de données, ou DLP (pour Data Loss Protection) deviendront en pratique indispensables. Ces solutions ont cinq missions principales : repérer les informations présentes dans l’écosystème informatique, classer les informations en appliquant des règles déterminées, gérer la politique d’utilisation et de circulation des données, veiller à l’application effective des contrôles de sécurité, signaler les infractions à la politique de sécurité. Elles couvrent donc l’essentiel des obligations prévues par le futur règlement et constitueront un outil de travail indispensable pour les responsables des traitements et les délégués à la protection des données.