GDPR : La nouvelle réglementation sur la donnée personnelle

GDPR : « Cet article a pour but de vous communiquer des informations afin de mieux comprendre la GDPR.  En aucun cas, il ne  saurait constituer un document légal. »

Souvent dépeint comme un projet technique, voir informatique uniquement de par la notion même de données, la GDPR  (The General Data Protection Regulation) ou RGDP (Réglement Générale pour la Protection des Données) consiste surtout en un projet organisationnel et stratégique. Il se base sur l’identification et la documentation des traitements de la donnée personnelle pour en assurer la conformité. Le service juridique et la direction générale se doivent d’être tout aussi impliqués dans cette directive que la DSI.

Ces documentations permettent aux autorités compétentes de vérifier que le risque est évalué à sa juste valeur. De même,  il assure que les actions de protections ont bien été statuées. Un audit des systèmes permet donc de vérifier que les décisions ont été suivies d’actions et de mise en œuvre opérationnelles.

La GDPR vise principalement les grands acteurs de la gestion de la donnée.  Les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) sont des organisations boulimiques d’informations personnelles. Ils inquiètent grandement l’Europe sur la manière dont les données personnelles se trouvent gérées. Le stockage de la donnée, son utilisation,   les limites d’utilisation, la sécurisation des informations collectées, la mise à jour, le stockage, la suppression … autant d’éléments soumis à la GDPR auxquels les entreprises doivent désormais se conformer.

GDPR : Le traitement de la donnée personnelle

En 1978, la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés définissait le cadre dans lequel les entreprises se devaient de constituer des fichiers de données relatives aux personnes. La fonction première de ce fichier : protéger les citoyens français de toute dérive digitale dans le traitement de leurs informations.

40 ans plus tard, l’Europe rejoint cette initiative riche de l’expérience de la France . D’autres pays européens, inspiré de l’histoire et de l’évolution, voire des dérives que nous ont apportés le développement des technologies ont également rejoint ce dispositif. C’est ainsi, ou presque, que naquis la GDPR. Ce texte européen, remplace la précédente directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques.

A l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, cette directive vise également à contrôler les traitements des données à caractère personnels. Elle définit les règles relatives au stockage et au transport de ces données.

GDPR : A qui s’applique cette réglementation ?

La GDPR s’applique  à tout organisme (Entreprise, Association, organisme d’état, etc ) manipulant des données concernant des ressortissants Européens et ayant au moins un établissement dans l’union européenne.

Si votre entreprise est basée en dehors de l’Union Européenne mais collecte, stocke, utilise des données de citoyens européens, votre établissement est dès lors soumis à la GDPR.

Il est évident qu’un commerçant chinois dont les données sont stockées en chines n’ayant aucun établissement en Europe ne peut être inquiété par la directive.

La règlementation s’applique autant à l’organisme qui est possesseur de l’information (Controller) qu’à l’organisme qui les traite (Processor). Ainsi un sous-traitant ou un prestataire qui interviendrait sur les données ne pourrait se soustraire aux règles étiquetées par l’Union Européenne sous peine de se voir infliger les mêmes peines.

GDPR : Quand s’appliquera cette réglementation ?

Le 25 Mai 2018 la réglementation  va s’ appliquer. Toutes les entreprises citées précédemment doivent donc s’y conformer dès 2018.

GDPR: Qu’est-ce qu’une donnée personnelle ?

Toute information qui permet d’identifier une personne physique (appelé Subject) directement ou indirectement peut être considérée comme une donnée personnelle. Les exemples les plus évidents sont le nom, l’adresse, un numéro de téléphone, etc. Moins directement, une adresse IP, un numéro de carte de crédit, une plaque d’immatriculation, la filiation, etc. peuvent également être considéré comme des données personnelles. L’objectif étant de protéger les personnes de l’exploitation de ces données et plus particulièrement dans les domaines de la génétique, la biométrie, la santé, la finance, etc.

Quel sont les contraintes amenées par la GDPR ?

Les contraintes sont nombreuses et variables selon la taille de l’entreprise et la sensibilité des données gérées.

Un premier point important est que la directive s’applique pour l’ensemble des traitements, qu’ils soient  futurs ou existants. La mise en conformité doit donc se faire sur les données déjà recueillis et traitement en cours. Par traitement, on entend tout évènement lié au cycle de vie de la donnée, la collecte, la manipulation, la conservation, le stockage et le transport ainsi que la destruction. La traçabilité de la donnée devient un élément primordial. Une gouvernance de données devient donc obligatoire. Cette gouvernance doit spécifier :

• Les conditions d’obtention des informations (depuis le Subject directement, par achat de fichier, par recoupement…)
• Les raisons de cette collecte (Abonnement, Vente, Fidélisation, etc.)
• Les traitements associés (Facturation, Segmentation, offres commerciales, démarchage…)
• Le délai de conservation des données
• La méthode de destruction (Données opérationnelles, Flag logique, suppression, anonymisation, etc.)

La nécessité de gouvernance amène à la création ou la confirmation d’un nouveau poste : le DPO ( Data Protection Officer). Agent de protection des données qui a pour objectif la sécurisation de l’ensemble des données de l’entreprise et l’assurance du respect de la directive.

Eléments éclairant mais non exhaustifs des contraintes liées à la GDPR

Le consentement explicite

Après le 25 Mai 2018 toutes les entreprises  recquéront un consentement explicite et éclairé de la part des « Subjects ».

Ce consentement « informé, spécifique, non ambigu et révocable », nécessite une acceptation éclairée des conditions générales de vente d’un site E-commerce. Il doit faire l’objet d’une annonce claire sur la liste des informations qui font l’objet d’un traitement. Il doit énoncer clairement pour quels objectifs lesdites informations sont recueillies.

Les informations suffisantes

La liste des informations personnelles collectées devront :

• Feront l’objet d’une réflexion, conclue par un rapport répertorié par le DPO, dans lequel se trouve répertorié de manière explicite les informations récoltées
• Indiquer le traitement ainsi que la nécessité qui amène l’entreprise à l obtenir ces données.

Aujourd’hui, bon nombre d’entreprises demandent des informations dont ils n’ont nullement besoin pour leur exploitation opérationnelle. La seule opération financière se cachant derrière ces manœuvres étant la revente de fichiers.

Limitation de conservation: le droit à l’oubli

Les données ne peuvent plus être conservées ad vitam aeternam. Elles doivent dans leur cycle de vie être détruites. Cette destruction peut prendre plusieurs formes : suppression pure et simple des bases de données ou suppression logique. Mais dans ce cas le lien avec le Subject est toujours présent. Il faudra alors anonymiser les données pour les rendre neutres.

Si on considère un Système de facturation, le délai légal  de conservation de la facture est de 5 ans ( Code du commerce). Si par contre on considère un système comptable, le délai légal de conservation de la facture est de 10 ans après la clôture de l’exercice. A l’issue de ces délais chacun de ces systèmes devra supprimer « physiquement » la facture. Par contre les informations de facturation auront très certainement été déversés dans un système décisionnels, appelés aussi BI (Business Intelligence) qui conserve les données sur des périodes bien plus longue pour des éléments d’analyses.

En conséquence,  il sera nécessaire de supprimer les informations clients ou de les remplacer par des informations génériques : « Monsieur Marcel DUPONT « deviendra alors « Monsieur ou Madame Prenom3216 NOM1564233 ». Cela aura pour fonction de poursuivre les analyses tout en empêchant de retrouver nominativement la personne concernée.

Attention : Anonymiser ne veux pas dire chiffrer. Tout procédé utilisé à partir des données stockées permettant de retrouver la personne d’origine est proscrit.

Droit de rectification et portabilité des données

Tout détenteur d’information a l’obligation de fournir, à la demande du Subject, toutes les informations qui lui sont relatives. Le Subject a alors toute capacité à rectifier les informations qui sont erronées. Il peut demander un enregistrement dans un format intelligible des données le concernant pour éventuellement les transmettre à un autre organisme.

Ainsi le transfert de données entre deux prestataires du même secteur peut ainsi grandement facilité. Par exemple dans le cadre d’un changement de mutuelle.

• Security by default

Les systèmes d’information doivent maintenant être conçus en prenant en compte les contraintes de sécurité par défaut. Trop de systèmes restent perméables par manque de conception avancé de la sécurité ou par manque de connaissance des moyens de protections. Ainsi les mécanismes d’anonymisation et de chiffrement des donnéesdoivent devenir une discipline courante.

• Privacy By Design

La mise en place d’une base de données ne requiert plus de déclaration préalable à la CNIL. Par contre, elle doit être conçue pour assurer la protection des données sensibles.

• Access List

Une autre contrainte portée par la GDPR est l’identification des personnes ayant accès ou pouvant avoir accès aux données ( mise en place de mode d’accès individuels).

Aujourd’hui, trop de système recours de manière générique au même identifiant pour tous les utilisateurs. Cette nouvelle disposition est primordiale pour s’assurer de la non divulgation d’information à caractère personnel.

L’obligation de divulgation

Une organisation a dorénavant l’obligation de communiquer, par l’intermédiaire de son DPO, les violations constatées. L’autorité compétente, la CNIL en France, ainsi que les subjects, seront informés dans les 72 heures après ladite violation.

L’objectif visé : éviter des scandales comme celui de Uber en 2017 : dissimulation d’une fuite de données pour 57 millions d’utilisateurs et de chauffeurs : Les noms, adresses email et numéros de téléphone de plus de 50 millions de clients Uber du monde entier avaient fuités, tout comme les informations personnelles de 7 millions de chauffeurs.

Divulguer l’intrusion permet désormais aux personnes concernées de mettre en place des actions correctives: changement de mot de passe, mise en place d’outils de sécurisation internet…)

Quelles sont les peines encourues ?

Le non-respect de la directive entrainera le paiement d’une amende de 4% du Chiffre d’affaire Mondial ou 20 Millions d’euros.

Le rôle du DPO

Le DPO ou Data Protection Officer a la lourde tâche de s’assurer que l’organisme qu’il représente respecte en tout point la GDPR. Les premiers textes imposaient la création de ce poste pour tout organisme de plus de 250 salariés. Cependant nombreux sont les e-commerçants manipulant naturellement un nombre important de données personnelles qui échappaient a ce dispositif. Dans une seconde version, on parlait des organismes ayant plus de 5000 Subjects sur 12 mois. Finalement, un organisme qui manipule des données personnelles (vente, santé, etc.) de manière systématique, régulière et en masse a l’obligation de créer ce poste.

Le DPO peut être un membre de l’organisme ou un prestataire externe. Dans tous les cas, une déclaration aura lieu auprès de l’autorité compétente. Il accédera à des ressources appropriées pour mener à bien ses tâches et maintenir ses connaissances spécialisées. Sa position nécessite de plus une présence au plus haut niveau opérationnel. Son action couvre des sujets techniques, métiers et surtout stratégiques.

Enfin veillez à ne pas lui affecter d’autres tâches qui pourraient entraîner un conflit d’intérêts.

En conclusion…

Cette nouvelle réglementation impose que chaque entreprise se soumette aux directives de la GDPR . Elle inverse également le paradigme. La CNIL n’intervient plus comme conseil ou prescripteur pour la constitution de fichiers. Elle intervient désormais comme gendarme avec un vrai pouvoir et des amendes à la clé. L’entreprise doit être en mesure de démontrer qu’elle avait pris toutes les dispositions nécessaires pour éviter un sinistre . Certe contraignante, la GDPR vise à instaurer plus de vertu entre les organisations et les individus sur la donnée personnelle collectée.