A moins d’être coupé du monde, nous savons tous qu’il faudra être prêt pour le 25 mai 2018. Mais au-delà des discussions de salons, dont le FIC 2018, des nombreuses alertes largement relayées, à tort ou à raison, par les réseaux sociaux, il est souhaitable d’écouter des voix plus raisonnables.
Dans notre société où les individus exposent leur vie personnelle sur les réseaux sociaux, tandis que le législateur renforce la protection des données personnelles, beaucoup doutent de l’application de ces réglementations vis-à-vis des GAFAM et plus généralement des organisations hors G29.
RGPD : une évolution majeure mais pas une révolution
Il est notamment curieux de constater comment l’industrie de la cybersécurité s’est saisie du sujet, donnant l’impression que la protection des données n’existait pas avant le RGPD : rappelons que la loi Informatique et Libertés existe depuis 1978 avec une dernière mise à jour en 2004. Un projet de loi est en cours [1]
pour l’adapter au règlement européen, confiant de nouvelles missions à la CNIL en sus de celles nécessaires à la mise en conformité au RGPD, pour prendre en compte la pratique. Nous passons à une obligation de moyen à une logique de résultat dans un principe de responsabilisation, et c’est là l’évolution majeure à prendre en compte.
RGPD : Une course à la conformité et parfois un soupçon d’absurdité
Certains raccourcis que l’on peut observer montrent que face à ces besoins de conformité, tout semble possible :
1) CHERCHER DES DPO POUR RÉALISER DES PROJETS RGPD
Le Délégué à la Protection des Données (DPO, Data Protection Officer) s’assure de la conformité uniquement et en aucun cas de la mise en œuvre des actions liés au RGPD. Il est nécessaire de disposer d’une séparation des tâches, un bon chef de projet avec un support de son service juridique devrait suffire. La fonction de DPO n’est pas celle d’un Correspondant Informatique et Liberté à la mode RGPD [2]
, il faudra réfléchir à son positionnement dans l’entreprise.
2) VENDRE DES PRODUITS « CONFORMES RGPD »
Voici un amalgame entre réglementation et solutions qui décrédibilise la profession. Ce sont les processus, procédures et contrôles qui peuvent assurer une conformité en aucun cas les produits.
3) LANCER DES ANALYSES D’IMPACT SYSTÉMATIQUES
Pour conduire une analyse d’impact sur la protection des données [3]
(DPIA, Data Protection Impact Assessment) et être réaliste à propos de l’impact pour les personnes, des analyses de risques préalables des composants du système d’information supportant les vulnérabilités et exposés aux menaces doivent être réalisées.
Les défis à résoudre sont nombreux, notamment pour les PME, mais ce n’est pas une raison pour acheter les yeux fermés des services de mise en conformité.
RGPD : et si on ouvrait nos chakras ?
Pour considérer la situation dans son ensemble, il nous faut évoquer la directive sur la sécurité des réseaux et des systèmes d’information [4]
(NIS, Network and Information Security) applicable depuis 9 mai 2018 incluant les fournisseurs de services numériques comme les opérateurs « cloud ». Une étude publiée en 2017 par la Lloyd’s [5]
explique qu’une cyberattaque sur un prestataire de cloud pourrait coûter en moyenne $53 Mds.
À cet égard, il convient également de citer le projet du règlement ePrivacy, qui viendra préciser le RGPD, voire permettre d’y déroger partiellement dans son champ d’application. Une fois adoptée et entrée en vigueur, cette norme européenne d’effet direct sera source de nouvelles obligations qui toucheront les fournisseurs de services de communications électroniques (tant les F.A.I que les réseaux sociaux et autres applications web et mobiles de communication).
Cela couvre également le secret d’affaire et va imposer de procéder à des analyses de risques, particulièrement dans les hypothèses où il s’agirait d’exploiter des métadonnées. Le Parlement européen tient pour l’instant sa ligne face un lobbying important contre l’adoption de ce règlement, il n’est pas impossible que le texte final recule sur de nombreux points.
Par exemple sur le formalisme lié au consentement des cookies ou encore l’obligation de protéger les données stockées sur le terminal de l’utilisateur final.
À ce niveau, il essentiel de prendre en compte l’ensemble du patrimoine informationnel stockés dans les systèmes d’information et notamment les données stratégiques de l’entreprise : ici se trouve le véritable enjeu de nos sociétés face à l’évolution des menaces.
RGPD : Un rôle clé, le gardien de la donnée
Qui dans l’entreprise est le gestionnaire du patrimoine informationnel des données et le garant de son utilisation sinon le Chief Data Officer. Il faut ériger une vue complète de la chaine d’information de l’organisation dans une cartographie des traitements de données.
Devant la complexité de ces nouveaux dispositifs, comment dans ce cas peut-on affirmer vouloir être « conforme » pour le 25 mai 2018 ?
Au-delà d’une appréciation binaire de la conformité, qui revient à peu près à conclure que personne ne sera 100% conforme, il est préférable de décrire une gestion d’un risque de non-conformité. Face à la complexité induite par les nouvelles échelles de traitement des données et les intérêts des entreprises dans l’exploitation de ces données, la collecte massive de données est et sera, vis-à-vis de la réglementation, le véritable enjeu.
Et c’est finalement le pragmatisme qui doit primer !
Point de vue de Novel Conseil, Thierry Jardin, Expert en cybersécurité, et la société Datajuristes
[1]
Projet de loi n°490 : relatif à la protection des données personnelles (
http://www.assemblee-nationale.fr/15/projets/pl0490.asp
)
[2]
Référence CNIL :
https://www.cnil.fr/fr/le-cil-et-le-futur-delegue-la-protection-des-donnees
[3]
Référence CNIL :
https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-dpia
[4]
https://www.ssi.gouv.fr/administration/reglementation/directive-nis/
[5]
Report Counting the cost: Cyber exposure decoded
https://www.lloyds.com/news-and-risk-insight/risk-reports/library/technology/countingthecost
