GDPR : il est plus que temps de s’y mettre !

General Data Protection Regulation ou GDPR

Entrée en vigueur le 25 mai 2016, la nouvelle réglementation européenne sur la protection des données, ou General Data Protection Regulation (GDPR), concerne tous les organismes collectant, gérant ou stockant de la donnée. Les entreprises n’ont plus que quelques mois pour se mettre en conformité, soit jusqu’en mai 2018!

Nouvelles règles et des concepts existants étendus

En France où les données personnelles sont déjà protégées par diverses réglementations, la GDPR ne bouleverse pas fondamentalement la donne. En tout cas pas pour les grandes entreprises soumises à des règlementations fortes.

Pour Fabrice Lorvo, avocat associé du Cabinet FTPA, « la GDPR est un outil très utile dans le conflit entre le droit européen applicable aux internautes de l’UE et le droit américain revendiqué par les GAFAs. Aux USA, le concept de donnée personnelle n’est pas reconnu. C’est une marchandise ».

Pour autant, la GDPR introduit quelques notions nouvelles en matière de gestion des données personnelles dont notamment le droit à l’oubli, c’est-à-dire la possibilité pour chaque individu d’exiger la suppression de ses données des bases d’une entreprise.

Surtout, elle impose à toute entreprise de respecter des données qui, finalement, ne leur appartiennent pas. Elle les invite à se poser des questions que nombre d’entre elles ont, jusqu’ici, refusé de se poser : quelles sont les données à caractère personnel que nous récoltons ? Qui y a accès ? Ces données sont-elles suffisamment protégées pour être inexploitables en cas de vol ou de brèche dans nos défenses cyber-sécurité ?

La réglementation s’applique à toutes les entreprises, y compris les organisations hors Union Européenne (UE) mais qui font des affaires avec l’UE ou utilisent des données personnelles de ressortissants de l’UE. Elle impose, aussi, la nomination d’un DPO (Directeur de la Protection des données) dans toutes les entreprises traitant des données personnelles et réaffirme le principe de « minimisation » selon lequel les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Elle impose aux entreprises d’obtenir le consentement de l’utilisateur avant toute collecte d’informations personnelles en précisant dans quel but cette collecte a lieu et d’avertir les utilisateurs en cas de modification des finalités de cette collecte.

Des enjeux financiers colossaux

Enfin, dans les évolutions notables, il faut encore ajouter la responsabilité juridique directe des entreprises et l’obligation de signaler toute violation de données, dans les 72 heures suivant la constatation, à l’autorité européenne.

Si les données sont insuffisamment protégées et sont potentiellement exploitables par le pirate, l’entreprise est aussi tenue – par le biais de son DPO – de notifier la fuite aux personnes concernées. Combinées à la loi de modernisation de la justice autorisant notamment les actions collectives en justice, ces nouvelles dispositions signifient que la moindre fuite ou non-respect de la GDPR peut coûter cher, très cher même.

En effet, les clients pourront intenter des actions collectives contre les entreprises ne respectant pas la réglementation ou qui n’auront pas su protéger leurs données. Par ailleurs, la moindre violation fera forcément le buzz sur Internet, détruisant au passage l’image de la société.

Et n’oublions pas les sanctions prévues par la réglementation : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pour une non-conformité, le montant le plus élevé étant retenu. Enfin, gageons que les assureurs vont s’inviter à la danse en réévaluant leurs primes d’assurance à la mesure du risque encouru.

Pas de conformité sans gouvernance des données

Face à de tels enjeux, on peut s’étonner du manque d’empressement des entreprises à se conformer à la réglementation. Une étude réalisée par Symantec auprès de 900 entreprises françaises montre en effet que 22% d’entre elles estiment qu’elles ne seront pas prêtes en mai 2018.

De fait, l’empressement n’est, probablement, pas la seule explication quand on connait l’ampleur du chantier. Pour protéger les données personnelles, les entreprises doivent en effet savoir où elles sont. Or, pour des raisons à la fois historiques et organisationnelles, les données sont souvent éparpillées dans le système d’information et dupliquées dans différentes applications (CRM, ERP, logistique, etc.). Elles sont aussi parfois incomplètes ou erronées.

En d’autres termes, la première étape d’une mise en conformité consiste à établir une cartographie des gisements de données existants. Forte de cette connaissance, l’entreprise pourra alors classifier ses informations par degré de sensibilité et établir des règles de protection en établissant des droits d’accès, en appliquant du chiffrement lors des échanges mais aussi au niveau du stockage et de l’archivage, en masquant ou anonymisant une partie des données pour les rendre inexploitables en cas de violation ou encore en mettant en place des routines de suppression pour se conformer à la réglementation sur le droit à l’oubli.

En résumé, la mise en conformité est impossible sans une gouvernance des données. Gouvernance qui soit dit en passant doit impliquer tous les collaborateurs de l’entreprise ainsi que les fournisseurs. Il suffit d’un commercial transportant des données personnelles sur un ordinateur portable ou encore d’un prestataire utilisant des jeux de données réelles pour tester une application pour faire courir un risque à l’entreprise…

Pour chaque donnée personnelle, les entreprises devront documenter un PIA (ou en Français EIVP -Étude d’impact sur la Vie Privée -) analysant l’impact en cas de brèche.

Les entreprises devront nommer un DPO (Data Protection Officer) qui servira d’interface entre l’entreprise et l’autorité de régulation (La CNIL). Le DPO doit être en relation directe avec la Direction Générale et posséder un profil à la fois juridique et technique. Il doit pouvoir s’appuyer sur un comité de gouvernance associant DSI et métiers. C’est à lui d’avertir la CNIL en cas de fuite en fournissant les PIAs nécessaires. La CNIL décidera alors, selon les mesures mises en œuvre, du risque réel et imposera à l’entreprise non seulement les sanctions financières mais également l’obligation de porter la fuite sur la place publique.

Un chantier et des opportunités

La GDPR est donc un chantier auxquelles aucune société ne peut aujourd’hui échapper. L’effort dépend évidemment de la taille de l’entreprise. Mais contrairement à une idée fréquemment répandue, il n’est pas hors de portée des PME.

« Face à la GDPR, il existe une segmentation par rapport à la taille de l’entreprise et aux ressources » explique Laurent Heslault, Security Strategist chez Symantec. « Au niveau des grands comptes, il y a ceux qui sont déjà soumis à des réglementations souvent bien plus contraignantes que la GDPR et sont déjà bien équipés face à ce qu’ils appellent le ‘mille-feuille règlementaire’. Ils ont déjà les équipes et les compétences. Et puis il y a les entreprises et industries multinationales qui n’étaient pas encore confrontées à ce genre de réglementation contraignante et qui vont devoir mettre en place des compétences. C’est un très gros projet à plusieurs mois qui ne s’improvisera pas. Enfin, il y a les TPE et PME, où l’identification des données personnelles ira généralement assez vite. L’important pour elles sera davantage que leurs solutions Cloud soient conformes. »

Bref, la GDPR est là et bien là. Les entreprises doivent prendre cette règlementation comme autant d’opportunités à saisir : celle d’améliorer la confiance de ses clients en ses services, celle de se poser la question de la valeur des données récoltées, celle de repenser la sécurité des données à caractère personnel comme confidentiel.