Protéger les données personnelles : un objectif d’envergure européenne

Jusqu’à 4% du chiffre d’affaires annuel : voilà la pénalité que le non-respect du GDPR peut entraîner. Cette nouvelle réglementation s’adresse aux organismes publics et privés qui traitent, manipulent, gèrent ou stockent des données à caractère personnel. Elle a vocation à, d’une part, renforcer la législation en matière de protection des données et, d’autre part, harmoniser la législation au sein de l’Union Européenne. Il s’agit également, à l’heure où le numérique et la mobilité explosent, de protéger les individus contre la manipulation potentiellement malveillante de leurs données.

Cette obligation de conformité sera effective en mai 2018. Cela ne laisse donc plus que 18 mois aux entreprises pour évaluer leurs systèmes de traitement des données actuels et pour mettre en place une réponse à cette nouvelle norme. Néanmoins, si le GDPR peut être perçu comme une contrainte, il est plus pertinent de le prendre comme une incitation à se doter de moyens et de systèmes adéquats pour protéger les données à caractère personnel face aux menaces actuelles. Les pénalités mises en place par cette nouvelle réglementation sont destinées à responsabiliser les entreprises et à les inciter à prendre des mesures suffisantes pour assurer la sécurité de ces données.

Au regard du calendrier et notamment de l’échéance de mai 2018, la fenêtre d’action pour les entreprises n’est pas si large que cela : l’ensemble des chantiers à mettre en œuvre va nécessiter la mobilisation de différents acteurs au sein de l’entreprise : Direction Juridique et des Ressources Humaines, Directions Métiers, Sécurité des systèmes d’information, etc. qui vont devoir collaborer sur un certain nombre de chantiers transverses : analyse des impacts des nouvelles exigences sur l’organisation, sur la politique de Sécurité des systèmes d’information, sur les systèmes de pilotage et de contrôle à mettre en œuvre. L’échéance 2018 se prépare aujourd’hui.

À qui s’adresse le projet GDPR ?

Le texte a trois objectifs : consolider les droits des personnes physiques, renforcer les pouvoirs des autorités européennes et responsabiliser les entreprises qui traitent les données à caractère personnel. En effet, parmi les nouveautés mises en place dans cette législation, on compte notamment le droit à l’oubli, ainsi que le droit à la portabilité des données et à l’opposition de toute opération marketing. Vis-à-vis des mineurs de moins de 16 ans, les entreprises sont désormais tenues de libeller les informations concernant le traitement des données en termes intelligibles pour les moins de 16 ans. Le consentement d’un parent ou tuteur légal est désormais obligatoire.

Par ailleurs, l’accountability est le principe fondamental du Règlement Européen. Il consiste en une responsabilisation plus forte des entreprises qui doivent être en mesure de démontrer à tout moment qu’elles respectent les principes relatifs aux traitements des données personnelles.

Si cette mesure s’adresse aux entreprises européennes, elle touche également toutes celles vendant des produits ou des services sur le marché européen. En effet, ce texte instaure un comité européen de protection des données qui surveille et garantit la bonne application du Règlement au niveau Européen.

Le GDPR instaure également la nomination obligatoire d’un délégué à la protection des données pour les entreprises du secteur public, pour les entreprises dont l’activité principale conduit à assurer un suivi systématique et à grande échelle des personnes (profilage), ou dont l’activité principale est attenante à des traitements à grande échelle de données sensibles (politiques, religieuses, ethniques, biométriques, sanitaires, judiciaires, etc.) ou relative à des condamnations pénales et certaines infractions.

Les entreprises doivent par ailleurs évaluer le degré de risque pour les droits et libertés des personnes physiques avant chaque lancement de produit et notifier à la CNIL dans les 72h qui suivent la découverte d’une violation de données à caractère personnel (incident de sécurité). Elles doivent également notifier la violation de données à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne physique afin qu'elle puisse prendre les précautions qui s'imposent.

Des sanctions dissuasives pour la mise en place de nouveaux réflexes

Le GDPR prévoit deux niveaux de sanctions en cas de non-respect de la réglementation.

En fonction des articles du Règlement en infraction, des amendes administratives pourront s’appliquer pour un montant allant de 10 à 20 000 000 EUR ou, dans le cas d'une entreprise, de 2 à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Ce projet a pour but de créer des réflexes concernant la protection des données personnelles. Ces nouvelles mesures exigent davantage de vigilance de la part des entreprises, ainsi que des sous-traitants, qu’elles responsabilisent. Ce règlement amorce donc un large chantier à mener, notamment dans la révision des contrats, pour se prémunir en cas d’infogérance. Des travaux d’autant plus complexes que ces sociétés comptent souvent de nombreux interlocuteurs et impactent divers services.

Aujourd’hui, il appartient aux entreprises d’entamer dès maintenant les travaux nécessaires à l’adaptation du projet GDPR : évaluer l’outillage de sécurité des systèmes d’information et les dispositifs de sécurité existants, puis identifier les écarts et les faiblesses pour mettre en place une feuille de route de mise en conformité.

Ce diagnostic prend du temps et les actions qui pourront rendre les entreprises conformes à cette nouvelle réglementation seront chronophages.

Toutes les entreprises sont susceptibles de subir des attaques et des malveillances informatiques : il leur appartient de tout faire pour s’en prémunir. Le projet GDPR veille à ce que les sociétés prennent conscience des enjeux fondamentaux qui se dessinent aujourd’hui.

Par Dominique Pourchet – Associate Partner en charge de l’activité Cybersécurité, Gouvernance et Protection de l’Information pour Magellan Consulting