Juridique

Bien comprendre et bien intégrer GDPR

Maître Polyanna Bigle, avocat à la cour, a ouvert l'atelier GDPR du 21 juin 2017.

Retrouvez cet article dans le CIO FOCUS n°144 !

Les données, de la valeur métier à la conformité GDPR

S'il est admis dans tous les discours convenus que la Data est au coeur du business, encore faut-il savoir comment mettre en oeuvre ce beau principe. Les témoignages de GRTgaz, GRDF et In Extenso en montre ici des exemples. Enfin, la prochaine application du Règlement Général sur la Protection des...

Découvrir

A l'occasion du Security Day, évènement mondial dédié à la cybersécurité organisé par le Groupe IDG le 21 juin 2017, CIO a choisi pour la France le thème du GDPR. Notre publication a ainsi organisé un atelier à l'Hôtel Napoléon à Paris où des experts ont échangé avec les participants DSI.

PublicitéLe nouveau Règlement européen sur la protection des données personnelles (GDPR ou, en Français, RGPD) impacte fortement les entreprises, leurs DSI, les responsables sécurité, audit, juridique et plusieurs directions métiers, en particulier celles chargées de la relation client. Avant tout, GDPR est une question juridique. Lors de l'atelier organisé le 21 juin 2017 à l'occasion du Security Day du groupe IDG, le sujet a été présenté par Maître Polyanna Bigle, avocat à la cour, Directeur du département sécurité numérique au cabinet Alain Bensoussan.
Pourquoi sommes-nous tous impactés par GDPR (ou RGDP en anglais) ? Parce qu'il va non seulement toucher les organismes établis au sein de l'Union européenne (UE), mais également les entreprises qui travaillent avec des personnes ou avec des entreprises qui sont résidentes ou établies dans l'UE. Si on est dans un pays extérieur, on va tout de même être soumis au droit européen, ce qui montre l'impact du nouveau règlement, souligne d'emblée Maître Polyanna Bigle.
« Aujourd'hui, je veux aborder plus particulièrement dans ce RGPD, la problématique de la sécurité. RGPD ne parle pas que de sécurité, mais son titre est basé sur la sécurité des données, c'est tout un mécanisme de sécurité et de protection ». En introduction, sur ce règlement, qu'est ce qui change ? Ce règlement compte 99 articles, le précédent en comptait 34, et la loi Informatique et libertés 72. Les obligations des 99 articles opèrent un changement important de la législation.

La jurisprudence des autorités de contrôle

Par rapport à la hiérarchie des textes du droit français, ce Règlement va s'appliquer directement dans notre droit sans besoin de transcription dans le droit national, cela à partir du 25 mai 2018. Il faut savoir que le Règlement laisse des portes ouvertes au droit national et au droit des différents pays pour une adaptation. Ensuite, chacun sera soumis à la jurisprudence des autorités de contrôle comme la CNIL en France, et ces autorités de contrôle ont un pouvoir sensiblement accru par rapport à la loi de 1978. Des prémices existent depuis octobre 2016 avec la Loi pour une République numérique.
Les sanctions maintenant. Elles sont passées à trois millions d'euros depuis 2016 (avec cette Loi pour une République numérique), ce qui constitue une augmentation sensible des sanctions. Celles-ci font beaucoup plus peur (« c'est pour ça qu'on est là aujourd'hui » a relevé Polyanna Bigle). Mais il ne faut pas oublier tous les autres sujets : l'impact sur la DSI et les RSSI, les principes directeurs de sécurité, comment se structure la sécurité dans ce raisonnement, enfin la protection by design et la protection par défaut, un point sur la gestion des failles de sécurité qui va nécessiter des processus particuliers.
Pour la DSI et le RSSI, quand on n'a pas assuré une bonne protection des données, avec GDPR / RGPD, on risque jusqu'à 10 millions d'euros ou bien 2% du chiffre d'affaires mondial en amendes, même si les filiales étrangères n'y sont pour rien. On peut se dire « moi je ne risque que 10 millions », car sur d'autres principes de base comme la licéité, la loyauté des traitements des données, les grands principes qu'on doit mettre en oeuvre, on risque le double, 20 millions d'euros ou 4% du chiffre d'affaires. La sécurité est présente dans les deux cas. Et il va falloir démontrer qu'on a respecté les principes de la sécurité. On a donc une forte responsabilité en termes de sécurité, les sanctions sont conséquentes et modulées en fonction de plusieurs critères, on va prendre en compte les mesures de protection, ça va permettre de moduler les sanctions, et tous les efforts qu'on va faire vont moduler les sanctions éventuelles.

PublicitéLa double peine : attaque + inspection

Cela veut dire aussi, que on ne peut pas dire qu'on ne savait pas. On peut avoir mis en oeuvre des mesures pas suffisantes, mais et ça va moduler la sanction, on ne peut pas dire qu'on ne savait pas qu'on doit protéger les données. Ce qui signifie, si on fait l'objet d'une attaque extérieure qu'on va avoir une double peine : on subit une attaque (on ne peut plus travailler, par exemple) et en plus on va avoir le risque d'une sanction parce qu'on a pas suffisamment bien sécurisé ses données, on peut avoir la CNIL ou l'ANSSI chez soi. L'ANSSI va avoir non pas un pouvoir de sanction mais de plus en plus d'agents de terrain pour voir comment ça se passe et contrôler si les mesures de sécurité ont bien été mises en place. Sur le site de l'ANSSI, il y a une explication sur l'attaque contre TV 5 Monde et comment l'ANSSI l'a aidé à se retourner après l'attaque dont la chaîne a été victime.
La sécurité des données est au coeur des préoccupations. Il faut en effet savoir que le Règlement demande de mettre en place une sécurité « appropriée ». Appropriée, c'est-à-dire qu'il faut que les mesures soient constamment adaptées et évoluent en fonction de l'état de l'art et des menaces. On doit se remettre en cause tout le temps. La sécurité pourquoi faire ? Eviter qu'il y ait une utilisation de données illicites, c'est aussi une gestion des accès non autorisés. Cela peut impliquer le besoin de cloisonner les données : par exemple, tout le monde ne doit pas avoir accès aux données de la comptabilité. Enfin, il faut aussi évidemment se protéger contre la perte ou la destruction de données accidentelles. Il est intéressant de noter qu'assurer la protection des données, c'est avant tout préserver l'intégrité et la confidentialité des données.

L'importance de l'intégrité des données

On doit donc s'assurer que les données à caractère personnel des individus n'ont pas été modifiées (et ne le seront pas) et qu'elles se sont pas divulguées à n'importe qui. Ce qui est nouveau avec le nouveau Règlement, c'est qu'en plus, il va falloir démontrer que l'on a respecté ces obligations. Il ne suffit pas de mettre en place des mesures, il faut démontrer leur efficacité. Il faut donc revoir sa PSSI, bien documenter toutes les mesures que l'on prend, tracer ses actions. De bonnes pratiques du DSI et du RSSI, l'entreprise va devoir basculer à un travail commun entre la DSI et les services juridiques. N'oubliez pas qu'en cas de contrôle CNIL, c'est chez vous, DSI et RSSI, qu'on va venir pour voir s'il y a bien eu toutes les mesures appropriées prises.
La mesure générale d'analyse de la sécurité se présente ainsi : bien réalisée, à jour, qui soit bien appliquée et qui doit inclure un chapitre sur la protection des données à caractère personnel. Ensuite, il y a comme composante de la protection des données la sécurité dès la conception, qui est une composante et la sécurité par défaut, et la sécurité stricto sensu qui fait l'objet d'un chapitre avec l'article 32. On retrouve la sécurité un peu partout dans le nouveau Règlement. « Je me suis amusé à compter, on a un peu plus de 55 fois le mot sécurité dans le règlement. C'est dire l'importance de ce terme » a pointé Polyanna Bigle.
La sécurité stricto sensu va s'appliquer et c'est très nouveau, au responsable de traitement, celui qui va traiter, utiliser des données à caractère personnel mais aussi les sous-traitants donc l'ensemble de ceux de ces prestataires qui ont vocation à toucher, transmettre et héberger les données à caractère personnel. Le sous-traitant lui-même est soumis à des exigences, il faut prévoir un cadre contractuel entre l'entreprise et ses sous-traitants.

Une obligation de moyens pour la sécurité des données

Concernant la structure de la sécurité des données, il est intéressant de noter le principe d'une obligation de moyens. Chacun doit mettre en place les mesures appropriées en fonction de l'intérêt général, de l'état de l'art. Si celui-ci prévoit un niveau élevé de sécurité, on peut se contenter de s'y conformer. Sinon, on se doit d'en faire plus. On a aussi le droit de moduler en fonction du coût. Polyanna Bigle a avancé : « je pense aux PME et TPE, qui sont aussi bien sûr soumises au règlement, ainsi qu'aux sous-traitants. »
On module aussi la sécurité en fonction du type de traitement, c'est-à-dire quel type de données. Il peut y avoir : des traitements RH, clients... Il faut regarder la nature du traitement, la portée et le contexte de celui-ci. On va faire la mesure des risques, leur probabilité, les atteintes possibles aux droits des personnes physiques. La règle est de faire en sorte de préserver les droits et les libertés des personnes privées. Pour les sous-traitants, le chiffrement des données, la résilience constante des systèmes, un PCA un PRA bien à jours et des mesures de sécurité sont nécessaires pour les données sensibles. Il faut aussi faire des mises à jour régulières.
Et enfin, on doit prouver sa sécurité. Le Règlement prévoit aussi qu'on peut mettre en place un code de conduite et se faire certifier. Un mécanisme plutôt côté prestataires : ceux-ci seront, une fois certifiés, supposés conformes au Règlement.
Un prérequis sera aussi l'analyse d 'impact. Avant de mener une analyse d'impact, il faut d'abord savoir de quelles données on dispose et ensuite quels sont les impacts possibles d'incidents. Il ne s'agit pas d'avoir un niveau de sécurité très élevé pour tout car on peut l'adapter et choisir le bon niveau de sécurité suivant les sujets à traiter.

Protection by design ou par défaut

Un sujet à ne pas négliger est celui de la protection by design et de la protection par défaut. La protection by design, c'est la protection physique dès que l'on met en place un fichier de données, dès l'origine, et tout au long de l'utilisation de ces données. La protection par défaut, c'est le devoir d'assurer de manière systématique avec une obligation de garantie (y compris avec mes sous-traitants) ces données ne sont accessibles qu'avec les personnes qui disposent des accès et des habilitations. En pratique, on doit donc mettre en place des mesures organisationnelles.
Dernier point, quand on fait l'objet d 'une difficulté, ce sera une obligation pour tous de déclarer une faille de sécurité auprès de l'Autorité de contrôle qu'est la CNIL. Les prestataires de services de confiance et des OIV ont un délai très court, 72 heures après la découverte de la faille, pour travailler avec les intervenants. « Je vous invite à prévoir en amont la mise en place d'une cellule de crise pour savoir avec qui vont travailler le RSSI et le DSI : la DG, la communication pour savoir s'il faut communiquer ou pas, et en fonction des problèmes rencontrés leur dire si elles font l'objet d'une faille de sécurité » a recommandé Polyanna Bigle.
Cinq conseils ont été donnés en conclusion : faire une analyse de risque et d'impact, réviser ses politiques de sécurité en conséquence, prévoir une politique de gestion des failles de sécurité, auditer ses sous-traitants en fonction de leurs projets de mise en conformité RGPD, adopter un code Informatique et Libertés. Il ne faut pas oublier enfin, que ce sont les droits des personnes qu'on doit protèger, pas le SI. C'est bien parce que des personnes vous ont donné des données qu'on doit les protéger.