Juridique

Données personnelles : tout est une question de transparence

Retrouvez cet article dans le CIO FOCUS n°86 !

Transformer les modèles : du télétravail au développement durable

La transformation des entreprises et celle des modes de vie sont intimement liées. Et les deux reposent largement sur le numérique. Il va donc de soi que le DSI devienne l'homme central de toutes ces transformations. Dans ce numéro de CIO Focus, vous allez découvrir plusieurs formes de cette...

Découvrir

---

Pour répondre aux besoins de plus en plus gargantuesques de leurs entreprises en matière de données, les DSI doivent adapter le stockage, la diffusion et l'utilisation de ces dernières. Dans ce flot continu se trouvent notamment des données personnelles soumises à de très stricts impératifs qu'il est parfois difficile d'appréhender. Voici un petit tour d'horizon de de ce qu'il faut faire ou ne pas faire. 

Publicité« Du moment que nous sommes transparents, nous pouvons presque tout faire avec des données personnelles ». A écouter Patrick Blum, RSSI de l'ESSEC et CIL, la chose paraîtrait presque simple. Et pourtant, ces données que la loi Informatique et Liberté détaille comme « correspondant à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres » peuvent devenir un vrai casse tête pour les DSI. Même si, comme le fait remarquer Bruno Rasle, délégué général de l'AFCDP (Association Française des Correspondants à la Protection des Données), le directeur des systèmes d'informations n'est dans la majeure partie des cas qu'un exécutant, c'est lui qui a la responsabilité de ces données.

Dans un premier temps, commençons par la récolte. Comme explicité plus haut, à partir du moment ou la personne est tenu informée de l'enregistrement de ses données personnelles, ce dernier ne pose pas de problèmes. Certains types de données sont tout de même soumises à des conditions spécifiques et doivent faire l'objet d'une demande légitime et motivée à la CNIL. C'est notamment le cas des données médicales, des données judiciaires ou témoignant de l'orientation politique ou sexuelle pour ne citer que ces exemples. « Si je veux mettre en place un système d'authentification par empreinte digitale dans mon entreprise, je dois demander l'autorisation à la CNIL avant de répertorier celles de mes employés. Et rien ne me dit qu'elle acceptera », témoigne Patrick Blum.

L'anonymisation ou le casse tête du Big Data


Pour l'utilisation des données personnelles, là encore, le mot d'ordre est la transparence. La personne concernée par les données doit être informée dès leur récolte de l'usage qui va en être fait. En outre, la finalité de leur collecte doit être approuvée par la CNIL et l'entreprise ne doit pas déroger de cette finalité ou réutiliser les données à d'autres fins que celles initialement prévues.
Toutefois, à l'époque où le Big Data réclame une collecte outrancière des données à des fins parfois indéterminées, cette méthode devient pour le moins obsolète. « Dans une logique Big Data, il devient nécessaire d'anonymiser les données avec tous les problèmes que cela peut poser », fait remarquer Patrick Blum. En effet, comme le G29 (groupement des organismes européens homologues à la CNIL) l'a fait remarquer, une bonne anonymisation des données est presque impossible. « Il est très difficile de trouver le juste milieu. Soit une donnée n'est pas suffisamment anonymisée et il est possible de retrouver la personnes qu'elle concerne ou alors elle est trop anonymisée et perd quasiment toute sa valeur », précise le RSSI de l'ESSEC.

Publicité Quant à leur durée de conservation, il n'y a pas non plus de stricte obligation légale. C'est à l'entreprise de fixer ce temps de conservation qu'elle s'engage en revanche à respecter scrupuleusement. La CNIL a évidemment publié des recommandations mais ces dernières ne peuvent pas s'appliquer uniformément dans toutes les entreprises . « Suivant l'utilisation qui est réservée à ces données personnelles, il faut adapter leur durée de conservation », fait remarquer Flora Fisher, assistante de recherche au Cigref (Club Informatique des Grandes Entreprises Françaises). En outre, les données personnelles restent soumises au droit des personnes et doivent être supprimées dès qu'il en est fait la demande de manière légitime.

Le point sensible de la sécurité

S'il est en revanche un aspect sur lequel il est impossible de tergiverser, c'est bien celui de la sécurité de ces données personnelles. La moindre fuite ou perte de ces dernières est très lourdement sanctionnée par la loi. La CNIL a d'ailleurs publié trois guides pour bien appréhender la sécurité des données personnelles et limiter les risques au maximum. « Les DSI ont une obligation de sécurité vis-à-vis des personnes. La CNIL peut à tout moment commander une vérification de la sécurité et sanctionner les dispositifs qu'elle ne trouve pas suffisamment efficaces.
En outre, si le DSI doit s'assurer que ses infrastructures sont suffisamment sécurisées, ils doit également faire en sorte que n'importe qui ne puisse pas y accéder. « L'utilisation des données personnelles au sein d'une entreprise doit rester le plus confidentiel possible, il est important d'avoir une bonne gestion des droits », commente Patrick Blum.

Le cloud, public ou privé, ajoute un autre soucis. « Comment voulez-vous protéger des données personnelles quand vous ne savez pas où les trouver, que ce soit dans votre entreprise ou dans le monde entier ? », demande Flora Fisher. Suivant la sensibilité des données, le choix du fournisseur peut en outre être crucial. « Nous avons un partenariat avec Google qui juridiquement n'est pas sain au regard de la sécurité des données mais le risque est minime dans la mesure ou les informations que nous détenons ne sont pas convoités », explique Patrick Blum.

L'importance de la sensibilisation

Mais la sécurité n'est malheureusement pas qu'une affaire d'infrastructure. Les personnes arguant sournoisement que 80 % des problèmes informatiques viennent du périphérique qui se trouve entre la chaise et le clavier, n'ont pas tort. Il est primordial de sensibiliser ses collaborateurs à la protection des données personnelles, que ce soit les leurs ou celles de tierces personnes.
Patrick Blum insiste notamment sur l'importance des mots de passe. « Selon moi, il faut s'assurer que ces derniers ont un niveau de sécurité suffisant. Je conseille en outre de les changer au moins deux fois pas an », ajoute-t-il. De son côté, la CNIL appuie sur l'importance du chiffrement des données, notamment dans le cas de collaborateurs mobiles, susceptibles de se faire voler leurs terminaux. Ensuite, des codes de bonne conduite doivent être instaurés pour que chacun assure à sa façon la protection de ces données et que les comportements à risques soient éradiqués. Le Cigref s'est d'ailleurs penché sur la question et s'apprête à publier un serious game pour sensibiliser les collaborateurs à la sécurité des données personnelles.

Article rédigé par

Oscar Barthe, Journaliste
Suivez l'auteur sur Linked In, Twitter

Partager cet article