Juridique

RGPD : vers un désastre annoncé

Le Club de la Presse Informatique B2B s’est interrogé : « la protection de la vie privée version européenne va-t-elle plomber les entreprises ? »

L'échéance du 25 mai 2018 approche et les entreprises ne sont pas prêtes à appliquer le RGPD / GDPR. Le CPI-B2B a débattu du sujet avec une excellente synthèse de l'avocat Olivier Iteanu.

Publicité« Après deux années de grâce laissées pour se préparer, le RGPD s'appliquera dans toute l'Union Européenne en 25 mai 2018, date qui est inscrite en dur dans le texte et ne peut donc pas être repoussée » a rappelé l'avocat Olivier Iteanu lors de la réunion du Club de la Presse Informatique B2B (CPI-B2B) le 20 septembre 2017. Le Règlement Général à Protection des Données personnelles (RGPD, GDPR en Anglais) est d'application directe dans tous les pays de l'Union Européenne, au contraire d'une directive (comme celle de 1995 sur le même sujet) qui nécessite une transposition en droit national dans chaque pays), ainsi qu'à toutes les entreprises traitant des données de citoyens européens, même en dehors de l'Europe. Mais la plupart des entreprises ne sont pas du tout prêtes à être conformes aux obligations découlant de cette nouvelle réglementation.
Olivier Iteanu a jugé que le RGPD était « lourd et peu lisible », prix à payer pour un long travail ayant abouti à cette harmonisation des droits des différents pays européens sur le sujet des données personnelles. L'application directe a cependant un avantage : cette fois, plus aucune différence ne sera possible entre les pays. Globalement, les principes généraux restent inchangés. En particulier, les fameux principes clés de la protection des données personnelles posés par la CNIL sont toujours d'actualité et même plus encore qu'avant.

Tous responsables donc tous potentiellement coupables

En effet, si le formalisme est grandement allégé par cette évolution juridique, c'est au prix d'une responsabilisation accrue des acteurs. Olivier Iteanu a ainsi résumé le texte réglementaire en quelques points. Tout d'abord, un poids important des sanctions pour non-conformité. Les autorités de contrôle -en France la CNIL- pourront ainsi infliger une amende pouvant atteindre 4 % du chiffre d'affaires mondial d'une entreprise fautive. Cette sanction administrative peut toujours être doublée d'une sanction pénale, propre à chaque pays. « Par exemple, une fuite de données en France peut aboutir à une peine de cinq ans de prison et 300 000 euros d'amende » a rappelé Olivier Iteanu.

Sanction administrative de 4 % du chiffre d'affaires ; sanction pénale (prison, amende) en plus

A ces sanctions lourdes correspondent la disparition des démarches formelles comme les déclarations préalables à la CNIL. Mais aussi des obligations de Privacy by design, de traçabilité et de documentation. Les entreprises auront en effet l'obligation -grâce à leur DPO- de documenter tous les traitements de données personnelles qu'elles opèrent et d'assurer une traçabilité des données.

PublicitéTous responsables, et plus seulement le responsable du traitement

Une évolution importante concerne les acteurs responsables. Auparavant, c'était simple : seul le responsable du traitement était responsable de la conformité et, donc, pouvait être sanctionné. Désormais, les sous-traitants techniques sont également co-responsables pour ce qui les concerne. Par exemple, si une entreprise a choisi un acteur SaaS dont elle pouvait raisonnablement attendre une bonne fiabilité et que ce fournisseur connaît un incident de sécurité, c'est bien ce fournisseur qui sera sanctionné en premier lieu.
Enfin, les personnes concernées acquerront bien plus de droits. Par exemple, les individus obtiennent un droit à la portabilité de leurs données (donc à la récupération et à l'oubli). Et les « actions de groupe » (class actions) deviennent possibles dans ce domaine.

Tous responsables d'un vaste retard

Malgré toutes ces obligations et sanctions, aussi bien les chiffres fournis au CPI-B2B par Sylvie Chauvin, présidente du cabinet d'études Markess, que ceux de l'enquête Comment bien gérer ses données à l'heure du GDPR ? réalisée par CIO, présentés le 17 octobre 2017 sur la Matinée Stratégique CIO, démontrent pourtant un manque total de préparation des entreprises. Pourtant, les DSI sont globalement conscients qu'il faut faire quelque chose, de même que les directions marketing ou relations clients. C'est beaucoup moins vrai pour les DRH qui considèrent que leur SIRH les sauvera. Quant aux DAF, très peu sont conscients que des factures peuvent contenir des données très personnelles voire sensibles. « Le RGPD a donc une influence sur les workflows documentaires et la gestion des risques associée » a souligné Sylvie Chauvin.

Un nouveau passage à l'euro ou de l'an 2000

Face à cette impréparation, des entreprises telles que Accenture en sont encore à davantage vendre du conseil que de la prestation d'intégration. Eric Boulay, PDG fondateur d'Arismore, s'est ainsi étonné que les entreprises américaines étaient souvent davantage prêtes que les sociétés européennes alors que « l'économie de la donnée ne s'arrêtera pas ! ». « Ceux qui se penchent réellement sur le sujet comparent le chantier RGPD au passage de l'an 2000 ou à l'adoption de l'euro » a relevé Fabien Gautier, directeur Business Development et Marketing chez Equinix.

Tous inconscients ?

Même si le coeur de son activité est de « vendre du mètre-carré » de datacenter, Equinix est au coeur du « problème RGPD ». En effet, il est un fournisseur de stockage de données. Il est de ce fait lui aussi responsable, comme l'a souligné Olivier Iteanu. Jean François Marie, EMEA Product and Alliance Director chez NetApp, a considéré que, dans cette affaire, « le DSI est un contorsionniste en armure ». Car il a l'obligation de prendre en compte le cloud hybride, même s'il ne le maîtrise pas. « Toutes les entreprises sont hybrides, mêmes si elles n'en sont pas conscientes, ne serait-ce qu'à cause de la messagerie d'entreprise synchronisée dans le cloud avec le smartphone privé de ses collaborateurs » a-t-il ainsi expliqué.
Les données ne cessent pas de bouger. Prendre en compte un stockage physique n'a donc en général aucun sens. Comment, dans ces conditions, être et rester conforme ? Même le réseau où circulent les données doivent être conformes, comme les « liens directs » au sein des datacenters Equinix entre entreprises différentes partenaires. Et puis, sans aller jusqu'au smartphone, le poste de travail professionnel aussi doit être conforme. « Cela passe bien sûr par un audit des patches de sécurité mais aussi par celui des droits des utilisateurs comme des applications » a observé Bastien Bobe, ingénieur avant-vente, expert sécurité chez Ivanti.
Enfin, comment respecter le « droit à l'oubli » (donc à l'effacement total des données) ou le « droit à la portabilité des données » si on ne sait plus où sont les données ? En moyenne, selon les différentes estimations avancées au CPI-B2B, une donnée peut ainsi être recopiée sur divers systèmes qui vont la mettre à jour ou simplement la stocker et l'utiliser pour divers usages... 20 à 60 fois.

Sur le même sujet, la Matinée Stratégique Data Protection organisée par CIO aura lieu le 17 octobre 2017 à Paris.

En savoir plus

Sont intervenus au Club de la Presse Informatique B2B le 20 septembre 2017 (de gauche à droite, au fond, sur la photo) :
- Sylvie Chauvin, présidente du cabinet d'études Markess ;
- Valérie Lourme, Industry Senior Consultant Chez Teradata ;
- Eric Boulay, PDG fondateur d'Arismore, groupe Accenture ;
- Bastien Bobe, ingénieur avant-vente, expert sécurité chez Ivanti ;
- José Diz, animateur ;
- Olivier Iteanu, avocat au barreau de Paris, spécialiste des nouvelles technologies, auteur de Quand le numérique défie l'État de droit (Editions Eyrolles) ;
- Jean François Marie, EMEA Product and Alliance Director chez NetApp ;
- Fabien Gautier, directeur Business Development et Marketing chez Equinix.

Sur le même sujet, la Matinée Stratégique Data Protection organisée par CIO aura lieu le 17 octobre 2017 à Paris.