Data privacy : vous n’avez qu’à bien vous tenir!

Layout 1

 

 « Le futur du digital en Europe doit se fonder sur la confiance. Avec des standards communs solides en termes de protection des données, les gens sont assurés d’être en possession de leurs propres données et peuvent profiter de toutes les opportunités du Marché Unique digital. La protection des données est un avantage compétitif essentiel », énonçait en novembre Andrus Ansip, vice-président du Marché Unique digital.

Cette remarque d’Andrus Ansip montre bien que depuis la directive 95/46/CE, pièce maîtresse de la législation de l’UE en matière de protection des données à caractère personnel, adoptée en 1995, les choses ont bien changé avec l’omniprésence des appareils mobiles, la prépondérance des emails, le stockage sur le Cloud…. Les violations des données personnelles sont monnaie courante aujourd’hui et font courir aux clients le risque de se voir voler leur identité et de subir de lourdes pertes financières. Les entreprises, quant à elles, doivent faire face au risque de perdre la confiance de leurs clients et investisseurs.

Depuis deux ans, l’UE travaille sur l’élaboration d’une proposition de nouveau Règlement sur la protection des données qui établira un cadre juridique solide et cohérent dans toute l’Union. L’objectif est de renforcer les libertés et droits fondamentaux des citoyens de l’UE, notamment leur vie privée, de restaurer un climat de confiance dans l’environnement en ligne et de mieux protéger les données des consommateurs en demandant aux entreprises d’adopter les nouveaux processus et contrôles en matière de protection des données.

Il s’agit donc d’analyser la notion de data privacy selon deux angles, une dimension sécuritaire invitant à réfléchir sur les meilleures pratiques en termes de protection de la donnée, et un pan plus téléologique afin de déterminer à quelles fins les données peuvent être utilisées.

Tout d’abord, nous reviendrons sur la directive de 1995 en vigueur jusqu’à alors en montrant pourquoi elle ne répond que partiellement à la réalité aujourd’hui puis nous expliquerons les tenants et les aboutissants de la nouvelle réglementation européenne qui se veut beaucoup plus ferme concernant la sécurisation des données.

 

1-Que nous dit la directive 95/46/CE ?

Cette directive constituait jusqu’à présent le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l’Union européenne (UE). Ainsi, la directive fixe des limites strictes à la collecte et à l’utilisation des données à caractère personnel, et demande la création, dans chaque État membre, d’un organisme national indépendant chargé de la supervision de toutes les activités liées au traitement des données à caractère personnel.

La directive vise à protéger les droits et les libertés des personnes par rapport au traitement de données à caractère personnel en établissant les principes relatifs à la légitimation des traitements de données et à la qualité des données.

L’article 6 de la directive définit les finalités de l’utilisation des données. Les États membres prévoient que les données à caractère personnel doivent être :

  1. a) traitées loyalement et licitement;
  2. b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées;

L’article définit également de nouveaux principes pour la protection des données. Les données à caractère personnel doivent être :

6-c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement;

6-d) exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées;

6-e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

Doit aussi être interdit le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions publiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle

La personne concernée par le traitement des données peut exercer le droit d’obtenir des informations (L’identité du responsable du traitement, les finalités du traitement, les destinataires des données doivent être fournies par le responsable du traitement à la personne auprès de laquelle il collecte des données la concernant, si elle le demande), d’accéder à ses données personnelles, d’opposition aux traitements de données, d’être informée avant que des données ne soient communiquées à des tiers à des fins de prospection et doit se voir offrir le droit de s’opposer à cette communication.

Ainsi, la directive vise à favoriser l’élaboration de codes de conduite nationaux et communautaires destinés à contribuer à la bonne application des dispositions nationales et communautaires.

Chaque État membre prévoit donc qu’une ou plusieurs autorités publiques indépendantes soient chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

 

institutions

 

Cependant, cette directive se montre quelque peu anachronique car elle ne permet pas de prendre en compte l’actuel phénomène de Big Data, le flux énorme de données disponibles aujourd’hui via l’utilisation de smartphones, de transfert de ses données professionnelles sur sa tablette ou son ordinateur personnel, le stockage sur le Cloud… C’est pourquoi, la nouvelle législation cherche à mettre en place une sécurisation, une protection accrues des données personnelles, au vue de l’ampleur des informations disponibles mais également une limitation de l’utilisation des données à des fins commerciales. 

 

2-Quelle réforme pour la data privacy ?

a-Le cadre général

« Le préambule réaffirme l’engagement des États signataires en faveur des droits de l’homme et des libertés fondamentales. Il admet […] que dans certaines conditions, l’exercice d’une complète liberté de traiter les informations risque de nuire à la jouissance d’autres droits fondamentaux (par exemple les droits à la vie privée, à la non-discrimination et à un procès équitable) ou à d’autres intérêts personnels légitimes (par exemple en matière d’emploi ou de crédit à la consommation). C’est pour maintenir un juste équilibre entre les différents droits et intérêts des personnes que la Convention impose certaines conditions ou restrictions au traitement d’informations. Aucun autre motif ne saurait justifier les règles que les États contractants s’engagent à appliquer dans ce domaine. »

Ce Règlement sur la protection des données de l’UE cherche à élaborer une législation unifiée pour l’ensemble des pays et entreprises européennes. L’obligation de notification des brèches de sécurité impliquant des données personnelles constitue la disposition affectant le plus les entreprises européennes.

L’article 1 demande aux entreprises de mettre en œuvre les mesures de sécurité qui s’imposent pour protéger efficacement leurs données personnelles. Il ne donne aucune indication sur les technologies à utiliser. En revanche, le troisième paragraphe de l’article habilite le comité européen de la protection des données à indiquer dans le futur les techniques les plus modernes, pour des secteurs spécifiques et dans des cas spécifiques de traitement de données . En cas de violation de données personnelles, l’Article 316 indique que l’entreprise doit immédiatement adresser une notification à l’autorité de contrôle. Cependant, l’entreprise sera tenue ou non de communiquer à la personne concernée la violation de ses données.

Ainsi, si une entreprise n’adopte pas la bonne technologie de protection des données personnelles, elle s’expose au risque d’avoir à payer une lourde amende à l’autorité de contrôle et le risque de voir votre réputation ternie et de perdre la confiance de vos clients.

À l’inverse, les entreprises qui chiffrent leurs données assurent aussi bien leur propre protection que celle de leurs clients. Certaines entreprises comme Google ou Facebook, dont le chiffre d’affaires se compte en dizaines de milliards, se préparent peu à peu à la nouvelle législation en vigueur.

D’autres choisissent d’investir dans des solutions de protection des données. C’est le cas de Thalès qui a racheté en octobre 2015 Vormetric, un des fournisseurs mondiaux de la protection des données, basé à San José en Californie, permettant le stockage, dans une infrastructure physique, virtuelle ou dans le Cloud, des données. D’autres entreprises (comme Visa ou Mastercard) et gouvernements encore choisissent de faire appel à Safenet et Gemalto, leaders mondiaux de la protection des données, des transactions et des identités. Enfin, certaines firmes font le choix de logiciels de sécurité des données tels que ceux de Dell.

 

b- La mise en œuvre de la nouvelle législation

La plupart des entreprises de l’Union Européenne vont donc devoir changer leur approche des brèches de sécurité et s’assurer que leurs processus sont conformes à la nouvelle réglementation. La notification devient obligatoire dès qu’il existe un « risque élevé » pour les individus concernés.

Si les entreprises européennes disposent de deux ans pour se mettre pleinement en conformité avec le nouveau règlement, elles ne semblent, pour l’instant, pas prêtes. Cependant, si certaines organisations s’adaptent peu à peu à la législation européenne, selon un sondage Ipswitch réalisé fin 2014, sur 316 entreprises européennes, 52% des entreprises sondées ont répondu ne pas être prêtes. De plus, 64% des entreprises ont reconnu n’avoir aucune idée de la date d’entrée en vigueur de la réglementation. Enfin, 79% des personnes interrogées font appel à un fournisseur Cloud mais seulement 6% ont pensé à demander à leur prestataire s’il était en règle avec la nouvelle législation.

Toute entité traitant des données sera néanmoins, d’ici deux ans, responsable de la protection de ces données et susceptible d’être mise à l’amende, pour la première fois. Et en cas de défaut de conformité, les amendes risquent d’être salées : jusqu’à 100 M€, ou 4 % du chiffre d’affaires annuel de l’entreprise.

De plus, si une personne ne souhaite plus qu’une entreprise utilise ses données, l’entité devra détruire ces informations. Cela pourra avoir des conséquences en termes de marketing digital pour les organisations qui auront davantage de difficultés à proposer des produits personnalisés pour le client. La nouvelle législation se montre donc plus stricte que la directive de 1995 car elle limite l’utilisation des données personnelles à des fins commerciales ou marketing.

 

c-Quelles préconisations ?

Pour la majorité des entreprises, le meilleur moyen d’adopter cette réforme est de mettre en œuvre une stratégie et un processus solides de protection des données qui inclura le chiffrement de ces dernières, afin d’être encore plus efficace. Le projet de loi n’exige pas la mise en place d’un certain type spécifique de contrôle technique.  Cependant, la meilleure pratique serait de mettre en œuvre des contrôles technologiques avancés qui rendraient les données personnelles totalement inintelligibles aux yeux des utilisateurs non autorisés. Permettant de rendre les données incompréhensibles, le chiffrement est largement reconnu comme étant le moyen le plus adéquat de satisfaire à ces exigences. Il permet au service informatique de prouver qu’un fichier, qu’un ordinateur ou qu’une clé USB était chiffré au moment de sa perte, de son vol ou de sa violation. En effet, en cas de perte ou de vol des données chiffrées, celles-ci ne pourront tout simplement pas être exploitées. De plus en plus d’algorithmes d’anonymisation se mettent en place afin d’assurer la parfaite sécurisation des données. C’est le cas notamment de l’anonymisation en facteur k, largement utilisée par Blue DME et dont le principe est expliqué par Nicolas Andretzko dans un article précédent de notre blog, « Anonymisation et modèle de classification » (http://www.bluedme.com/anonymisation-et-modele-de-classification/)

Il faut donc que les entreprises fassent de plus en plus preuve de transparence, en indiquant quelles données sont collectées et à quelles fins, tout en respectant le choix des individus concernés, afin de réussir à se conformer à cette législation.

Les entreprises devront également faire appel à un « data protection officer » lorsqu’elles auront affaire à des données sensibles en très grande quantité. Si la directive 95/46/CE a créé la possibilité pour les pays membres de l’Union Européenne d’introduire, dans leur législation nationale, la fonction de délégué à la protection de la donnée, peu d’entreprises (Orange, La Banque de France…), jusqu’à présent, avaient saisi l’opportunité de cette fonction. La nouvelle législation semble systématiser la présence de ces correspondants Informatique et libertés ou CIL.

Ainsi, la réforme cherche à privilégier la liberté, la protection et la sécurité des personnes physiques, pouvant, dans une certaine mesure, une entrave à la connaissance client et à la proposition de services davantage personnalisés, du fait de la limitation de l’utilisation des données à des fins commerciales.

 

En raison du durcissement des programmes de surveillance gouvernementaux et de la surmédiatisation des violations de données, la demande d’une protection solide des données sensibles et personnelles se fait de plus en plus pressante. Parallèlement, nous assistons à une perte de confiance des consommateurs envers les entreprises. Le Parlement européen, les autorités de contrôle sur la protection des données et les gouvernements ont donc tous la volonté de contribuer à protéger et à développer le marché des services en ligne en Europe. Pour atteindre cet objectif, la majorité des entreprises vont devoir mettre en œuvre des processus et mesures techniques qui garantissent la confidentialité des données des consommateurs. Pour l’instant, il semble que la majorité des entreprises européennes ne soient pas prêtes pour s’adapter à cette nouvelle législation. Néanmoins, d’ici deux ans, beaucoup de choses auront le temps de s’opérer et de s’implémenter. Les entreprises préfèreront engager des CIL et de mettre en place des algorithmes d’anonymisation des données plutôt que de payer de lourdes amendes.

 

 

Sources :

-Techcrunch : article du 17/12/2015 sur la nouvelle législation européenne

-MagIT

-Sophos : Data protection laws

-CNIL

Cette entrée a été publiée dans Blog. Sauvegarder le permalien.

1 thought on “Data privacy : vous n’avez qu’à bien vous tenir!

Les commentaires sont fermés.