ENTRÉ EN APPLICATION LE 25 MAI 2018, LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES EST UNE AVANCÉE MAJEURE POUR LA PROTECTION DES DONNÉES PERSONNELLES. IL EST POURTANT SOUVENT PERÇU DE DIFFÉRENTES FAÇONS. CERTAINS LE CRAIGNENT DE MANIÈRE EXAGÉRÉE ALORS QUE D’AUTRES LE NÉGLIGENT OU MÊME L’IGNORENT TOTALEMENT. IL EST DONC TEMPS DE FAIRE LE POINT SUR CE TEXTE ET SUR CE QU’IL IMPLIQUE CONCRÈTEMENT POUR LES INGENIEURS.
Le problème de la protection des données personnelles n’est pas nouveau. L’informatique évolue sans cesse et les lois doivent s’adapter. Depuis le début des années 2000, la problématique de la protection des données personnelles est devenue de plus en plus importante et complexe. Ces années sont celles de l’Internet grand public et surtout des services dans les nuages (cloud computing) auxquels de plus en plus de particuliers et d’entreprises confient des données personnelles. De nombreuses affaires ont fait la une de l’actualité telles que les révélations d’Edward Snowden en 2013 ou encore le scandale Facebook-Cambridge Analytica à partir de 2016. L’arrivée dans nos foyers de l’Internet des objets (IoT) pose également de nombreuses questions sur la justification de la captation de certaines données
à l’insu des personnes. En février 2019, Nest, filiale de Google, révèle la présence d’un micro dans la base Nest Guard de son système d’alarme Nest Secure. En avril 2019, Bloomberg découvre que l’assistant électronique Alexia enregistre, via l’enceinte connectée Amazon Echo, des millions de conversations qui sont ensuite écoutées par des salariés de l’entreprise. Smartphone, montre, thermostat, voiture… notre vie quotidienne est maintenant remplie d’objets connectés qui collectent sans cesse des données sur notre activité quotidienne et nos centres d’intérêt. Ces données s’échangent, se vendent pour quelques dollars ou sont même volées pour être revendues sur le Darknet.
Pour protéger les personnes physiques de la divulgation ou d’une exploitation sans limites de ces données, la Commission Européenne a voté et adapté le RGPD en 2016. Ce texte a été adopté à la France par la loi 2018-493 du 20 juin 2018 relative à la protection des données personnelles. Son objectif est la protection de la vie privée des personnes et des libertés publiques par l’affirmation que les personnes fichées ont des droits et qu’il faut respecter un cadre strict pour l’utilisation de données personnelles. Nous sommes tous concernés par cette loi en tant que citoyens. Il s’agit d’apprendre à protéger ses données personnelles et à respecter celles des autres.
1. TRAITEMENT ET DONNÉES
Les notions de traitement et de données personnelles sont au centre du RGPD. Il est impossible de l’appliquer si vous ne connaissez pas la définition exacte de ces termes. Le vocabulaire a donc ici une grande importance.
1.1 Définition d’un traitement
Le traitement de données à caractère personnel fait référence à toute opération ou tout ensemble d’opérations appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. Il est important de savoir que ces opérations peuvent être effectuées ou non à l’aide de procédés automatisés. Cela signifie donc que limiter l’application du RGPD au seul domaine
des traitements informatisés est une erreur. Des données personnelles stockées sur du papier ou des enregistrements (vidéo ou sonores) sont également concernées par le RGPD. Mettre en application le RGPD ne consiste pas à se pencher uniquement sur les traitements informatiques d’une organisation, mais sur l’ensemble de ses procédures techniques et administratives.
1.2 Données personnelles et données sensibles
Une donnée personnelle est une information ou une combinaison d’informations permettant d’identifier directement ou indirectement une personne physique.
Ce terme désigne donc un large spectre de types de données et ne se limite pas aux seuls noms, prénoms et dates de naissance. On peut en effet prendre en compte un numéro de téléphone, une adresse de courrier électronique, un identifiant de badge d’accès, ou encore des informations de géolocalisation. Sachez également que l’adresse IP collectée est considérée comme étant une donnée personnelle.
Le RGPD définit également les données dites sensibles dont la collecte et le traitement imposent des mesures spécifiques. Il s’agit des origines raciales ou ethniques, des opinions politiques, des convictions religieuses ou philo- sophiques, de l’appartenance syndicale, des données biométriques (photographie, empreinte digitale, etc.), des données de santé et de celles portant sur la vie sexuelle ou l’orientation sexuelle. Pour ces données sensibles, il est souvent nécessaire de demander l’avis à la CNIL et de faire une analyse d’impact (AIPD). Cette étude doit être réalisée pour les traitements présentant un risque élevé. Si votre traitement correspond à deux des critères suivants, vous êtes dans l’obligation de la réaliser :
• évaluation/notation ;
• décision automatisée avec effet judiciaire ou effet similaire ;
• surveillance automatisée ;
• données sensibles ou haute- ment personnelles ;
• données personnelles traitées à grande échelle ;
• croisement de données ;
• données portant sur des per- sonnes vulnérables ;
• usage innovant ;
• exclusion du bénéfice d’un droit, d’un service ou d’un contrat ;
La collecte des données à caractère personnel est fortement encadrée par le RGPD. Celle-ci doit être loyale : les données ne peuvent être collectées à l’insu des individus. Le traitement doit être explicite, déterminé et également justifié par des finalités légitimes reposant sur une ou plusieurs bases légales. La finalité du traitement doit être respectée par le responsable de traitement durant toute la durée du traitement et ne pas être détournée. De plus, un individu doit consentir librement à une collecte de données personnelles. Son consentement doit être spécifique au traitement et il doit être éclairé, ce qui signifie qu’il doit être préalablement informé de la nature et de l’usage qui sera fait de ses données. Il peut d’ailleurs être important de tenir un registre des consentements, de conserver la preuve qu’une personne a accepté que ses données à caractère personnel soient utilisées dans un traitement. La collecte de données personnelles doit également être proportionnée, seules les données indispensables au traitement doivent être demandées. Ce principe de minimisation est un élément clé du RGPD. Avez-vous vraiment besoin de la date de naissance de la personne ? Est-ce que l’âge ne suffit pas par exemple ? Réduire la quantité
de données personnelles facilite grandement l’anonymisation ou la pseudonymisation (séparation des données à l’aide de deux fichiers non connectés et dont les enregistrements sont joints à l’aide d’une clé) au sein de bases de données, mais cela ne résout pas tous les problèmes liés à ces deux opérations. Parfois en effet, des informations qui en soi ne disent rien de particulier sur une personne peuvent constituer des données personnelles en étant associées les unes aux autres. Il est ainsi aisé par déduction de déterminer l’identité d’un individu. Constituer un fichier anonymisé n’est donc pas si simple qu’il n’y paraît.
1.3 Une attribution claire des rôles
Le RGPD définit avec précision les rôles des différents acteurs de la mise en conformité. Il s’agit principalement du responsable du traitement et du délégué à la protection des données (DPD). En complément, d’autres acteurs historiques restent impliqués dans la protection des données personnelles. Les responsables des services informatiques, les directions juridiques ou les responsables de la Sécurité des Systèmes d’Information (RSSI) doivent travailler de manière transversale avec le responsable du traitement et le Délégué à la Protection des Données. Autre grosse nouveauté du RGPD, la notion de sous- traitant est également prise en compte.
1.3.1 Le responsable du traitement
Le responsable du traitement détermine les finalités et les moyens du traitement. Il doit mettre en œuvre des mesures techniques et organisationnelles pour assurer la confidentialité des données personnelles. Il doit être capable de démontrer que le traitement est assuré conformément au RGPD. Enfin, il doit faire appliquer des mesures appropriées en matière de protection des données. Le responsable du traitement engage sa responsabilité pénale et cette responsabilité peut être partagée avec d’autres personnes.
Il est au sommet de la hiérarchie de l’organisation et il est le responsable légal de l’application du RGPD. En fonction du statut de l’organisation, il peut s’agir du chef d’entreprise, du recteur d’une Académie, du Président d’une Université ou encore du Président d’une association (loi de 1901).
1.3.2 Le délégué à la protection des données
Le DPD ou DPO (Data Protection Officer) remplace le CIL (Correspondant Informatique
et Libertés), mais n’est pas forcément un ancien CIL. Il est obligatoire pour les autorités ou les organismes publics, les entreprises dont les activités de base sont de réaliser un suivi régulier et systématique des personnes à grande échelle et les organismes traitant des données dites « sensibles ». Le DPD informe et conseille le responsable du traitement, les sous-traitants et le personnel. Il coopère avec l’autorité de contrôle. Il assure la bonne tenue de la documentation relative au traitement. Il a également un rôle de conseil et de validation pour la mise en œuvre d’une analyse d’impact.
Le droit d’opposition permet à une personne de refuser que ses données soient exploitées par un traitement. Ce droit ne peut pas être systématiquement appliqué en fonction de la raison d’être du traitement (une obligation légale par exemple). Dans tous les cas, ce droit n’est pas un droit à la sup- pression de toutes les données ou du compte qui est rattaché à une personne.
Pour demander la suppression de données à caractère personnel la concernant, une personne doit faire usage de son droit à l’effacement. L’usage de celui-ci n’est possible que pour l’une des six situations suivantes :
• les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ;
• la personne retire son consentement au traitement des données ;
• la personne s’oppose au traitement et il n’existe pas de motif légitime impérieux ;
• le traitement est illicite ;
• les données doivent être effacées pour respecter une obligation légale ;
• les données ont été collectées auprès de mineurs.
Ce droit à l’oubli est complété par le droit de suite qui impose à l’organisation ayant traité
la demande d’effacement de communiquer cette demande à ses éventuels sous-traitants. Le respect de ce droit impose donc un suivi des demandes et une cartographie à jour des flux de données.
Le droit à la portabilité permet à une personne de récupérer les données personnelles qu’elle a fournies à une organisation. Ce droit n’est applicable que si le traitement est effectué à l’aide de procédés automatisés et s’il est fondé sur le consentement de la personne ou sur un contrat. Le RGPD n’impose aucun format de fichier spécifique pour cette opération, mais recommande un format ouvert et lisible par un logiciel. Ce droit inclut également la possibilité de transmettre les données à un nouveau responsable de traitement.
Le droit à la limitation du traitement est destiné à geler l’utilisation de données à caractère personnel détenues par une organisation afin de permettre à une personne physique d’appliquer ses droits d’opposition et de rectification. L’organisme ne peut que conserver les données et aucune exploitation n’est possible. Ce droit permet également à une personne d’empêcher l’effacement de ses données personnelles alors que l’organisation qui les détient veut les supprimer.
Enfin, le RGPD définit le droit de ne pas faire l’objet d’une décision exclusivement fondée sur un traitement automatisé et plus particulièrement si celle-ci a un effet juridique ou l’affecte sensiblement. Le recours à ce droit est rendu caduc si la personne concernée a donné son consentement explicite, si la décision est nécessaire dans le cadre d’un contrat ou si la décision automatisée est autorisée par des dispositions légales spécifiques. Mais dans tous les cas, l’organisme doit prévenir la personne concernée qu’une décision automatisée a été prise, qu’elle a le droit de la contester et qu’elle peut demander un nouvel examen de la décision par un être humain.
1.5 Prise en compte des flux de données
Étant donné que nous vivons dans l’ère de la mondialisation numérique et que les données circulent de pays en pays via les « auto-routes de l’information », il est nécessaire que le RGPD crée une bulle de protection autour des données personnelles. Le RGPD protège ainsi les citoyens européens, quel que soit l’endroit où sont stockées leurs données (dans l’Union Européenne ou non). De même, le RGPD protège les données personnelles des citoyens non européens à partir du moment où celles-ci sont hébergées par des services situés dans la Communauté Européenne.
Lorsque les données transitent dans et hors de l’Union Européenne , le niveau de protection doit rester équivalent et les principes du RGPD doivent être respectés par l’ensemble des destinataires successifs. Si le pays n’est pas considéré comme étant adéquat, les transferts sont réalisés sous des conditions strictes (règles d’entreprise contraignantes, certifications, codes de conduites, clauses contractuelles). Dans certains cas, il faut obtenir une autorisation de transfert de la part de l’autorité de protection des données. Dans quelques cas, il faut pouvoir se prévaloir de l’une des dérogations énumérées par l’article 49 du RGPD concernant les dérogations pour des situations particulières.
2. LE PRINCIPE D’ACCOUNTABILITY
Pour le responsable de traitement, il s’agit de l’obligation de mettre en œuvre et de documenter des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Le responsable de traitement doit fixer un cadre de collecte et d’utilisation des données à caractère personnel conforme au RGPD et doit le respecter. Ce principe met fin à celui de la déclaration des traitements auprès de la CNIL. Le responsable de traitement, conseillé par son DPD, doit mettre en œuvre les différents outils de mise en conformité. Il reste cependant quelques cas particuliers où cette déclaration est nécessaire tels qu’une demande d’avis (utilisation de données sensibles, transferts de données hors Union Européenne, etc.), une étude génétique de populations, la description d’un dispositif technique, le contrôle de l’activité des salariés, une demande d’autorisation dans le domaine de la santé ou encore une collecte d’échantillons de substances corporelles humaines.
2.1 Cartographie des traitements
Pour mettre en œuvre le RGPD, une organisation doit être capable d’établir une cartographie des traitements qu’elle exploite. Ce document regroupe des traitements automatisés, mais également des traitements réalisés par des êtres humains (procédures administratives par exemple). Elle doit référencer les informations essentielles telles que le nom du traitement, sa finalité, les interlocuteurs, les catégories de données traitées, les données à risques, les destinataires des données, les flux et transferts de données, les sous-traitants, l’hébergement des données ou encore l’application d’une politique d’archivage.
Ce tableau est sommaire, mais il constitue une synthèse permettant de détecter les traitements à risques (manipulation de données à caractère personnel). Pour chacun d’entre eux, il faudra compléter une fiche de registre et constituer ainsi votre registre des traitements.
2.2 Le registre des traitements
Ce registre est l’élément essentiel d’une organisation pour prouver sa conformité au RGPD. Il rassemble l’ensemble des fiches de registre décrivant les traitements de données à caractère personnel. Pour aider le responsable de traitement. Le responsable de traitement est libre d’enrichir ce modèle en fonction de ses besoins. Si on se réfère au RGPD et aux différentes publications énumérant les bonnes pratiques, on peut décomposer une fiche de traitement en cinq grandes parties.
2.2.1 Informations générales sur le traitement
En premier lieu, il est important de décrire le traitement à l’aide d’un certain nombre d’informations générales telles que le nom et la description du traitement, la date d’ouverture du dossier, les dates de début et de fin du traitement, les noms et les coordonnées du responsable de traitement, du délégué à la protection des données ainsi que celles du responsable des services opérationnels traitant les données.
2.2.2 Les données personnelles traitées
Il est temps maintenant de s’occuper des données personnelles en précisant tout d’abord les catégories auxquelles elles appartiennent (identité, données bancaires, etc.), la méthode de leur collecte et les données identifiant directement ou indirectement une personne. Si des données sensibles sont traitées et donc susceptibles de soulever des risques en raison de leur sensibilité particulière, il est nécessaire de préciser la nature du risque, de documenter la réalisation d’une analyse d’impact et éventuellement fournir la référence d’une déclaration spécifique à la CNIL.
Dans tous les cas, vous devez préciser si les données sont sujettes à une interconnexion de fichiers, les lieux où les données sont hébergées ainsi que la durée de conservation de celles-ci. La fiche de traitement doit également préciser les catégories de personnes concernées par le traitement et les modalités d’information auprès des usagers.
1.3.3 Le sous-traitant
Dans le domaine du traitement des données personnelles, les obligations d’un sous-traitant sont très accentuées. Il n’agit qu’à la demande du responsable du traitement de son client. Le sous-traitant est responsabilisé et doit pouvoir jouer un rôle de conseil auprès du responsable de traitement. Il doit faire preuve de transparence, mettre en œuvre une traçabilité sur les données et les traitements associés. Ceux-ci sont obligatoirement mis en œuvre dans un environnement sécurisé.
Un responsable de traitement doit donc choisir un sous-traitant présentant des garanties suffisantes au regard du RGPD. Ces garanties sont formalisées dans un accord à l’aide de clauses contractuelles spécifiques.
1.3.4 La nouvelle CNIL
Avec le RGPD, les missions de la CNIL ont évolué. Elle doit informer et conseiller les organisations et le grand public pour la mise en œuvre du RGPD et pour défendre les droits des citoyens. Elle a également une mission de veille et de prospective sur les nouveaux usages des outils informatiques. Elle doit réfléchir sur les problèmes éthiques tels que ceux liés à la biométrie ou aux données génétiques.
Dans certains cas, elle doit encore être consultée et conserve un pouvoir d’autorisation. Elle a enfin un pouvoir d’enquête, mais aussi de répression. La CNIL a précisé dans un communiqué daté du 19 avril 2019 que « Désormais, la CNIL vérifiera pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations) et tirera, au besoin, toutes les conséquences en cas de constatation de manquements ». Les sanctions ont été considérablement renforcées dans le cadre du RGPD et les peines peuvent aller jusqu’à :
• des sanctions pécuniaires à hauteur de 20 millions d’euros ou de 4% du chiffre d’affaires mondial d’une entreprise ;
• 300 000 euros pour une personne physique ;
• 1,5 million d’euros pour une personne morale ;
• jusqu’à 5 ans de prison.
À cela, il faut également ajouter une détérioration de l’image de marque et une très mauvaise publicité pour une entreprise ou une administration. Faire les gros titres de la presse pour non-respect du RGPD n’est vraiment pas un gage de confiance.
1.4 Affirmation des droits des personnes
L’affirmation des droits des personnes est primordiale au sein du RGPD. Les personnes physiques doivent avoir le contrôle des données à caractère personnel les concernant et surtout avoir connaissance des détails de l’utilisation de leurs données.
Le droit à l’information oblige une organisation mettant en œuvre un traitement de données personnelles à informer les personnes fichées de son identité, de l’objectif de la collecte d’informations,
de son caractère obligatoire ou facultatif, des destinataires des informations, des droits reconnus à la personne et des transferts de données vers un pays ne faisant pas partie de l’Union Européenne.
Avec le droit d’accès, une personne peut vérifier qu’elle est toujours présente dans un fichier, prendre connaissance des données personnelles détenues par une organisation et vérifier leur exactitude. Si ce n’est pas le cas, une personne physique peut utiliser son droit à la rectification afin de corriger les informations inexactes et compléter des données en lien avec la finalité du traitement.
2.2.3 Finalités et fondement juridique
L’étape suivante consiste à fournir les raisons pour lesquelles les données ont été collectées. Il s’agit ici d’expliquer l’utilité de chaque donnée et de démontrer qu’elle est indispensable pour la réussite du traitement. Ce dernier doit également reposer sur un fondement juridique qui peut être le consentement de la personne concernée, l’exécution d’un contrat, une obligation légale, la sauvegarde des intérêts vitaux de la personne concernée, une mission de service d’intérêt public, l’intérêt légitime du responsable de traitement ou d’un tiers et enfin l’intérêt général (recherches historiques ou scientifiques par exemple).
2.2.4 Acteurs du traitement
Il est maintenant important de documenter les acteurs du traitement, c’est-à-dire ceux qui accèderont à l’intégralité ou à une sous-partie des données à caractère personnel collectées. Ces acteurs peuvent être internes ou externes à votre organisation. Si des sous-traitants sont impliqués dans le traitement des données personnelles, ils doivent être référencés dans la fiche de traitement et les catégories de données qui leur sont confiées doivent être indiquées.
Si nécessaire, vous devez également indiquer vers quels pays les données sont transférées. Dans le cas d’un transfert vers un pays tiers non couvert par une décision d’adéquation de la Commission Européenne et sans certaines garanties précises (articles 46 et 47 du RGPD), des garanties spécifiques devront être pré- vues et documentées.
Enfin, n’oubliez pas de préciser si une procédure d’habilitation des personnels a été mise en place pour l’accès aux données et précisez le type de cette habilitation.
2.2.5 Les mesures de protection des données
En complément des mesures prises globalement pour protéger les données du système d’information, il est également nécessaire de documenter les mesures mises en œuvre spécifiquement pour
le traitement des données à caractère personnel. Vous devez ici prouver que tout est fait, tant sur le plan technique qu’organisationnel, pour protéger les informations. Il convient ici d’insister sur les droits d’accès aux données accordés aux utilisateurs, sur le contrôle des sous-traitants, sur les méthodes d’anonymisation ou de pseudonymisation des données, sur la sécurisation des flux de données ou encore sur les mesures de traçabilité des opérations.
2.3 Communication du registre
Le registre doit pouvoir être communiqué à la CNIL lorsqu’elle le demande. Les organismes du secteur public sont tenus de transmettre le registre à toute personne qui en fait la demande, car il s’agit d’un document administratif, communicable à tous, au sens du code des relations entre le public et les administrations. Bien évidemment, il peut être nécessaire d’avoir retiré préalablement toutes les informations dont la divulgation pourrait porter atteinte à des données confidentielles ou compromettre la sécurité des systèmes d’information.
2.4 Compléter son registre des traitements
Afin de renforcer sa mise en conformité, il est souhaitable de mettre en œuvre d’autres outils destinés à compléter les fiches descriptives des traitements et enrichir ainsi le registre de l’organisation.
2.4.1 Registre des consentements
Si les traitements mis en œuvre par votre organisation nécessitent le consentement préalable de l’utilisateur, il est recommandé de mettre en œuvre un registre des consentements. Celui-ci doit conserver une trace de ce consentement afin que le responsable du traitement soit en mesure de démontrer que la personne a bien consenti, dans des conditions valides.
2.4.2 Notification des violations de données
Le registre des failles de sécurité référence les failles pouvant engendrer un risque pour les droits et libertés des personnes concernées. Pour chaque faille détectée, il faut indiquer sa date de découverte, le type d’atteinte, l’importance de l’atteinte aux données personnelles, les mesures prises pour y remédier et les mesures prises pour que ce risque ne se réitère pas. Une violation de sécurité doit être obligatoirement notifiée à la CNIL dans les 72 heures. Par contre, le responsable du traitement n’a l’obligation de prévenir les utilisateurs concernés que lorsque la violation de leurs données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.
2.4.3 Documenter la sécurité et l’organisation du système d’information
Le registre des traitements doit être complété par des références aux documents décrivant les mesures organisationnelles ainsi que la sécurisation logique et physique du système d’information de l’organisation. Encore une fois, le responsable de traitement doit être capable de démontrer que toutes les mesures nécessaires ont été prises pour garantir la sécurité des données à caractère personnel.
Ces documents, le plus souvent supervisés par le RSSI de l’organisation, décrivent la sécurisation des postes de travail (authentification, antivirus, chiffrement
du stockage, etc.), des serveurs (authentification, mises à jour, sauvegardes, etc.) et de l’infrastructure réseau. Ils présentent les mesures prises pour la sécurisation des locaux (contrôle d’accès, surveillance, gestion des pannes électriques ou des incendies, etc.). Ils exposent les mesures de traçabilité (journaux systèmes, etc.). Cette documentation est généralement complétée par un PRA (Plan de Reprise d’Activité) donnant la marche à suivre en cas d’incident grave.
3. PRIVACY BY DESIGN
Le RGPD impacte fortement le développement et le déploiement d’applications traitant des données à caractère personnel. Dès la phase de conception d’un traitement, il est fondamental de mettre en œuvre une approche visant à garantir la protection de la vie privée. Pour cela, le RGPD met en avant le concept
de Privacy by Design permettant d’offrir le plus haut niveau possible de protection des données à caractère personnel.
3.1 Sécuriser les traitements
Dans le cadre de la collecte et de la manipulation de données à caractère personnel, il est indispensable de sécuriser les traitements concernés. L’objectif est de garantir l’intégrité, la confidentialité et la disponibilité des données. Les mesures prises doivent être adaptées à la nature des données et aux risques présentés par le traitement. Elles concernent la sécurisation physique des données (gestion des accès à la salle des serveurs, système de lutte anti-incendie, protection contre les coupures électriques, sécurisation des postes clients, etc.). Serveurs et postes clients doivent être sécurisés (mises à jour du système d’exploitation et des logiciels, solution antivirus, etc.). Il est important de sensibiliser le personnel sur le respect des données personnelles, d’éviter l’utilisation de moyens de stockage amovibles (disques durs externes, clés USB, etc.), de mettre en place une gestion des postes mobiles (ordinateurs, smartphones, tablettes, etc.). Le chiffrement des données sur les postes clients est un bon moyen de limiter les risques liés au vol ou à la perte d’une machine.
Au niveau de la sécurité logique, l’architecture réseau doit mettre en œuvre une segmentation afin de contrôler les flux de données. Les protocoles réseau utilisés doivent être sécurisés à l’aide de méthodes de chiffrement. Dans le domaine des applications web, il est requis d’utiliser le protocole HTTPS pour assurer les échanges de données entre le poste client et le serveur. L’accès aux données dans les applications doit être géré à l’aide d’un mécanisme d’authentification basé sur des mots de passe robustes et une gestion des droits des utilisateurs afin de garantir que les informations ne sont accessibles qu’aux personnes autorisées.
Vous trouverez sur le site de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) un ensemble de documents regroupant les bonnes pratiques essentielles pour sécuriser une infrastructure de services .
Sur le plan organisationnel, le RGPD renforce l’importance de la réalisation d’une cartographie des traitements. Celle-ci permet à une organisation de recenser l’ensemble des traitements existants et de détecter ainsi ceux comportant des données à caractère personnel. Pour une DSI, c’est une opportunité pour lutter contre le shadow IT : des traitements mis en œuvre par les membres de l’organisation, mais inconnus du service informatique et donc hors de son contrôle. Une fois évalués en terme de fonctionnalités et de risques, ces traitements clandestins pourront être remplacés par des outils respectant les règles de l’organisme.
Il faut également noter le rôle important du DPD en ce qui concerne la réévaluation continue de la protection des données. Les outils de la mise en conformité doivent être régulièrement mis à jour pour prendre en compte l’évolution du système d’information. Des évaluations telles que des tests d’intrusion ou des essais de restauration de données doivent être menées périodiquement. Ces différentes actions imposent l’établissement de relations étroites entre les différents acteurs impliqués (DPD, RSSI, responsables du déploiement, administrateurs système et développeurs) ainsi que la
sensibilisation et la formation du personnel de l’organisme. La politique de sécurité d’un système d’information doit être complétée par une charte d’utilisation présentant aux collaborateurs leurs droits et devoirs en matière de sécurité. Elle est également l’occasion de préciser le périmètre d’utilisation autorisé par l’organisme en ce qui concerne les applications autres que celles déployées par la DSI (applications cloud en particulier).
3.2 Encadrer la saisie de données
Les formulaires de saisie sont les principaux éléments d’interface exploités par les utilisateurs. Dans le cadre d’applications telles que celles concernant les ressources humaines, leurs champs de saisie reflètent généralement une grande part des données collectées et traitées. Sur un site web, un formulaire de contact ou une procédure d’inscription, sont également des éléments d’interface susceptibles de collecter des don- nées à caractère personnel. Pour respecter le RGPD, il est donc nécessaire de les concevoir avec attention.
En premier lieu, un formulaire doit limiter la saisie des données personnelles au strict minimum. Une information qui n’est pas indispensable au traitement ne doit pas être demandée à l’utilisateur. De plus, il ne faut pas rendre obligatoire systématiquement l’intégralité des champs de saisie. Si la collecte d’une information ne rend pas impossible la réussite du traitement et que celui-ci peut atteindre ainsi son but, l’utilisateur doit avoir la possibilité de ne pas la saisir.
Cette minimisation de la saisie pousse également à éviter l’usage des champs de saisie libres tels que la balise HTML . Ces zones fourre-tout servent généralement à apporter un commentaire ou un complément aux autres données saisies. Le problème est qu’il est difficile de cadrer l’utilisation réelle de ce type de champ par les utilisateurs de l’application. Comment les empêcher de saisir des données à caractère personnel et même sensible alors qu’il n’y a aucun besoin de le faire ? En supplément d’une sensibilisation des utilisateurs au RGPD, il convient d’avoir recours à un maximum de champs limitant la collecte de données à celles prédéfinies au sein de nomenclatures. L’exploitation des données en sera facilitée et vous ne prendrez pas le risque d’être hors-la-loi.
Le second point important avec les formulaires est celui de la transparence avec l’utilisateur. Dans le cadre du RGPD, le consentement à un traitement doit être libre, spécifique, éclairé et univoque. C’est pourquoi il ne faut pas tenter de forcer la main de l’utilisateur en fixant par défaut la valeur de certains champs (des cases à cocher par exemple) pour que la personne s’inscrive involontairement à un abonnement, à un service commercial ou encore pour rendre publiques des données personnelles.
De même, les options de configuration par défaut doivent obligatoirement être celles qui protègent les don- nées personnelles (Privacy by Default). Il est crucial que l’utilisateur comprenne le traitement appliqué à ses données, qu’il puisse choisir sans contrainte d’accepter ou de refuser le traite- ment et qu’il puisse changer d’avis librement. Pour atteindre ces objectifs, il faut mettre en œuvre tous les moyens possibles pour expliquer à la personne concernée la raison de la collecte d’une donnée personnelle et l’usage qui en sera fait. Dans un formulaire, vous devez indiquer clairement les champs devant être obligatoirement complétés. Vous pouvez utiliser des bulles d’aide contextuelles afin d’informer l’utilisateur sur la raison de la collecte de la donnée et préciser le périmètre de sa diffusion. Vous devez obligatoirement insérer une information concise, transparente, compréhensible et aisément accessible aux personnes concernées.
Celle-ci indique l’identité du responsable du traitement, la finalité du traitement, le caractère obligatoire ou facultatif des données collectées et l’existence de droits des personnes concernées.
Un formulaire de collecte de données à caractère personnel doit également disposer d’un moyen clairement identifié et simple d’utilisation afin de recueillir le consentement de l’utilisateur. L’entrée et la sortie volontaire d’un traitement sont parfaitement illustrées par les mécanismes dénommés Opt-in et Opt-out. Ces termes issus du marketing, concernent l’usage d’adresses de courrier électronique dans le cadre de la prospection commerciale. Le consentement devant être libre, spécifique et éclairé, il doit être possible à tout moment de le retirer. Puisque la notion prévue par les textes est celle de l’accord entre les deux parties, une information préalable de la personne est nécessaire, accompagnée d’un moyen pour celle-ci de signifier sans équivoque son accord. La CNIL (décembre 2013) recommande une mention d’information donnant accès à une page plus détaillée précisant la finalité, le moyen de s’opposer à la poursuite du traitement et parfois également au traçage.
3.3 Ne pas dissimuler les mécanismes de traçage et de collecte
La transparence de la collecte et du traitement de données à caractère personnel passe par l’information des personnes. Il n’est donc pas acceptable de mettre en œuvre des mécanismes cachés œuvrant à la collecte de données personnelles à l’insu de la personne. Sur le web, cette collecte est souvent basée sur le traçage des utilisateurs afin d’étudier leurs comportements sociaux, leurs déplacements ou encore leurs habitudes de consommation. Des mentions légales doivent obligatoirement communiquer les informations essentielles aux personnes qui consultent le site ou utilisent l’application. Ces mentions doivent faire apparaître l’identité du responsable de traitement, la finalité du traitement, le caractère obligatoire ou facultatif des données collectées, le ou les destinataires des informations, les transmissions de données vers des pays situés en dehors de l’Union Européenne, l’existence de droits des personnes concernées et notamment le droit de définir des directives quant au sort des données après sa mort. Ces mentions légales doivent également rappeler les conséquences en cas d’absence de réponse du responsable de traitement si une personne demande à faire appliquer ses droits. Bien évidemment, ces informations doivent être facilement consultables et compréhensibles par l’utilisateur.
Les cookies font partie des outils dont disposent les sites web pour tracer les actions de leurs utilisateurs et contribuer par un croisement de données à identifier une personne physique. De ce fait, ils deviennent donc sujets au RGPD et l’utilisateur d’un site web doit être averti de leur présence, donner son consentement préalablement à l’insertion de traceurs et avoir la possibilité d’accepter ou refuser les différents traitements associés.
Il est préférable d’appliquer un retour automatique au mode Opt-out et de laisser l’utilisateur configurer l’utilisation des cookies. Ceux-ci doivent avoir une durée de vie maximale de 13 mois. Notez également que ce qui est vrai pour les cookies, l’est également pour les nombreuses autres méthodes de traçage telles que les pixels invisibles ou encore la technique du finger-printing (calcul d’un identifiant unique de la machine basée sur des éléments de sa configura- tion).
Toujours dans le domaine du traçage des individus, n’oubliez pas que des journaux d’activité tels que ceux d’un serveur web contiennent généralement des adresses IP et que celles-ci sont considérées comme étant des données personnelles. Au sein d’un organisme, le Code du travail précise qu’aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. Il faut donc veiller à informer chaque salarié des finalités pour- suivies, des destinataires des données, de son droit d’opposition pour motif légitime et de ses droits d’accès et de rectification.
3.4 Gérer et archiver des données
La gestion des données pose de nombreux problèmes aux informaticiens dans le cadre d’une application correcte du RGPD. La première difficulté porte sur le respect des droits des personnes.
La portabilité implique la possibilité d’extraire d’un système d’information l’intégralité des données à caractère personnel qu’un organisme a collecté sur une personne physique. Cela suppose donc de mettre en œuvre un traitement capable de retrouver ces données dans plusieurs sources de nature différentes (bases de données, fichiers plats, journaux de connexion, serveur de messagerie, etc.) et de les formater dans un ou plusieurs documents lisibles.
Le droit d’être exclus d’un traitement peut imposer des modifications complexes au code informatique des applications ainsi qu’aux bases de données exploitées. En effet, il faut être capable de distinguer au sein des données, celles pouvant être traitées et celles qui ne le doivent pas.
Enfin, le droit à l’oubli introduit également un certain nombre de problèmes techniques. Tout d’abord, il faut distinguer l’effacement du déréférencement.
Ce dernier concerne principalement les moteurs de recherche et exercer ce droit permet à une personne physique de faire disparaître du résultat des recherches des données susceptibles de lui nuire. Ce droit n’implique pas la destruction des données, mais uniquement un marquage de celles-ci afin de les cacher.
Le droit à l’effacement est plus complexe en particulier si vous travaillez avec une base de données dans laquelle des relations sont définies entre les entités. Détruire des éléments peut rapidement mener à altérer l’intégrité structurelle de la base de données qui d’ailleurs, si elle a été correctement réalisée et utilise pleinement des contraintes d’intégrité, peut tout simplement rendre impossible la destruction de certaines données. Il faut donc appliquer le principe du Privacy by Design en prenant en compte le RGPD dès l’étape de conception d’une base de données. L’objectif est de ne pas se retrouver dans une impasse technique lorsque celle-ci sera en exploitation.
La conservation des données est également concernée par le RGPD. Vous avez vu précédemment qu’il est obligatoire de définir une durée de conservation pour les données à caractère personnel et que cela doit être explicitement indiqué dans la fiche de traitement. Les informations doivent respecter une politique d’archivage découpée en trois grandes périodes. Pour leur utilisation courante, les données sont stockées en base active et sont donc accessibles à une ou plusieurs applications dans le cadre du traitement. Les données ne doivent être conservées en ligne ou en base active que pour la durée nécessaire à la finalité. Ensuite, lorsque les données ne sont plus concernées par l’exploitation courante, elles sont transférées dans des archives intermédiaires si elles présentent un intérêt administratif. Il est ainsi encore possible d’accéder aux données afin par exemple d’émettre un justificatif à la demande de la personne concernée. Enfin, si les données présentent un intérêt historique, scientifique ou statistique, elles rejoignent les archives définitives dans lesquelles elles sont anonymisées ou pseudonymisées. Dans le cas contraire, les données font l’objet d’une procédure d’effacement.
CONCLUSION
Nous voici au terme de cette présentation des principales caractéristiques du Règlement Général sur la Protection des Données. Celui-ci enrichit sur de nombreux points la loi Informatique et Libertés et renforce les pouvoirs de la CNIL. Que l’on soit citoyen, informaticien dans le secteur public ou privé, responsable d’une association, il est donc essentiel de comprendre et d’appliquer le RGPD afin de mesurer avec précision la responsabilité et l’impact du traitement de données à caractère personnel.
