GDPR : nouveau bug de l’an 2000 ou réelle opportunité ?
Le GDPR a pour principale vertu de rappeler combien la protection des données personnelles est importante, estime Fabien Huraux, CRO / CISO / DPO, EBRC.
° Le temps est compté. Du coup, le projet -important et complexe- paraît d’autant plus difficile à mener. Et certains établissent un parallèle entre le GDPR et le bug de l’an 2000… Le risque est-il comparable ?
«Au final, aucune catastrophe majeure n’a été répertoriée le premier jour de l’an 2000, la fameuse ‘bombe à retardement’ n’a tout simplement pas explosé ! Aujourd’hui, nouvelle échéance : le 25 mai 2018. Place au GDPR. Une fois de plus, il y a une forte médiatisation autour de la réglementation -compte tenu, en particulier, de l’importance des amendes. En revanche, si l’on en croit les études, les entreprises ne se mobilisent pas de la même manière pour atténuer le risque de non-conformité. De fait, alors que l’arrivée du 1er janvier 2000 était certaine, la manière dont les régulateurs de l’Union européenne appliqueront la nouvelle réglementation est beaucoup moins assurée. Si les pénalités peuvent être lourdes sur le papier, le risque en pratique, lui, est encore inconnu. Je note aussi que les organisations semblent avoir du mal à comprendre la réglementation et à déterminer les actions concrètes qu’elles doivent entreprendre pour assurer leur conformité.»
° Le GDPR serait-il trop complexe ?
«L’étendue du champ d’action du nouveau règlement peut effectivement inquiéter. La première étape critique dans le respect du GDPR est une compréhension globale de l’emplacement de toutes les données personnelles détenues par l’entreprise. Aussi, la mise en place d’une cartographie situant l’emplacement des données, de leur accès, de la durée de leur stockage et de leur déplacement, est essentielle. Dans cet exercice, il faudra tenir compte de la localisation des données, celles-ci pouvant résider au sein de systèmes différents et se présenter sous diverses formes. Il peut s’agir, par exemple, de flux de réseaux sociaux générés lorsqu’un client émet une demande de service, de systèmes analytiques qui capturent le parcours du client sur le site Web d’un établissement, d’appels des clients au centre de contact pour formuler une demande, voire la capture de documents papiers provenant d’un client notifiant son changement d’adresse...»
° La vraie difficulté ne provient-elle pas du fait que les résidents de l’Union européenne disposeront de la visibilité sur l’ensemble de leurs données personnelles en demandant un droit d’accès ?
«Tout un chacun aura la possibilité d’exiger que les données soient corrigées, exportées ou supprimées. Dans ce sens, le ‘droit à l’oubli’ -ô combien nécessaire !- est très impactant. Il oblige les entreprises à supprimer de leurs systèmes toutes les données d’un client si celui-ci le demande… De manière plus générale, le GDPR impose un contrôle poussé et continu des données et de leurs flux.
«Cette volonté de mise en conformité impacte directement les différentes politiques de sécurité informatique, demandant par là même à l’entreprise une implication de ses ressources sur ces problématiques. C’est l’ensemble de l’environnement de l’organisation qui est concerné.»
° Faut-il comprendre par là que tout un chacun dans l’entreprise sera plus impliqué dans la protection des données et, plus généralement, dans la sécurité ?
«Les politiques de sécurisation initialement fondées sur le traitement des risques pour l’entreprise et son activité doivent maintenant intégrer les risques impactant les libertés et droits de personnes physiques. Le GDPR introduit le principe de ‘privacy by design’ selon lequel la protection des données doit être anticipée et appréhendée globalement tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même.
«Le GDPR consacre également la pratique du ‘privacy by default’ en lien direct avec les principes de proportionnalité et de minimisation des données, selon laquelle il faut garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité́ spécifique du traitement sont traitée. C’est l’ensemble de l’environnement de l’organisation qui sera impacté.»
° Techniquement, le GDPR introduit aussi des techniques comme la pseudonymisation et le chiffrement. Dans quel but ?
« …Limiter les risques pour les personnes et respecter les principes de protection des données dès la conception et de protection des données par défaut.
«La pseudonymisation permet un traitement de données à caractère personnel sans toutefois qu’elles puissent être attribuées à une personne précise sans recours à des informations supplémentaires qui doivent être conservées séparément et de manière sécurisée pour éviter toute ré-identification de la personne. Le chiffrement, lui, permet de rendre les données inintelligibles aux entités extérieures à leur traitement.»
° C’est donc toute la notion de risque qui change…
«Les risques s’apprécient au regard des droits et libertés des personnes physiques. Il s’agit des risques résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite qui sont susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral aux personnes concernées.
Tel est le cas lorsque le traitement pourra donner lieu à une discrimination, un vol, une usurpation d’identité, une perte financière, une atteinte à la réputation, une perte de confidentialité de données protégées par le secret professionnel, un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important.»
° Le temps file, l’échéance approche. Mais, contrairement au bug de l’an 2000, nombre d’entreprises ne savent pas très bien comment mener ce projet qu’elles considèrent dès lors comme une contrainte de plus…
«L’an 2000 était une échéance immédiate, en une seule fois, sur une seconde. Le GDPR, lui, est un projet à part entière, avec de nombreux chantiers, que l’on peut mener par étapes. Plus qu’un projet technique, c’est un projet organisationnel, impliquant le personnel de l’entreprise. La conformité au GDPR est un travail de concertation : il implique d’interroger les juristes experts de la question en amont, d’engager les analyses d’impacts exigées par le règlement, de solliciter les experts de la sécurité informatique qui indiqueront comment réorganiser les processus et se conformer aux normes de sécurité et interroger les éditeurs logiciels ou cloud sur les changements qui seront déployés sur leurs technologies dans les mois à venir. Le projet doit également engager l’ensemble des niveaux de la hiérarchie.
«Il ne faut pas se tromper de sujet. Le vrai sujet du GDPR n’est pas tant celui de la conformité à des règles complexes orientées vers la protection de l’individu que celui de l’organisation de l’information au sein de l’entreprise. Il s’agit donc de mesurer l’exposition de l’entreprise ou l’administration à des cyber-menaces, remonter et présenter l’information au bon niveau décisionnel pour piloter efficacement sa politique de cybersécurité, garantir la mise en œuvre des mesures de sécurité dans la durée, démontrer sa conformité aux règlementations de plus en plus nombreuses et contraignantes, impliquer tous les acteurs dans la démarche de cyber-protection et orchestrer sa politique de cybersécurité. En cela, le GDPR est un vecteur de confiance numérique, l’une des clés de la réputation et du succès des entreprises. C’est donc une formidable opportunité !»
Rétroliens/Pingbacks