Le Règlement général sur la protection des données personnelles, qui entrera en vigueur le 25 mai, est, à plusieurs égards, un gigantesque bouleversement pour les entreprises en ce sens que ce jour-là à 0 h 01, date et heure de son entrée en vigueur, il y aura un Big Bang qui va créer l’univers de la protection des données personnelles au sein de l’Union européenne. A cet instant les dispositions du RGPD seront obligatoires et applicables aux 511,8 millions de citoyens dans l’UE. Décryptage avec Robert Williams, fondateur de la société informatique dijonnaise AMG.
Dijon l’Hebdo : Vous êtes dans les starting blocks ?
Robert Williams : « Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD)entrera en vigueur. À l’heure qu’il est, la majeure partie du monde IT (Technologie de l’Information) connaît les principes de base de ce règlement, mais la majorité des entreprises ne sait pas vraiment quelles mesures adopter pour être en conformité.
L’article 1 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés précise que « L’informatique doit être au service de chaque citoyen. […] Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » Ainsi, le RGPD entend prévenir les atteintes aux droits et aux libertés et donner aux individus un droit de regard sur l’usage et la qualité des données les concernant, mais aussi concilier les valeurs fondamentales du respect de la vie privée et la protection des données à caractère personnel(DCP)avec la libre circulation de l’information entre les États. »
DLH : Qu’est-ce que le RGPD ?
R. W : « Pour reprendre l’expression de Monsieur Jourdain dans Le Bourgeois gentilhommede Molière dans le but de démystifier cet acronyme barbare, toutes les entreprises font de la prose sans le savoir en étant en non-conformité alors que les bases de cette réglementation ont près de 40 ans…
Cette réglementation européenne se penche tout particulièrement sur la « violation des données personnelles ».L’usage de fichiers contenant des informations à caractère personnel non sécurisé présentant un risque de destruction, de divulgation, facilité d’accès, accès non autorisé à des données personnelles stockées ou traitées, rentre dans cette réglementation.
Sous le RGPD et dans le cadre de telles violations de données, les faits doivent immédiatement être signalés, aussi bien aux autorités qu’aux individus concernés. Le principe de base est clair : les individus sont propriétaires de leurs données personnelles et devraient avoir tout contrôle sur ces données. Exemple : se reporter aux excès de Google, Facebook, etc…
Le règlement définit les « données personnelles » comme étant tout type d’information portant sur une personne physique identifiée ou identifiable comme le nom, une photo, une adresse électronique, des coordonnées bancaires, des messages publiés sur des réseaux sociaux, des informations médicales, ou l’adresse IP d’un ordinateur. »
DLH : À qui s’applique le RGPD ?
R. W : « Le RGPD s’applique à toute entreprise ou entité détenant ou traitant les données personnelles de personnes qui incluent les informations d’ordre génétique, biométrique, culturel, politique, économique, social, mental et religieux. »
En quoi une entreprise est-elle vraiment concernée ?
R. W : « Le RGPDcomprend un certain nombre de réglementations et de recommandations assez complexes, et pour bien comprendre comment celles-ci vont affecter leurs activités, les entreprises doivent procéder à une analyse approfondie. Le RGPD établit des obligations spécifiques pour les responsables et les sous-traitants de données personnelles.
Pour commencer, chaque entité doit se conformer aux droits fondamentaux de la personne concernée : formulaire de consentement clair et précis, droit d’accès aux données, droit à la portabilité des données, droit à l’oubli et notification rapide de toute violation des données.
Tenue de registres : chaque responsable et sous-traitant doit tenir un registre de tous les types de traitements des données utilisés.
Sécurité et résilience : la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes de traitement et des services doivent être assurées en tout temps.
Reprise sur sinistre : il faut disposer de la capacité de rétablir la disponibilité et l’accès aux données personnelles en temps opportun en cas de survenue d’un incident physique ou technique.
Notification des failles : toute violation de données personnelles doit être notifiée dans les meilleurs délais, et dans la mesure du possible, au plus tard dans les 72 heures. »
DLH : Où commencer ?
R. W : « Si vous disposez de ressources au sein de votre activité ou si vous êtes responsable de l’infrastructure IT au sein de votre entreprise et du transit des données que vous recueillez, une bonne chose à faire consiste à identifier une solution qui vous permettra de consolider vos fichiers de données en les soumettant à un protocole de contrôle de sécurité et d’accès.
L’authentification : via une méthode d’authentification de l’utilisateur rigoureuse.
La protection des données : grâce à des capacités embarquées de sauvegarde/restauration des données associées à des captures d’écran précises.
La reprise sur sinistre (DR) : grâce à des capacités de reprise sur sinistre intégrées permettant de restaurer rapidement les données personnelles en cas de défaillance du système ou d’installations endommagées.
Le chiffrement des données : toutes les données doivent être chiffrées, aussi bien à l’état inactif qu’en transit.
Confidentialité des données : les données sauvegardées sur la plateforme doivent en outre être protégées par une phrase secrète pour veiller à ce que seul le propriétaire des données puisse y accéder.
Contrôle de l’emplacement des données : veillez à avoir le contrôle total de l’emplacement de stockage des données. Aucune donnée personnelle ne pourra quitter son lieu de stockage sans instructions spécifiques.
Le non-respect des directives du RGPD aura de graves conséquences pour les entreprises qui ne seront pas en conformité. Les entreprises qui ne satisferont pas aux exigences stipulées dans le GDPR s’exposent à des amendes substantielles : jusqu’à 20 millions d’euros ou 4,00 % de leurs revenus (chiffre d’affaires) annuels pour les infractions les plus graves.
L’ère du BIG DATA a démultiplié le stockage d’une masse d’information qui n’est pas sans poser de problèmes, elle a également conduit à des difficultés de confidentialité des données qui ont à leur tour, donné lieu à de nouvelles réglementations telles que le RGPD
Depuis quelques années déjà, les données personnelles et la sécurité de ces données font l’objet d’un intérêt médiatique et social certain. Nous avons pu le voir très récemment, au sujet de l’affaire Facebook et Cambridge Analytica, avec le scandale de la brèche des données des utilisateurs du réseau social et de laquelle le fondateur de Facebook, Mark Zuckerberg a du répondre devant le Sénat américain. »
Propos recueillis par Pierre Solainjeu
