En avril 2016, l’Union Européenne a finalement adopté la règlementation spécifiquement consacrée à la protection des données personnelles des Européens, attendue de longue date : le Règlement Général de Protection des Données Personnelles (« RGDP »).
Ce texte est d’application directe dans tous les pays membres (contrairement à la précédente Directive européenne de 1995) et entrera pleinement en vigueur à compter de mai 2018. A cette date, toutes les entreprises dont les activités ou établissements sont basés sur le territoire européen, ou offrant des biens et services aux personnes physiques situées sur le territoire de l’UE, devront être conformes.
Il s’agit bien entendu de toutes les entités (entreprises, associations, administrations), tous secteurs industriels et économiques confondus, dès lors qu’elles manipulent des données personnelles : l’intégrateur qui développe un outil CRM, le groupe industriel qui échange des données clients avec ses filiales, le groupe de communication qui élabore des stratégies marketing et met en œuvre des traitements de profilage, l’entreprise qui déploie un système de gestion de paie, la banque qui délocalise la gestion de ses services IT, l’entreprise qui établit un profilage de ses clients, une société biomédicale qui gère des essais cliniques, une banque qui déploie un dispositif de gestion de la fraude, etc.
L’innovation la plus archétypale de cette nouvelle règlementation est que l’on passe d’un système de protection juridique statique, fondé sur des Déclarations CNIL préalables aux traitements et sur des contrôles CNIL postérieurs et ponctuels… à un système de protection technico-juridique dynamique d’auto-certification par les entreprises (plus de régime déclaratif mais un double principe « privacy by design / security by default ») et de justification permanente de la protection des données personnelles en leur sein. Dans ce nouveau paradigme, la confidentialité des données personnelles se confond très largement avec leur sécurité.
Le Règlement a d’ailleurs été largement pensé en prenant en compte l’existant en matière de sécurité de l’information. Confirmant la prophétie de Laurence Lessig selon laquelle, dans une économie désormais numérisée, « code is law », la nouvelle réglementation européenne axe la protection des données personnelles des citoyens et résidents européens sur la mise en œuvre structurelle, technique et permanente de protections techniques, codées et contrôlées, au sein de l’ensemble des outils et services numériques (qu’il s’agisse de l’IoT, de l’ensemble des services cloud, des smartphones ou de l’informatique industrielle). La question de la sécurité des données devient donc centrale, pour l’ensemble des activités commerciales, industrielles ou de services en Europe, et le rôle des experts de la sécurité va monter en puissance.
En effet, la protection des données personnelles n’est plus seulement une question juridique et contractuelle : elle adresse aussi la sécurité de l’information. Les outils de l’entreprise et ceux qu’elle acquiert auprès de tiers doivent répondre aux nouvelles exigences. De futures certifications et labellisations, encore inexistantes mais annoncées dans le Règlement, effectuées par rapport aux normes de sécurité, vont devenir incontournables.
Surtout, dans un certain nombre de cas exposés ci-après, l’entreprise doit mener une analyse préalable d’impact pour ensuite mesurer (i) les données qu’elle peut collecter sans contraintes, (ii) les données qui, présentant un risque selon leur nature ou leur utilisation, appellent une sécurisation renforcée, et en conséquence, (iii) de ce que doit être ou ne pas être son système d’information.
En effet, cette analyse est impérative dans les cas suivants :
- Les traitements présentent un risque élevé en termes de droits et libertés des personnes (traitement de données sensible telles que décisions de nature sociale ou fiscale, données bancaires ou financières, etc.) ;
- Les traitements concernent des données « particulières » au sens du RGDP (données de santé, données génétiques, biométriques, etc.) ;
- Les traitements portent sur une grande quantité de données (Big Data, etc.) ou consiste en une surveillance publique de large échelle (vidéosurveillance) ;
- Le traitement consiste en une évaluation systématique de la personne(profilage, onboarding, etc.)
L’analyse d’impact est une innovation du Règlement, qui puise son origine dans les pratiques et les normes de sécurité de l’information, lesquelles préconisent déjà des analyses de risques dans l’entreprise afin d’identifier la criticité des actifs et, en conséquence, les diligences de sécurité à mettre en œuvre.
En effet, les analyses de risques permettent, qu’il s’agisse d’intégrer une solution on-premise ou d’acquérir des services Cloud, d’effectuer une classification des données, de répertorier leur criticité pour l’entreprise (données stratégiques, données financières, fichiers de prospects, méthodes ou brevets, etc.) et de définir ensuite la politique de sécurité de l’information de l’entreprise (souvent doublée d’une charte informatique à l’intention des utilisateurs du SI).
Les diligences de sécurité qui peuvent figurer dans la PSSI présentent une très grande variété (sauvegardes, redondance, PCA, PRA, logiciels de sécurisation et verrouillage des serveurs, gestion des identifiants, traçabilité des accès et des actions, pare-feu, anti-virus, contrôle d’accès aux locaux, authentification forte, serveurs PCI-DSS, serveurs dédiés et/ou partitionnés, liaisons sécurisées type VP, solutions UTM, choix d’un Cloud public, privé ou hybride, cryptographie, gestion des accès et des habilitations, taux de disponibilité, SLA, RTO/RPO, politique BYOD, réversibilité, hébergement de santé, etc.).
La politique de sécurité peut également renvoyer à des normes (ISO 27001, SAS 70 remplacée par SSAE 16, R.G.S. de l’ANSSI, etc..) qu’il s’agit alors de mettre en œuvre, au besoin en faisant certifier ses installations.
L’implémentation technique et concrète du RGDP dans l’entreprise n’est donc pas un champ totalement vierge, au contraire : les équipes et prestataires en charge de la sécurité des systèmes et des données sont souvent déjà au fait de certains concepts et peuvent avantageusement participer au déploiement du RGDP dans l’entreprise.
L’analyse d’impact prévue par le RGDP ne recouvre pas exactement l’analyse de risques préconisée par les normes applicables en matière de sécurité, mais les schémas sont très voisins et les deux analyses peuvent être gérées conjointement, au sein d’une même démarche alliant compétences juridiques et sécurité.
L’analyse de risques repose sur une démarche globale de sécurisation du système d’information, en lien avec le modèle de management de la sécurité des systèmes d’information le plus pertinent pour l’entreprise. Il convient de convenir en interne ou de définir avec un expert de la sécurité externe d’une méthodologie d’analyse des risques, puis de définition du plan d’actions, et enfin une méthodologie d’évaluation de la conformité et de l’efficacité des mesures de sécurité, les indicateurs de mesure et les tableaux de bord.
L’analyse d’impact préconisée voire imposée par le RGDP aboutit quant à elle à la définition des règles de gestion à implémenter dans les outils numériques, des dispositifs de sécurité et de discrimination des données personnelles dans les systèmes, des dispositifs de suppression et purge des données personnelles en fonction des durées de conservation, ou encore de la politique de gestion des accès et habilitations en fonction des destinataires.
L’analyse aboutit aussi à des choix plus structurants tels que la tenue d’un registre des traitements pour les entreprises dont les effectifs sont inférieurs à 250 salariés, l’anonymisation ou pseudonymisation des données personnelles, l’opportunité d’effectuer un chiffrement des données personnelles voire d’abandonner la collecte de telle ou telle data trop contraignante.
Là où l’analyse de risques est orientée avant tout vers la protection des actifs de l’entreprise, l’analyse d’impact est orientée avant tout vers la protection des données personnelles des individus en rapport avec l’entreprise. Le point de vue n’est pas le même, mais les deux démarches se complètent pour une protection optimale des actifs et données de l’entreprise.
L’analyse d’impact est menée en même temps que l’analyse de risques afin qu’elles se complètent. En effet, l’analyse d’impact est une approche essentiellement juridique qui se double de l’approche essentiellement technique dont bénéficie l’analyse de risques, et permet de couvrir l’ensemble des enjeux liés à la sécurité. Compte tenu des exigences du RGDP, cette double approche, fondée sur deux expertises distinctes, est désormais indispensable.
Pour réussir la mise en conformité de l’entreprise au RGDP, il est en outre indispensable de désigner un pilote, de cartographier l’ensemble des traitements de données personnelles en vigueur en son sein, de bien comprendre les finalités poursuivies et les projets envisagés, de prioriser les actions dans le cadre d’un rétroplanning rigoureux, de définir une méthode de pilotage de ce qui est un véritable projet de refonte de l’entreprise et de ses processus internes (privacy by design, sensibilisation des collaborateurs, traitement des demandes émanant des personnes physiques, suivi des incidents de sécurité, respect de l’obligation d’alerte et mise en œuvre des procédures en cas de violation des données personnelles, etc.) et de documenter l’ensemble de ce qui est fait dans l’entreprise, mais aussi chez ses fournisseurs de technologie et ses sous-traitants, pour être continuellement capable de démontrer ses actions.
Le chantier est vaste, il fait intervenir de nombreuses populations distinctes dans l’entreprise : il implique donc également un « sponsor » au niveau de la Direction générale afin d’impulser l’effort nécessaire, en même temps que le recours à des experts externes qui soutiendront l’effort et guideront l’entreprise.
Article issu du blog de la Commission sécurité d’Eurocloud, à laquelle participe Thomas Beaugrand
Ecrit par Thomas Beaugrand et Luc Herbert d’Orasys