Actualités

La nouvelle réglementation Européenne pour la protection des données est entrée en vigueur il y a près d’un an et les entreprises concernées doivent se mettre en conformité avant fin Mai 2018. S’agissant d’une réglementation européenne, la Suisse pourrait ne pas se sentir concernée… Et bien ce serait une (grave) erreur !

A moins d’être une entreprise Suisse n’offrant des services qu’en Suisse et ne traitant aucune donnée à caractère personnel d’individus de membres de l’Union Européenne, alors vous êtes concernés.

Et cela risque in fine d’être la grande majorité des entreprises (PME ou grands groupes) de la confédération. De plus, la Suisse fait partie de cet espace économique et l’harmonisation des règles sera certainement une priorité pour la confédération lors de la révision de la LPD (Loi sur la Protection des Données), et pour les cantons pour leur législation locale. Donc autant se préparer. Mais avant tout, qu’est ce que cela implique exactement ?

GDPR vs réglementation Suisse actuelle

Des points communs…

Nous ne partons heureusement pas de rien. Le cadre réglementaire suisse actuel définit déjà un certain nombre de concepts et de règles qui servent aussi de base à la nouvelle réglementation européenne :

  • La notion de « donnée personnelle », même si la GDPR est un peu plus précise sur ce que cela inclut (numéro d’identification, identifiant « en ligne », emplacement…)
  • La notion de « donnée sensible » lorsque les informations collectées concernent les opinions religieuses, philosophiques, la sphère intime…
  • Exige que les données ne soient collectées que pour un traitement bien spécifique et clairement défini (principe de proportionnalité)
  • Exige que les traitements incluent la mise en œuvre de moyens techniques et organisationnels visant à garantir la protection des données personnelles
  • Exige que le responsable du traitement garantisse l’exactitude des données traitées
  • Exige que le traitement des données personnelles soit réalisé de façon licite (régit par des lois, ou par le consentement des sujets auxquels se rapportent les données).

Par ailleurs, votre entreprise est peut être déjà soumise aux règles FINMA, plutôt strictes pour la protection des données des « Clients ». Mais notez bien que la GDPR ne concerne pas uniquement les clients. Toutes les données personnelles collectées en rapport avec des citoyens de l’EU sont concernées…

… des nouvelles exigences…

De nouvelles règles apparaissent et les subtilités sont nombreuses, mais je vais vous présenter ici seulement les changements les plus impactants.

  • Obligation de notification : En cas de « fuite de données personnelles », l’entreprise a l’obligation d’avertir les autorités de contrôle dans les 72 heures. La Suisse n’étant pas membre de l’UE, l’autorité de contrôle sera dans l’état membre de l’individu auquel se rapporte les données.

Ceci est surtout un changement culturel majeur. En Suisse aujourd’hui, s’il est difficile d’avoir des statistiques sur les brèches de sécurité, c’est qu’il n’y a pas d’obligation de révéler l’occurrence d’un incident. A noter que l’on ne parle pas de divulgation « publique » de l’incident.

  • Désignation d’un délégué à la protection des données avec des tâches bien définies (conformité, documentation, reporting, liaison avec l’autorité de contrôle, analyses d’impact des traitements sur les données…)

Dans le cadre du projet de mise en conformité, si l’entreprise parvient à démontrer que la quantité de données personnelles concernant des individus citoyens de l’UE est faible et le traitement des ces dernières peu fréquent, il peut en être exempté.

  • Analyse d’impact sur la vie privée obligatoire pour tout traitement de masse de données personnelles

Obligatoire entre autre lorsque ces traitements de masse concernent des « données sensibles ».

  • Pour les entreprises dans les pays non membres de l’UE, désignation d’un représentant dans l’état membre des individus dont les données sont collectées

Pour l’instant, difficile d’imaginer une société suisse avec un site e-commerce, ou collectant des données sur les utilisateurs d’un site institutionnel, devoir mandater un représentant par état membre de l’UE. Idem d’ailleurs pour les autres pays dans le monde. A suivre…

  • Protection de la vie privée par défaut, et « by design » : les outils de traitement doivent prévoir dès la conception les mécanismes pour limiter au strict minimum l’accès au données personnelles, et faire en sorte que ces mécanismes soit configurés au plus restrictif par défaut.

L’objectif ici sera de démontrer que tous les traitements en place utilisent des mesures (qu’elles soient techniques ou organisationnelles) à l’état de l’art pour garantir la protection des données.

On peut citer par exemple la segmentation réseau, la prévention de fuite de données (Data Loss Prevention), la protection contre les attaques applicatives (Web Application Firewall), les audits et scans de vulnérabilité, la gestion du facteur humain (User Awareness, Training), la protection de l’intégrité des données (antimalware), la traçabilité et imputabilité des accès (Politiques de sécurité, Contrôle d’Accès, Log Management).

D’un point de vue technologique, compte tenu de l’état de la menace actuel, ce sont des mesures qui devraient déjà être en place, mais l’expérience montre que ce n’est pas toujours le cas…

  • Droit à la portabilité des données : tout individu dont les données ont été collectées peut exiger de les récupérer d’un seul bloc, dans un format « structuré » et adapté au traitement informatique. En vue, par exemple, de pouvoir les transmettre à une autre entité de son choix.

Aujourd’hui aucune information n’est disponible sur le format et dans ce cas il n’est pas possible de garantir une portabilité efficace. Difficile à dire comment cela va se traduire dans les faits d’ici Mai 2018. Peut être que les approches de LinkedIn, et Facebook par exemple serviront de source d’inspiration.

  • Droit à l’oubli : tout individu dont les données ont été collectées peut exiger leur suppression « sans délai »

Le droit à l’oubli est un rêve déjà depuis plusieurs années. Mais concrètement cela semble assez difficile à mettre en oeuvre, surtout dans le contexte où l’emplacement des données est de plus en plus difficile à tracer (sauvegardes hors site, sauvegardes dans le Cloud, sauvegardes de sauvegardes…). Un bon début serait de s’assurer de pouvoir conserver le lien entre l’identité d’un individu et toutes les données le concernant.

  • Consentement explicite : la LPD aujourd’hui prévoit que si le traitement des données est en lien avec un contrat signé avec l’individu à qui se rapporte les données, alors le traitement est licite. La GDPR prévoit en revanche que le consentement lié au traitement des données personnelles doit être explicite et distinct de la signature du contrat.

Cet article sous entend que lors d’une nouvelle relation entre une entreprise et un client, une signature concerne le contrat, et une autre signature distincte concerne l’acceptation de la collecte et du traitement des données personnelles.

… et des punitions sévères.

20 000 000 EUR ou 4 % du chiffre d’affaires annuel mondial. Le montant le plus élevé des deux étant retenu en cas d’infraction et non respect des injonctions de remise en conformité émises par l’autorité de contrôle. Et l’histoire montre que l’UE a tendance à ne pas transiger sur les amendes lors des affaires « anti-trust » il y a quelques années.

Par où commencer ?

Comme toute modification de réglementation, cela peut faire peur… Ce changement doit être piloté suivant une approche « top down », car ni le responsable Informatique, ni le responsable sécurité n’est à même de gérer ce sujet seul… même avec toute la bonne volonté du monde. C’est d’abord un sujet de conformité. Pour l’adresser :

  • Déterminer l’applicabilité : c’est une réglementation européenne. Il y a de fortes chances que la majorité des entreprises suisses soient concernées, mais le travail d’analyse est tout de même à faire.
  • Analyse des écarts : déterminer où vous en êtes par rapport à ce qui est demandé par la réglementation. En fait c’est la phase clé du projet, identifier les données sensibles et leur niveau de protection actuel et identifier quelles protections / procédures / technologies sont requises pour être conforme.
  • Plan d’action : planifier et réaliser les changements nécessaires et l’implémentation des mesures de sécurité techniques et organisationnelles requises.
  • Certification ? : c’est prévu dans la GDPR. Pour l’instant à ma connaissance il n’y a pas d’organisme certificateur « GDPR » connu, mais cela devrait arriver. Et peut être qu’une certification permettrait de faciliter la preuve de conformité vis à vis des autorités.

Références

 

Yoann Le Corvic

Yoann Le Corvic

Senior Security Engineer & ISO 27001 Lead Auditor

Demande d'inscription à notre newsletter

Rejoignez notre mailing liste pour rester informé sur votre sécurité !

Votre demande d'inscription a bien été enregistrée!