16 octobre 2021
Détermination des niveaux de risque et mise en œuvre des mesures de sécurité appropriées : voici les obligations structurantes de la mise en conformité avec le RGPD (Règlement Général sur la Protection des Données).
La sécurité des données personnelles est un élément central du plan de conformité. Toute entreprise doit la mettre en place depuis l‘application (en 2018) du règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Le renforcement des obligations relatives à la sécurité des données correspond à une volonté des autorités de réduire le nombre d'incidents de sécurité donnant lieu à la diffusion de données personnelles au préjudice des personnes physiques concernées et tout particulièrement de leur vie privée.
La consultation des dernières sanctions prononcées par la CNIL montre d'ailleurs qu'il s'agit d'une priorité pour l'autorité française de protection des données personnelles.
La dernière en date a été l'occasion de voir prononcer, pour la première fois, une amende de 40.000 euros pour violation de données.
La CNIL s'est appuyée de manière inédite sur les nouvelles règles issues de la loi république numérique entrée en vigueur en novembre 2016. Avant cette loi, seul un avertissement pouvait être prononcé.
Les obligations issues du RGPD en matière de sécurité des données
Il faut d'abord préciser que le RGPD repose sur une logique de responsabilisation et de transparence.
En matière de sécurité des données, ce principe impose aux entreprises de mettre en œuvre par elles-mêmes des mécanismes et des procédures internes permettant de démonter le respect des règles relatives à la protection et à la sécurité des données.
Le RGPD prévoit une obligation de garantir la sécurité des données personnelles par la mise en place de mesures adéquates sur un plan technique et organisationnel.
Cela passe par exemple par la pseudonymisation ou le chiffrement des données.
En pratique, il s'agit de se prémunir contre trois types de situations :
- défaut de confidentialité
- défaut de disponibilité (perte ou destruction de données résultant d'un acte malveillant ou d'un accident)
- ou défaut d'intégrité (altération des données résultant d'un acte malveillant ou d'un accident)
Cette première obligation n'est pas nouvelle. Le RGPD la renforce en précisant que les garanties doivent être intégrées par défaut au système d'information (principe du « security by default »).
De plus, il apporte quatre changements significatifs :
Premièrement,
pour chacun des traitements de données qu'elle opère, l'entreprise devra procéder à une évaluation des risques pour la vie privée.
Il s'agit d'identifier, analyser, estimer, traiter les risques et organiser leur évaluation de manière régulière. Et ce, afin d'être en capacité de déterminer les mesures qui lui permettront de se conformer à l'obligation de garantir la sécurité des données.
Dans certains cas, cette évaluation devra prendre la forme particulière d'une analyse d'impact. Elle pourra conduire à une obligation pour l'entreprise de se rapprocher de la CNIL pour valider les mesures de sécurité requises pour des traitements spécifiques.
L'analyse d'impact s'imposera par exemple pour les traitements de données sensibles ou les traitements utilisés pour faire du profilage automatique.
Les données sensibles sont des informations concernant l'origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu'avec le consentement explicite des personnes.
Deuxièmement,
l'obligation de notification des violations de données personnelles : sauf à ce qu'elles ne représentent aucun risque pour les droits et libertés des personnes physique (en pratique, les hypothèses seront peu nombreuses), le responsable de traitement devra notifier à la CNIL, dans un délai de 72h, les mesures prises pour remédier à la violation, atténuer ses conséquence négatives et apporter des garanties quant au risque de répétition de l'incident.
Il devra également fournir à l'autorité :
- une description de la violation et des données concernées
- les coordonnées du délégué à la protection des données
- une description de l'impact probable de la violation.
Troisièmement,
il faut relever que la réputation de l'entreprise sera particulièrement exposée lorsque l'information de chacune des personnes concernées sera requise. Toutes les fois où la violation représentera un risque élevé pour leurs droits et libertés, l'entreprise devra en faire part aux personnes concernées.
Quatrièmement,
l'obligation de mettre en œuvre les mesures de sécurité appropriées pèse désormais directement sur le sous-traitant et non seulement sur son donneur d'ordre, le responsable de traitement.
Le RGPD prévoit en effet une liste d'obligations à inclure dans le contrat entre le sous-traitant et son client.
Entre autres, le sous-traitant aura la charge de prendre toutes mesures requises pour assurer la sécurité du traitement. Il doit aussi aider le responsable du traitement à remplir ses obligations en matière de sécurité des données et de réalisation des analyses d'impact.
Afin de limiter sa responsabilité, le sous-traitant devra être particulièrement attentif à la rédaction de ses contrats, à la documentation des échanges et aux recommandations adressées à ses clients.
Il est important de préciser que ces obligations relatives à la sécurité des données personnelles s'ajoutent
à celles qui ont trait à la sécurisation du système d'information en tant que tel.
Par exemple, en matière de contrat de maintenance informatique, le prestataire est tenu par une obligation de conseil et de mise en garde de son client.
Une application particulière de cette obligation touche à la sécurité informatique et aux précautions qu'il doit inviter son client à prendre afin de limiter le risque d'incident de sécurité.
L'étude de ce risque est compatible et peut être menée en parallèle de l'évaluation des risques sur la vie privée. A titre d'exemple, il est utile de se référer à la méthode eBIos, méthode de gestion des risques publiée par l'Agence nationale de la sécurité des systèmes d'information (AnssI).
Les recommandations pratiques de la CNIL
La CNIL a diffusé en octobre 2017 un guide dont l'objectif est d'accompagner les entreprises dans leur plan de mise en conformité avec les obligations de sécurité des données personnelles.
Elle propose une méthode en quatre volets à laquelle il est utile de se référer :
1/ procéder au recensement des traitements de données personnelles. Afin de consolider cet inventaire, il est recommandé d'utiliser le modèle de registre de données proposé par la CNIL.
2/ procéder à une étude d'évaluation des risques pour la vie privée engendrés par chacun des traitements recensés. A cette fin la CNIL met à disposition un questionnaire d'évaluation.
3/ déterminer les mesures techniques et organisationnelles au vu des niveaux de risques. A cette fin la CNIL développe un volet de 17 fiches de recommandations concernant par exemple, la gestion des sites web, prestataires de maintenance ou sous- traitant.
4/ s'assurer de l'effectivité des mesures mises en place au moyen d'audits de sécurité périodiques.
Ce qu’il faut retenir sur le RGPD
- Cette directive obligatoire relative à la protection des données peut être « lourde » à intégrer dans les entreprises.
- Elle impose la mise en œuvre de multiples sécurités dans l'entreprise : c'est le côté positif !
- Les amendes administratives pour faute à la directive RGPD sont importantes : 20 millions d'euros, ou 4 % du C.A + réparation / dédommagement qui peuvent être exigés par les parties concernées