Nos vies numériques sous haute protection (ANALYSE)

Dès le 25 mai 2018, les entreprises belges, comme leurs homologues européennes, devront gérer de manière très précise et sécurisée la masse de données privées relatives à leurs clients, et encourent des peines très lourdes en cas de défaut. Le cadre européen applicable dans ses principes au niveau des Etats membres, est dénommé en anglais "General Data Protection Regulation" (GDPR) ou règlement général pour la protection des données (RGPD) en français. Voilà déjà une base pour les recherches de documentation en ligne. Et pour faire plus simple, voici un lien vers la documentation en ligne fournie par la Commission vie privée : http://bit.ly/dataslalibre. C’est que, de la doc’, il y en a tant, et souvent si rebutante, qu’on ne sait par où commencer.

Or, la protection des données est devenue cruciale. Il n’est pas une semaine sans l’annonce de problèmes de confidentialité ou de fuites de données sensibles. Et si celles-ci ne sont pas nécessairement lourdes de sens pour les personnes, elles le sont souvent pour les entreprises dont la crédibilité en est affectée.

A l’exemple de Yahoo qui avait été victime d’un piratage et qui a vu sa valeur de revente amputée de 350 millions de dollars pour cette raison. Dernier cas en date : celui de la société américaine de crédit Equifax qui a ainsi vu s’envoler les données de 145,5 millions de clients américains et celles de 700 000 privés britanniques. La "home page" du site Equifax est parlante : sous un lien renvoyant à des explications sur la fuite de données figure un panneau indiquant qu’aucun produit financier n’est disponible pour le moment… C’est que pour Equifax, l’heure est grave : les premiers éléments d’information montrent que l’accident est lié à une négligence du service informatique. Triste exemple de… ce qui pourrait bien se passer chez nous demain.

Dans nos entreprises belges qui récoltent, avec plus ou moins de pertinence, des données relatives aux parties prenantes, clients ou fournisseurs, et qui partagent certaines données, le chantier de sécurisation est immense et devrait, le cas échéant, être confié à des spécialistes de ce nouveau métier : les "datas protection officers". "Il en faudrait quelque 28 000 en UE", nous assure l’avocat Christophe Boeraeve (cabinet Law Right), qui a suivi une formation ad hoc. Quel est le profil de ce "bodygard" numérique ? "Il se situe entre l’informaticien et le juriste. En réalité, il n’existe actuellement que des formations certificatives données par des organismes privés."

Et… où en est-on en Belgique ? Martijn van Lom, General Manager, Kaspersky Lab Benelux, cité dans un communiqué, assure que "bon nombre d’entreprises se mettent en danger, elles et leurs clients, en ne se préoccupant pas de la manière dont les données personnelles devront bientôt être traitées et protégées. L’échéance est la même pour toutes les entreprises, indépendamment de leur taille, secteur ou emplacement. C’est la raison pour laquelle elles doivent prendre des mesures dès à présent pour s’attaquer au traitement des données."

Pour Christophe Boeraeve, les entreprises sont très inégales face à ce chantier, selon leurs activités et leurs rapports aux parties prenantes. Mais les mesures à prendre découlent avant tout du bon sens. "C’est normal et intuitif : plus vos technologies/finalités du traitement sont intrusives en matière de vie privée, plus vous devrez vous organiser pour obtenir un consentement explicite." Les principes sont énoncés dans l’article 32 du règlement, le reste, c’est de la technologie, de la pseudonymisation et du chiffrement, notamment, ainsi que des procédures de sécurisation automatiques, et la possibilité de vérifier de manière indépendante la validité des mesures et des processus.

On comprendra que la mise en œuvre du RGPD est une véritable mine d’or pour les consultants… D’autant que le risque financier en cas de brèche est énorme. "Les amendes sont réparties en deux catégories en fonction de la nature des manquements : maximum 10 millions d’euros ou 2 % du chiffre d’affaires mondial de l’exercice précédent ou maximum 20 millions ou 4 % du chiffre d’affaires mondial de l’exercice précédent. C’est, dans tous les cas, le montant le plus élevé qui est retenu", sourit Maître Boeraeve. Cela étant, pour beaucoup d’entreprises, le RGPD n’est qu’un renforcement des règles déjà en application, et il suffira d’effectuer une (pas toujours) simple mise en conformité.

Vers qui se tourner en cas de soucis ? C’est la Commission Vie privée qui traitera les dossiers. Elle va d’ailleurs changer de nom pour devenir "Autorité de contrôle des données", dotée de pouvoirs élargis de contrôle et de sanction alors qu’elle n’avait auparavant qu’une compétence d’avis. Les éventuelles sanctions infligées par ce nouveau tribunal qui ne dit pas son nom seront évidemment susceptibles d’appel devant une chambre spécialisée.

L’Autorité de contrôle des données sera renouvelée en fonction de ses nouvelles responsabilités. "En effet, elle sera composée de six entités. Mais ce qui est surtout novateur, c’est la notion de règlement européen", reprend Maître Boeraeve. "Pour la première fois, l’Union européenne rend applicable une réglementation unique applicable de manière identique sur l’ensemble de son territoire et même au-delà, dans l’Espace économique européen (EEE). Contrairement à une directive, le règlement est directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents Etats membres. Le même texte s’applique donc dans toute l’Union européenne, dès le 25 mai prochain."

Cas n°1: entreprise de recrutement ou de marketing déjà sécurisé

Conforme au RGPD. Ici, explique l’avocat Christophe Boeraeve, dirigeants et employés ont conscience des mesures en place. L’entreprise tient un registre déjà audité des données à caractère personnel, de leur origine et de qui les partage. La déclaration de confidentialité est adaptée, des procédures existent qui permettent aux personnes d’invoquer les droits relatifs à leurs données, jusqu’à la possibilité de les supprimer. Ces formulaires permettent de vérifier l’âge des personnes et de demander, le cas échéant, l’agrément d’un adulte responsable. Les parties prenantes de l’entreprise sont impliquées dans la prévention, la détection et le rapportage de fuites de données. Un délégué à la protection des données est désigné et préparé. Les contrats existants ont été adaptés et l’entreprise sait de quelle autorité de contrôle elle relève, surtout au niveau international.

Cas n°2: un cabinet comptable qui n'a pas pris de mesures spéciales

Traiter des données limitées et les protéger. En pratique, le professionnel du chiffre traitera les données sur la base du consentement, nous explique l’avocat Christophe Boeraeve. Et cela, afin de pouvoir exécuter sa mission, respecter une obligation légale, comptable, fiscale ou de sécurité sociale sur base des données de son client et aux fins de ses intérêts légitimes. Le consentement que le cabinet comptable doit recevoir devra être donné en réponse à une demande présentée sous une forme qui la distingue clairement des autres questions "techniques", sous une forme compréhensible et aisément accessible. Le principe à suivre est celui de la limitation des données récoltées. Comme pour toute entreprise collectant des données, le risque à gérer est d’être victime d’une violation des données à caractère personnel, et leur diffusion publique.

Cas n°3: un club privé un peu "chaud" qui ne sait pas ce qu’il risque

Sécuriser ou prendre un risque énorme. Que se passe-t-il si les membres d’un club privé et certaines de leurs particularités (richesse, orientation sexuelle ou autres) sont déballées sur la place publique ? C’est une catastrophe pour les membres et l’entreprise, si elle utilise un système de gestion des données à caractère personnel (identification des personnes par photo ou biométrie). Ici, les conditions du traitement des données sont limitées et compliquées, tout comme le consentement requis. Le consentement pour les catégories particulières de données (voir "données sensibles", par ailleurs) doit, quant à lui, être explicite et pour une ou plusieurs finalités spécifiques. Ce club privé se voit particulièrement exposé aux mesures à prendre pour sauvegarder et sécuriser ces données pour éviter toute violation. Les amendes prévues sont très dissuasives.

Entreprises belges mal préparées

Elles ne connaissent même pas le sujet. D’après un sondage réalisé par le spécialiste de l’antivirus Kaspersky Lab, 16 % des entreprises belges n’ont jamais entendu parler du RGPD, et 32 % en ont entendu parler sans savoir de quoi il retourne, à 8 mois de son entrée en vigueur. Un tiers des professionnels de l’informatique en Belgique pensent que leur organisation ne sera pas en mesure de se conformer entièrement au règlement en mai 2018, alors que ce pourcentage ne s’élève qu’à 19 % aux Pays-Bas.

Quelles sont les données sensibles visées par le règlement ?

1. L’origine raciale ou ethnique.

2. Les opinions politiques.

3. Les convictions religieuses ou philosophiques.

4. L’appartenance syndicale.

5. Le traitement des données génétiques.

6. Les données biométriques aux fins d’identifier une personne physique de manière unique.

7. Les données concernant la santé.

8. Les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.