Le GDPR (General Data Protection Regulation) qu'est ce que c'est ..?
En France, on connaissait la loi du 6 janvier 1978, dite Loi Informatique et Libertés, rafraîchit depuis par la réforme du 6 août 2004 suite à des directives européennes.
Cette fois Bruxelles met les bouchées doubles et pousse plus loin l'unification des règles liées au numérique avec un règlement (donc d'application directe!) relatif à la récolte, la diffusion et la conservation de la data des particuliers par les entreprises mais également les associations, administrations, collectivités locales et syndicats d'entreprises.
Le GDPR, General Data Protection Regulation
Au stade de projet depuis 2015, le règlement a été voté en 2016, et sera donc d'application obligatoire pour tous les acteurs concernés dès mai 2018.
Jusqu'à présent chaque pays membre de l'Union Européenne réglementait les activités relatives à la récolte d'informations via internet par des réglementations distinctes, propres à chacun.
L'objectif principal du GDPR est de faire tomber les frontières conventionnelles et d'unifier les systèmes de sanctions distincts.
Le second objectif est de renforcer la législation en matière de protection des données.
La protection des individus contre toute manipulation malveillante des informations qu'ils ont pu distiller sur la toile y est érigée comme motivation principale de l'ensemble des mesures présentées dans les 88 pages qui composent le règlement.
Les devoirs des acteurs tourneront autour de tout type de data qu'elle soit récoltée directement ou non, se trouvant sur des terminaux desktop (ordinateurs), des terminaux mobiles ou des serveurs, dans des échanges emails ou dans la consignation des logs et du traçage, même non identifiés, des visiteurs du site Internet de l’entité.
Les obligations à tenir à date
Dès mai 2018, les organisations devront se plier aux convenances suivantes :
- Assurer un consentement éclairé et informé des individus dont elles traitent les données, pouvoir le recueillir ou le prouver à tout moment
- Veiller à ce que seules des données nécessaires à la finalité en cause soient collectées (acquisition de leads...)
- Sur demande des individus concernés, la data pourra à tout moment être modifiée, restituée ou effacée
- Les informations devront être sécurisées, contre la perte, le vol ou la divulgation. Si toutefois un tel événement, ouvrant à un risque réel d'atteinte à la vie privée, se produisait, le/les individus concernés ainsi que l'autorité compétente du pays (en France la CNIL) devraient être informés dans les 72H
- L'entreprise devra matérialiser toutes les actions opérées sur les données (dont justement, leur protection)
A tout moment, l'entreprise devra être en mesure de prouver aux autorités compétentes que l'ensemble de ses obligations sont respectées et mises en oeuvre, sous peine de s'exposer à des sanctions.
L'approche de la GDPR est celle de la cyber-résilience : possibilité de prouver à tout moment par une entité de la qualité, la quantité, la localisation, l'objectif de la collecte de data ainsi que de leur mode de gestion.
Si les conventions d'exploitation ne sont pas respectées la répression peut aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaire. Aucun plafond n'a été établi pour la rémunération des personnes lésées, qui sera bien entendu également à la charge de l'exploitant faussaire.
Les priorités pour les exploitants de data
Ces obligations sont vues comme une base à l'exploitation à bon escient d'informations qui représentent un poids conséquent en terme économique.
Les travaux à mettre en place en amont de l'obligation représentent bien entendu un coût non négligeable pour les concernés, cependant les institutions considèrent qu'il sera vite rentabilisé par l'acquisition de données plus qualifiées, mieux classées, mieux protégées, donc exploitées de façon plus optimale. A noter en sachant qu'avec l'explosion des leviers qu'offrent internet, on tend de plus en plus à l'émergence et la transformation de business model basé uniquement sur ces métayages.
Bien mis en place, ce plan devrait renforcer la transparence et donc augmenter la confiance des citoyens pour les entités extractrices de datas.
Dans ce magma institutionnel, il est bon de dégager des priorités pour les acteurs :
- Désigner, s'il est nécessaire, un "délégué à la protection des données" ou "correspondant informatique et liberté" qui sera l'interlocuteur privilégié auprès de la CNIL lorsque des justifications sont nécessaires. Il est obligatoire si le responsable de traitement est un organisme public, si l’activité du responsable de traitement ou du sous-traitant « exige un suivi régulier et systématique à grande échelle des personnes concernées » ou encore lorsque l’activité du responsable de traitement ou du sous-traitant consiste en un « traitement à grande échelle » de données particulières telles que des données de santé, données sur l’opinion politique ou religieuse, l’orientation sexuelle, etc.
- Recenser l'ensemble des documents détenus par l'entreprise, que ce soit par les services juridiques, sécurité, informatique...
- Réaliser à partir de cette base, une cartographie du réseau de données (où vont-elles? que contiennent t-elles?) et pouvoir les sécuriser
- Evaluer l'impact de la détention de ces données sur la vie privée des concernés : sécuriser les données en mouvement ou au repos et signaler et documenter toutes les actions réalisées
Ces actions constitueront une base qualitative pour de futures actions de récolte de données qualifiées, et en accord avec les nouvelles réglementations.