Nouvelle règlementation sur la protection des données personnelles : quelles bonnes pratiques ?
Publié le 25 juillet 2016
Face à l’augmentation continuelle des risques de cybercriminalité, un nombre croissant de réglementations obligent désormais les entreprises à sécuriser leur système d’information et leur patrimoine informationnel. Le General Data Protection Regulation (GDPR) notamment, nouveau règlement européen sur la protection des données personnelles que les entreprises devront appliquer d’ici deux ans, vient fixer de nouvelles responsabilités en matière de cybersécurité. Décryptage.
Le 25 mai 2018, de nouvelles obligations seront imposées à tous les organismes privés et publics qui collectent, traitent et stockent des données personnelles dont les propriétaires peuvent être identifiés directement (par l’entreprise elle-même) ou indirectement (par un tiers). Le règlement européen relatif à la protection des données à caractère personnel entrera en effet en vigueur et obligera les organisations à s’assurer du consentement des individus quant à l’utilisation qui sera faite de leurs données. Ces dernières devront pouvoir être transférées à leur propriétaire ou effacées si ce dernier le demande. Le GDPR oblige par ailleurs les organisations à être transparentes et à alerter les autorités compétentes en cas de constatation d’une fuite de données. Enfin, les entreprises devront se doter d’une organisation interne en charge des questions relatives à la protection des données, notamment via la nomination d’un délégué aux données personnelles ou Data Protection Officer (DPO) en anglais.
Ce règlement apporte avec lui de nombreux challenges de sécurité spécifiques : chiffrement, anonymisation, droit à l’oubli, portabilité des données sont autant de sujets aux retombées techniques importantes. Dans la mesure où la protection des données à caractère personnel est devenue indissociable de la protection du (des) système(s) d’information, quel rôle auront les RSSI dans la mise en œuvre de ces nouvelles obligations, et comment peuvent-ils se préparer d’ores-et-déjà à leur application ?
Parmi les principes les plus stratégiques pour les RSSI figure celui d’accountability. Ce dernier implique de travailler sur la gouvernance des données et imposera concrètement de constituer une documentation importante, afin de démontrer sa conformité auprès des autorités de contrôle. Les RSSI devront en particulier veiller à la traçabilité des incidents et des actions sur le système d’information.
Des démarches de formalisation de process et de politiques de protection de la vie privée peuvent également déjà être engagées. Il est pertinent de nommer un porteur du projet en interne pour traduire les exigences du règlement en dispositifs de sécurité. Les RSSI peuvent également mettre en place des audits internes ou des revues des applications métiers et/ou techniques manipulant des données personnelles.
L’adhésion de la direction générale est également un principe important. Afin d’obtenir les budgets nécessaires pour le RSSI, il s’agira de la sensibiliser et la convaincre des risques juridiques, financiers et d’image qui pèseront sur les organismes, notamment au travers des sanctions administratives (jusqu’à 4% du CA annuel mondial ou 20 millions d’euros) ou encore des notifications des violations de données aux clients. Pour donner une bonne visibilité sur les risques, il est nécessaire de valoriser la donnée : à ce titre, il faudra définir des coûts de l’information réalistes et raisonnables, et envisager de se renseigner en la matière auprès des cyber-assurances.
Les modalités de relation du RSSI avec le DPO doivent également être pensées en amont : de manière générale, le RSSI peut être considéré comme un fournisseur de moyens et d’outillage, ainsi qu’un appui technique pour un DPO qui ne posséderait pas nécessairement des compétences approfondies en la matière. En l’absence de DPO, le RSSI peut se rapprocher dès aujourd’hui du service juridique afin d’instaurer une relation de confiance. Par ailleurs, les fonctions de RSSI et de DPO ne sont pas incompatibles, et peuvent être prises en charge par un seul et même collaborateur.
Le GDPR, règlement de nature juridique, entraîne dans son sillage des considérations opérationnelles tant à destination des directions générales que des RSSI. Anticiper cette échéance dès à présent est crucial pour les organismes privés et publics afin d’être en conformité avec les obligations qui leur seront imposées. D’autant qu’il faudra parfois coupler ces obligations avec d’autres textes régissant la sécurité des systèmes d’information dans des secteurs définis, comme la loi de programmation militaire.
Si ce sujet vous intéresse, n’hésitez pas à me contacter.