Gérer les risques
Aujourd'hui et demain

Sûreté et sécurité

Norman Girard (Varonis) : « Les consommateurs pourront exiger que les entreprises effacent leurs données personnelles »

Interview du vice-président et directeur général Europe de Varonis, un éditeur de logiciels qui permettent aux entreprises de migrer leurs données non structurées d’origine humaine vers des environnements d'exploitation structurés. Ces données comprennent généralement des renseignements de nature financière, des projets de produits, des initiatives stratégiques, ou encore des éléments de propriété intellectuelle.

Où en est la réforme de la réglementation européenne sur la protection des données personnelles ?

Les régulateurs européens sont sérieux en ce qui concerne la réforme de la protection des données. Ils ont presque finalisé le General Data Protection Regulation, le règlement général sur la protection des données (GDPR). Celui-ci constitue une reformulation des règles existantes de protection des données et de protection de la vie privée définies dans l’ancienne Directive de protection des données. Un nouveau monde européen de données s’annonce !

Quand cette législation sera-t-elle appliquée et quelles en seront les conséquences ?
Beaucoup de spécialistes ont abordé le long parcours épique du GDPR au cours des deux dernières années. Mais avec le Conseil de l’Union européenne, une sorte d’organe exécutif de l’UE, approuvant sa propre version, la scène est prête pour trouver un compromis avec le Parlement européen lors d’un débat final. Le GDPR sera probablement approuvé d’ici la fin de l’année 2015 (ou le début de l’année 2016) et entrera en vigueur en 2017. Les entreprises, dont les multinationales américaines détenant des informations personnelles de citoyens européens, devront bientôt se conformer à des règles plus strictes pour prouver qu’elles protègent activement les données personnelles qui leur ont été confiées.

De quoi pousser les entreprises à se comporter différemment envers leurs utilisateurs… Quels conseils pourriez-vous leurs donner ?
Selon la plus récente proposition du Conseil, nous avons désormais une idée assez précise de ce à quoi le GDPR final ressemblera. Il est primordial, pour ces entreprises, de commencer par mettre en place des principes de respect de la vie privée. En outre, un ancien commissaire à l’information et à la protection de la vie privée de la province d’Ontario au Canada, Ann Cavoukian, a développé une approche baptisée Privacy by Design (PbD). Laquelle a eu une grande influence sur les experts en matière de sécurité ainsi que sur les responsables politiques et les régulateurs. Ann Cavoukian considère que le Big Data et la vie privée sont des concepts tout à fait capables de coexister. Pour l’essentiel, son message dit que vous pouvez prendre quelques mesures de base pour implémenter la vision PbD : minimiser les données recueillies (en particulier les informations personnelles) auprès des consommateurs, ne pas conserver les données personnelles au-delà de la durée prévue à l’origine, et donner aux consommateurs l’accès à leurs données ainsi que leur propriété.

Comment cette approche est-elle accueillie chez nous ?
L’UE aime aussi la méthode PbD. De nombreuses références y sont faites dans l’article 23 et dans beaucoup d’autres textes de la nouvelle réglementation. Il n’est pas très difficile de déduire que si vous implémentez PbD, vous avez maîtrisé le GDPR.

Qu’en est-il du fameux ‘’droit à l’oubli’’ ?
Le tant controversé ‘’droit à l’oubli numérique’’ sera bientôt intégré à la loi par l’UE. Cela signifie que les consommateurs auront véritablement le droit de demander aux entreprises l’effacement de leurs données. Abordé dans l’article 17 du GDPR proposé, il est stipulé que « Le […] responsable du traitement est tenu d’effacer les données à caractère personnel dans les meilleurs délais, notamment en ce qui concerne les données à caractère personnel qui sont collectées lorsque la personne concernée a le statut d’enfant. Et la personne concernée a le droit d’obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant, dans les meilleurs délais ». Je crois que cela énonce clairement le droit à l’effacement.

Qu’advient-il si le responsable du traitement des données transmet mes données personnelles à un service de stockage ou de traitement dans le Cloud ?
La réglementation européenne continue de s’appliquer : en tant que sous-traitant, le service Cloud devra aussi effacer les données personnelles lorsque le responsable du traitement des données lui demandera de le faire. Ce qui veut dire que le consommateur ou sujet concerné par les données peut demander l’effacement des données détenues par les entreprises à tout instant. Dans l’UE, les données appartiennent aux citoyens !

La protection des données est un enjeu établi notamment contre ces multinationales américaines qui ont engrangé d’énormes bénéfices sur une utilisation massive de nos informations personnelles. Cette réglementation les atteint-elle aussi ?
En effet, les entreprises américaines seront tenues de protéger nos données. Il convient de souligner que nous avons plusieurs fois rappelé aux grandes multinationales américaines recueillant des données auprès de citoyens européens de mettre en place des stratégies de sécurité des données comme si leurs serveurs se trouvaient dans l’UE. Connu sous le nom « d’extraterritorialité », ce principe est abordé au début du GDPR proposé. Pour ceux qui ont une fibre juridique, voici le langage employé dans toute sa beauté bureaucratique : « La circulation transfrontière des données à caractère personnel […] est nécessaire au développement de la coopération internationale et du commerce mondial […] Lorsque ces données sont transférées de l’Union [européenne] vers des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement ne doit pas être amoindri ».

Pourra-t-on contraindre les entreprises américaines alors que la loi ne peut s’appliquer que sur le territoire européen ?

Il existe certains problèmes et certaines difficultés relatives à la manière dont cela sera appliqué. Mais avec les États-Unis revendiquant que leurs lois de stockage s’appliquent aux données situées sur des serveurs irlandais, il semble tout à fait naturel que l’UE effectue le même type de demande à propos des données de ses citoyens détenues aux États-Unis !

Quelles seront les pénalités ?
Pour les infractions sérieuses (telles que le traitement de données sensibles sans consentement ou autre motif juridique), les régulateurs peuvent imposer des pénalités. Il existe des différences entre la version du Conseil de l’Union européenne et celle du Parlement. Le Conseil autorise des amendes s’élevant jusqu’à 1 million d’euros ou 2% du chiffre d’affaires annuel (CA) de la société. Les amendes prévues par le Parlement s’avèrent plus sévères et atteignent 100 millions d’euros ou 5% du CA annuel. Ces deux organes devront trouver un compromis au cours des prochains mois. Indépendamment de la loi finale, le plus important est que les pénalités du GDPR représenteront des sommes sérieuses pour les multinationales américaines.

Pour un novice, il devient difficile d’échapper à ces sanctions dont les rouages en termes informatiques s’avèrent très complexes. Comment les entreprises dont la plupart ne sont pas spécialistes de la protection des données peuvent-elles se conformer à la législation ?
Dans la proposition de GDPR, le délégué à la protection des données (DPD) est censé être responsable de la création des contrôles d’accès et de la réduction des risques. Il doit aussi assurer la conformité, répondre aux demandes, signaler les violations dans les 72 heures, et même créer une bonne stratégie de sécurité des données.

La désignation d’un responsable de la protection des données deviendra-t-elle obligatoire ?
À ce stade, il existe à nouveau des différences entre les propositions du Conseil et celles du Parlement. Le Conseil voudrait en faire une clause discrétionnaire et permettre à chaque état membre de décider si elle doit constituer une condition obligatoire ou non. En ce qui nous concerne, nous recommandons de donner de manière informelle les pouvoirs d’un DPD à un employé dans l’entreprise. Il semble logique de disposer d’un responsable ou d’un cadre de haut niveau chargé de gérer les lois européennes.

Ségolène Kahn

Commentez

Participez à la discussion