Les compte-rendus de la récente conférence InfoSec 2017 laissent penser que le Règlement Général sur la Protection des Données (RGPD) était sans aucun doute d’actualité pour de nombreux exposants et éditeurs de logiciel. Ce constat correspond à ma propre expérience récente en tant que Correspondant Informatique et Libertés et président de NADPO (l’Association Nationale des Data Protection Officer) : les gens prennent conscience des changements que le Règlement Général sur la Protection des Données impliquera, et leurs inquiétudes les incitent à en savoir plus et à demander conseil.
Mais je ressens le besoin d’émettre tout de même quelques mises en garde. Il existe beaucoup de documentations disponibles à l’heure actuelle, et d’innombrables fournisseurs de “services RGPD”, mais certains d’entre eux sont, pour être franc, pas vraiment à la hauteur du travail demandé.
Mais alors comment séparer le bon grain de l’ivraie ? Et comment éviter de tomber sur le pire du pire ? Eh bien, j’ai quelques conseils pour vous…
La Règlement Général sur la Protection des Données marque le plus grand changement au niveau de la loi européenne sur la protection des données depuis une génération. Il s’appliquera directement au Royaume-Uni, aussi longtemps que nous serons membres de l’UE, et le gouvernement du Royaume-Uni a également précisé qu’il avait l’intention d’adopter les dispositions post-Brexit, et ce intégralement, principalement pour faciliter et légaliser les échanges commerciaux transfrontaliers.
Cette situation représente un énorme défi ainsi qu’une prise de risques importante pour certaines entreprises, incluant de potentielles importantes amendes administratives concernant les infractions majeures.
Le Règlement Général sur la Protection des Données est aussi une opportunité : en effet, cette période est idéale pour que les entreprises mettent de l’ordre dans leurs systèmes de gestion des données.
Les bonnes pratiques en matière de protection des données nécessitent une bonne gestion de l’information et, avec des conseils d’administration préoccupés par ces potentielles amendes importantes, les correspondants informatique et libertés ainsi que les professionnels, avec le même type de mission, pourraient réussir à attirer davantage l’attention et obtenir ainsi les ressources qu’ils demandent depuis des années.
Mais avec la mise en place de ces budgets dédiés, d’autres ont également flairé des opportunités. Il semble que tous les éditeurs de solutions, même ceux ayant pourtant une connaissance plutôt légère de la gestion des données, disposent maintenant d’une solution, d’un produit ou d’un “livre blanc”, qui aidera les entreprises à se conformer rapidement avec le Règlement Général sur la Protection des Données.
Ma réponse à la plupart d’entre eux s’est durcie ces derniers mois. Si quiconque m’approche à l’heure actuelle en essayant de me vendre ses produits RGPD, j’ai à ma disposition un certain nombre d’outils pour les évaluer.
- Je vérifie si le site web de l’éditeur en question contient un avertissement concernant la confidentialité ou une politique de confidentialité. En effet, il est quasi certain que ce site collectera des données personnelles (que ce soit en demandant aux utilisateurs de s’inscrire, à des séminaires, pour obtenir de la documentation, etc…, ou par le biais d’une invitation envoyée par email). Les données personnelles peuvent se résumer au nom du visiteur, et aux coordonnées de l’entreprise, mais des données personnelles restent des données personnelles. La législation actuelle en matière de protection des données au sein de l’UE exige que, lorsque vous collecter ces données, vous indiquiez à la personne concernée l’usage que vous allez en faire. Vous seriez surpris de voir combien d’éditeurs n’appliquent pas cette loi existante, en ne fournissant aucun avertissement ou en n’appliquant aucune politique en matière de protection des données.
- S’il existe un avertissement ou une politique de confidentialité, sont-ils conforme à la RGPD ? En effet, avoir un lien hypertexte rédigé de manière standard, en petits caractères et en pied de page, est une bonne chose, mais encore faut-il que l’avertissement soit clair et concis, accessible facilement et affiché au moment où les données sont effectivement recueillies. Il peut s’agir d’un travail important à réaliser, mais si vous faites la démarche d’approcher mon entreprise en vous mettant en avant comme étant un expert du Règlement Général sur la Protection des Données, je souhaite que vous me montriez avant tout que vous avez fait un effort conséquent en me fournissant des preuves tangibles.
- L’éditeur déclare-t-il, d’une manière générale, que le consentement est requis afin de pouvoir recueillir les données personnelles ? Beaucoup le font, mais ce n’est tout simplement pas vrai. La vérité est que lorsque le consentement est érigé comme une base pour justifier le traitement des données personnelles, le Règlement Général sur la Protection des Données exige plus d’une entreprise que les simples préconisations de la loi existante. Cependant, il existe de nombreuses circonstances où le consentement n’est pas nécessaire pour traiter les données personnelles (souvent vous trouverez des justifications statutaires ou autres qui dispenseront de tout consentement). Si l’éditeur ne le sait pas, alors comment peuvent-ils donner des conseils concernant le RGPD en général ?
- L’éditeur met-il l’accent sur l’importance des amendes potentielles ? Je peux comprendre pourquoi ils font cela, mais gardez à l’esprit que la législation actuelle sur la protection des données au Royaume-Uni, donne déjà le pouvoir au régulateur, à savoir l’ICO( Information Commissioner Office), d’infliger des amendes. Cependant, même si l’ICO exerce parfois son pouvoir, cela concerne des cas exceptionnels, et il est raisonnable de penser que cela sera toujours le cas avec le RGPD. Les amendes sont un risque, et elles permettent la prise d conscience, mais le rôle des régulateurs n’est pas d’en abuser.
- Enfin, sans doute le plus important, qui offre ce service ou cette solution ? Considèrent-ils le Règlement Général sur la Protection des Données comme un devoir d’informer ou bien comme un réel problème de cybersécurité ? L’éditeur en question est une personne physique ou bien une entreprise qui a des références en matière de protection des données, ou bien s’agit-il d’une identité ou d’un individu qui n’offrait même pas un seul produit de protection des données quelques mois auparavant ? Ces derniers vont forcément roder dans les barrages.
Un conférencier, lors d’un événement récent auquel j’ai participé, a demandé aux délégués présents si l’un d’entre eux avait “effectivement lu le RGPD, vous savez le petit livret !”. Je n’avais pas la force de lui dire que certains délégués avaient lu et appliqué la loi en matière de protection des données depuis de nombreuses années, et certains d’ailleurs depuis 1984 (date de la première loi de protection des données au Royaume-Uni). Une expertise dans la protection des données ne s’acquiert pas du jour au lendemain.
Toutes ces considérations sont cruciales car la protection des données ne concerne pas uniquement l’information ou la cybersécurité. Fondamentalement, il s’agit des individus eux-mêmes et des droits de ces derniers. Il s’agit d’être juste et transparent, et bien évidemment d’avoir en place un système sécurisé, lors du traitement des données personnelles.
Tous les non-spécialistes sont des personnes vraiment à éviter. Certes certains peuvent fournir une partie de la solution, peut-être une partie technique par exemple, mais en ce qui concerne un accompagnement plus global et des conseils précis dans le cadre du RGPD, choisissez un éditeur de solutions avec des références claires, consultables et vérifiables en matière de protection des données.
Ainsi, la prochaine fois que vous ferez l’objet d’une approche froide, ou que vous serez approchés lors d’une conférence, par un individu qui s’autoproclame expert, pourquoi ne pas lui poser une question délicate, comme celle-ci “avez-vous besoin de prouver l’existence de dommages réels avant de pouvoir réclamer une quelconque indemnisation suite à une violation de la loi sur la protection des données 1998 ?”. Il existe une bonne réponse à cette question, et de véritables experts en protection des données devraient pouvoir la donner. Si vous obtenez en retour un regard vide et inexpressif, ne perdez pas votre temps et continuer plutôt votre chemin.
Billet inspiré de GDPR: how to avoid the data protection cowboys, sur Sophos nakedsecurity.