Protection des données personnelles : un premier pas vers la confiance numérique

06/03/2018
Publication REE REE 2018-1
OAI : oai:www.see.asso.fr:1301:2018-1:22471
contenu protégé  Document accessible sous conditions - vous devez vous connecter ou vous enregistrer pour accéder à ou acquérir ce document.
Prix : 10,00 € TVA 20,0% comprise (8,33 € hors TVA) - Accès libre pour les ayants-droit
se connecter (si vous disposez déjà d'un compte sur notre site) ou créer un compte pour commander ou s'inscrire.
 

Résumé

Protection des données personnelles : un premier pas vers la confiance numérique

Métriques

1
0
223.5 Ko
 application/pdf
bitcache://0b6104219f235e2b3d5f070fec45dc979e8687ab

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/1301:2018-1/22471</identifier><creators><creator><creatorName>Jean-Pierre Quemard</creatorName></creator></creators><titles>
            <title>Protection des données personnelles : un premier pas vers la confiance numérique</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2018</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Tue 6 Mar 2018</date>
	    <date dateType="Updated">Sun 15 Jul 2018</date>
            <date dateType="Submitted">Mon 10 Dec 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">0b6104219f235e2b3d5f070fec45dc979e8687ab</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>37549</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

120 ◗ REE N°1/2018 GROS PLAN SUR Jean-Pierre Quemard Président de l’Alliance pour la confiance numérique (ACN) Confiance numérique et protection des données personnelles : une démarche by design La sécurité et la confiance numérique sont des sujets dont l’appréhension est particulièrement délicate tant ils sont étroite- ment imbriqués avec l’ensemble des développements induits par la transformation numérique. Dans tous les domaines, les outils et techniques de la confiance numérique doivent impé- rativement être pris en compte dès la conception c’est la no- tion de “Security by Design”. La sécurité de l’ensemble repose en premier lieu sur l’assurance de pouvoir compter sur des identités numériques fiables. En ce sens, le sujet de l’iden- tité numérique constitue le cœur de la confiance numérique car c’est le point de départ indispensable de toute démarche de sécurisation. Nos industries apportent sur chacun de ces sujets des réponses adaptées à travers les produits, services et solutions développées par un écosystème performant d’entre- prises et de laboratoires de toutes tailles. La France dispose d’une excellence reconnue au niveau international dans ce domaine et cela constitue un atout majeur pour l’économie de notre pays mais également pour garantir sa souveraineté en constituant également le socle pour la mise en œuvre d’une politique européenne ambitieuse. Au-delà de cette réponse opérationnelle, les défis aux- quels sont confrontées collectivement nos entreprises sont également législatifs et réglementaires. Les initiatives dans ce domaine sont foisonnantes, tant en France qu’en Europe, et il est capital que le secteur structure et organise sa représenta- tion institutionnelle pour que nos messages soient entendus. De même la prise en compte des libertés individuelles est le complément indispensable à l’acceptation par le citoyen des nouvelles technologies numériques, c’est la notion de “Privacy by Design”. En effet, la protection des données per- sonnelles se conçoit comme un élément particulièrement important de la confiance numérique, en tant que sentiment ressenti par les utilisateurs du numérique, mais aussi en tant que facteur structurant d’un secteur économique homogène et moderne. C’est pourquoi l’ACN (Alliance pour la confiance numé- rique) a entrepris de fédérer largement autour de son action l’ensemble des acteurs du domaine de la confiance et de la sécurité numérique (grands groupes, ETI, PME, labora- toires, ...). En effet, au-delà des questions de structures, il s’agit désormais de définir ensemble une ambition commune pour notre industrie. Dans le domaine de la cybersécurité par exemple, notre ambition est de parvenir à hisser notre pays parmi les trois ou quatre leaders mondiaux du secteur, en créant les conditions propices à l’épanouissement et au développement de nos entreprises. Cette ambition passe également par un échange renforcé entre les offreurs de solutions de confiance numérique et les intégrateurs de ces solutions dans leurs propres solu- tions smart (smart industrie, smart building, smart health, smart mobility, smart city…). En effet, les technologies de sécurité et de confiance de pointe développées par les uns doivent se nourrir des exigences métier des autres pour être parfaitement adaptées aux besoins sociétaux forts, qui sont autant de marchés mondiaux en très forte croissance à deux chiffres. L’ensemble de ces solutions doit permettre de mieux sécuriser les flux numériques, parmi lesquels les données personnelles doivent faire l’objet d’une attention particulière. La FIEEC (Fédération des industries électriques, électroniques et de communication) réunit ces différentes catégories d’acteurs et est donc pour nous le creuset perti- nent et incontournable pour développer ces actions. Protection des données personnelles : un premier pas vers la confiance numérique La numérisation croissante de l’ensemble des activités de notre société bouleverse les paradigmes établis et impose un besoin accru de protection et de confiance. Cette confiance repose sur deux piliers, intrinsèquement liés, que sont la protection des données personnelles et la sécurité numérique. Conscients de l’enjeu, les législateurs français et européens tentent d’élaborer un cadre juridique dont l’ambition est à la fois pédagogique et coercitive, afin d’orienter le comportement des utilisateurs. C’est notamment la vocation du projet de règlement sur les données personnelles. L’Alliance pour la Confiance Numérique (ACN) salue cette ambition et considère qu’une meilleure compréhension, notamment par les entreprises, de la valeur des données et de la nécessité de les protéger est un premier pas vers une démarche plus globale mais tout aussi nécessaire de sécurité numérique. Toutefois, l’ACN souligne que les diverses réglementations existantes ou en projet doivent impérativement être appréhendées de manière holistique et faire preuve d’une cohérence irréprochable, au risque, sinon, de créer un édifice réglementaire illisible et contreproductif. RÉSUMÉ REE N°1/2018 ◗ 121 Protection des données personnelles : un premier pas vers la confiance numérique Nous avons désormais toutes les cartes en main pour mettre nos atouts nombreux au service d’une ambition forte. Nos entreprises et notre pays ont un rôle de premier plan à jouer dans le domaine de la confiance et de la sécurité numérique. L’action collective et une structuration forte du secteur seront la clé de nos succès futurs. Un cadre réglementaire en cours de définition Conscient du besoin fondamental de protection et de confiance vis-à-vis du numérique, qui est désormais au cœur de toutes les activités des citoyens, des entreprises, et des administrations, les législateurs, français et européens, s’efforcent d’adapter le cadre légal et réglementaire à ce nouveau paradigme. En matière de confiance et de sécurité numérique, les réglementations proposées par le législateur affichent souvent une ambition pédagogique autant que coercitive. Le règlement général sur la protection des données personnelles (RGPD) s’inscrit dans ce contexte avec l’idée d’amener l’ensemble des utilisateurs du numérique à s’inter- roger, au-delà des obligations formulées par le texte, sur la nécessité pour tous les utilisateurs de prendre en compte la donnée en tant que telle, de comprendre son cheminement dans les réseaux, son stockage, et la nécessité de la protéger et de rendre compte de son utilisation lorsque celle-ci est considérée comme personnelle. Dans ce domaine, et sans entrer dans des débats philosophiques d’actualité, notam- ment sur la propriété des données, la conscience même de l’existence de ces données est une première étape impor- tante pour tous les utilisateurs du numérique. Depuis 1995, la protection des données personnelles au sein de l’Union européenne est régie par la directive 95/46/ CE, qui prévoit la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de celles-ci. Cette directive, devenue caduque aujourd’hui, à l’heure du « tout numérique », a été abrogée puis remplacée par le RGPD. En effet, il paraissait primordial de mettre à jour cette ancienne législation, aux vues de l’utilisation de plus en plus fréquente des données via notamment les nouveaux modèles économiques comme l’open data ou les différents objets connectés. En 2012 déjà, la Commission européenne avait proposé de réformer les textes existants en matière de protection des données au sein de l’Union européenne, mais ce n’est qu’après plusieurs années que le nouveau texte fut publié au journal officiel de l’Union européenne, le 4 mai 2016. Ce rè- glement sera directement applicable et obligatoire dans tous les Etats membres, le 25 mai 2018. L’objectif de ce texte, qui permettra une harmonisation de la législation européenne, est double : redonner aux citoyens le contrôle de leurs don- nées personnelles et simplifier l’environnement règlemen- taire des entreprises et des organismes. En revanche, beaucoup d’entreprises, dont notamment les plus petites, s’inquiètent vivement des contraintes nées de ce règlement. Isabelle Falque-Pierrotin, la présidente de la CNIL qui s’exprimait à l’occasion des 40 ans de son institution le 25 janvier 2018, se voulait rassurante : « Il y a un phénomène de rattrapage à l’occasion de ce règlement européen. Au- jourd’hui, beaucoup d’entreprises réalisent qu’elles ne sont même pas conformes à la loi Informatique et Libertés de 1978. Les niveaux de sanction du RGPD font qu’elles se dis- ent : mon Dieu, il faut que je prenne de vraies mesures pour traiter de la question des données personnelles ! Ce que je leur dis est qu’il n’y aura pas un couperet le 25 mai 2018. En réalité, on mise sur une stratégie d’accompagnement de ces acteurs pour faire en sorte que ces entreprises comprennent les nouvelles obligations, les nouveaux outils qu’elles doivent déployer ». Le règlement européen s’articule autour de plusieurs axes, dont voici les points principaux : sLe consentement : Les entreprises devront permettre aux citoyens d’accéder à un réel contrôle de leurs données privées. Le texte, prévoit que « le traitement de données à caractère personnel n’est licite que si (…) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spéci- fiques1 » sUn accès aux données simplifié et un droit d’efface- ment : Les responsables du traitement devront offrir une plus grande transparence concernant le traitement des données personnelles récoltées. Par ailleurs, les citoyens seront en droit de demander au responsable du traitement, l’effacement pur et simple de leurs données personnelles2 . sDroit à la portabilité : C’est un droit nouveau qui permet à une personne de récupérer assez facilement les données qu’elle a préalablement fournies et de les transférer d’un service à l’autre. Un des objectifs de ce texte est de rééquilibrer le rapport de force, aujourd’hui défavorable, entre le citoyen et le res- ponsable de traitement, quel qu’il soit. sHarmonisation des règles : L’application directe et obliga- toire de la directive dans l’ensemble de l’Union européenne, et également applicable aux autres entreprises offrant leurs services en ligne dans l’Union3 , atténuera la concurrence 1 Article 6 2 Article 17 3 Article 3 122 ◗ REE N°1/2018 GROS PLAN SUR déloyale entre Etats et les complexités des différentes lois nationales. s Protection des données dès la conception : Les organisa- tions et les entreprises seront tenues de prendre en compte la protection des données personnelles dès la conception de ces dernières et de disposer d’un système d’information sécurisée viable. s Renforcement des responsabilités des responsables de traitement : Les responsables de traitement devront no- tamment mettre en œuvre les mesures de sécurité appro- priées et veiller à adresser des notifications des violations de données à caractère personnel à l’autorité de contrôle « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu’il soit peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques ». La communication d’une violation aux personnes concernées devra être effectuée dans les meilleurs délais « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique4 ». s Un délégué à la protection des données : Il assure et répond à toutes les questions de protection des données au sein des organisations et des entreprises publiques ou privées, dont « les activités de base [...] exigent un suivi régulier et systématique à grande échelle des personnes concernées ». sAugmentation des sanctions : Le texte prévoit de don- ner aux régulateurs le droit d’infliger des amendes pouvant aller jusqu’à 2 % du chiffre d’affaire annuel en cas de man- quement aux règles relatives à la protection des données personnelles. Le RGPD concerne presque toutes les entreprises dites « informatisées », contrairement à la directive NIS (Network and Information Security) du 6 juillet 2016 relative aux me- sures destinées à assurer un niveau élevé commun de sécu- rité des réseaux et des systèmes d’information au sein de l’Union européenne et qui établit des exigences en matière de sécurité pour les entreprises en tant « qu’ opérateur de services essentiels », dans les secteurs de l’énergie (électri- cité, gaz, pétrole), les transports aériens, les banques, etc. En outre, les obligations de sécurité dans le RGPD sont nom- breuses, à savoir, tenir un registre des activités de traitement, établir une obligation de sécurité renforcée et d’analyse d’im- pact et avoir « l’obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garan- tir un niveau de sécurité adapté au risque, compte tenu de l’état des connaissances, des coûts de mise en œuvre, et 4 Article 6 de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, selon les droits et libertés des personnes physiques5 ». On note plus particulièrement que le RGPD opère une inversion de la charge juridique qui est désormais transférée sur les responsables de traitement et les entreprises, ainsi que le coût économique de celle-ci et les risques corres- pondants. D’un système d’autorisation préalable, le cadre juridique évolue désormais vers une obligation générale de conformité. Partant de ce constat, les petites et moyennes entreprises qui ont pris conscience des enjeux et défis de ces nouveaux règlements et directives, peuvent légitimement se deman- der, tous secteurs confondus, si elles seront prêtes à mettre en application les obligations qui leurs seront imposées en mai 2018. S’agissant des grandes entreprises, sachant que la direc- tive NIS (qui doit être transposée en droit français par une loi dont on attend le projet) et RGPD peuvent s’appliquer de manière cumulative, la problématique étant tout aussi impor- tante, la question de la sécurité informatique reste l’une des principales préoccupations d’aujourd’hui. De la nécessité d’une véritable cohérence dans le cadre réglementaire Nous l’avons vu, les données personnelles et leur protec- tion sont un élément important d’un ensemble beaucoup plus large qu’est la confiance numérique. La réglementation RGPD est donc une avancée souhai- table et bienvenue dans la mesure où son champ d'appli- cation très large permettra de sensibiliser une très grande partie des entreprises à l’importance de la prise en compte des données personnelles dans l’ensemble de leur activité. De fait, la donnée personnelle devient un actif commercia- lisable, qu’il convient de protéger et qu’on ne peut utiliser que dans un cadre désormais défini par la loi. Cette prise de conscience permettra également de faire progresser toutes les entreprises sur la voie de la confiance numérique et sera probablement un premier pas vers une sécurisation numé- rique plus poussée de l’ensemble du tissu économique na- tional et européen. Pour autant, il n’en reste pas moins que cette réglemen- tation ne se conçoit pas de manière isolée mais s’applique dans un monde largement numérisé et décloisonné. Par ail- 5 Cyber-sécurité et entreprises : GDPR et NIS, quelle(s) obligation(s) de sécurité ?, Franck Dumortier, Université de Namur, http://economie. fgov.be/nl/binaries/GDPR-et-NIS-quelles-obligations-de-securite- CRIDS-Dumortier_tcm325-280115.pdf REE N°1/2018 ◗ 123 Protection des données personnelles : un premier pas vers la confiance numérique leurs de nombreuses autres initiatives réglementaires sont venues et vont venir s’ajouter à ce cadre, en traitant des sujets connexes mais intrinsèquement liés : loi de program- mation militaire (LPM) et statut d’organisme d’importance vitale (OIV), directive NIS et statut d’opérateur de services essentiels (OSE), e-Privacy (vie privée et communications électroniques), règlement eIDAS (Electronic IDentification Authentication and trust Services), règlement sur l’identi- fication électronique et les services de confiance pour les transactions électroniques), projet de réglementation « Cyber Act » du 13 septembre 2017 pour l’évaluation harmonisée au niveau européen des produits, solutions et services de sécurité, etc… La liste des réglementations existantes et à venir est longue et son appréhension – ainsi que celle des nombreux acronymes qui en résultent – est complexe. Ces textes font apparaître des imbrications et superpositions nombreuses tant sur le plan des périmètres concernés qu’au niveau des obligations créées. Ainsi, les différentes couches législatives nationales ou eu- ropéennes visant à augmenter la sécurité numérique des orga- nismes particulièrement sensibles (notamment les OIV et les OSE) ont un champ d’application différent du règlement sur les données personnelles, mais ces champs présentent d’im- portants espaces de recouvrement, du moment par exemple qu’un incident de sécurité numérique se produit dans un orga- nisme sensible et met en jeu des données personnelles. Dans ce cas, il est essentiel de parvenir à assurer la co- hérence de ces différentes législations, au risque de voir nombre d’entreprises être soumises, pour un même incident, à des obligations notamment déclaratives, proches mais dif- férentes, auprès de plusieurs autorités selon le texte visé. Au-delà, les définitions et les références visées par ces dif- férents textes doivent également être harmonisées et idéa- lement basées sur les travaux de normalisation existants afin d’éviter le recoupement des statuts attribués aux entreprises et surtout d’obtenir une certaine lisibilité de l’ensemble des obligations auxquelles elles devront faire face. En effet, l’enjeu est là : la confiance numérique est l’ob- jectif final de l’ensemble des acteurs. La clarté et la lisibilité de l’édifice réglementaire seront la condition sine qua non pour que les entreprises puissent s’approprier le sujet et se plongent volontairement dans une démarche d’amélioration de leur sécurité numérique et de protection des données qu’elles utilisent. Au-delà de la contrainte réglementaire, la réelle efficacité de ces textes sera d’amener les entreprises à s’engager résolument sur la voie de la confiance numé- rique. Afin d’atteindre cette ambition pédagogique, la loi doit ainsi être clairement comprise dans un domaine numérique fait de complexité et diversité d’acteurs et d’usages. Ce défi immense qu’est la mise en cohérence des textes, au fur et à mesure de leur élaboration doit être adressé en priorité : c’est à cette condition que l’ensemble des acteurs écono- miques pourront s’impliquer dans une démarche globale de confiance numérique qui sera un marqueur stratégique et différenciant majeur pour le futur. Jean-Pierre Quémard est diplômé de l’Ecole nationale de l’aéronautique et de l’espace. Après une carrière menée successivement chez Dassault Electronique comme chef du département Avionique, puis chez Matra Communications comme directeur technique des activités PMR, il exerce à Airbus Defense and Space (ex-Cassidian) comme VP Intelligence and Security. Depuis 2015, il assure la fonction de General Mana- ger de la Société KAT (Digital and Security Consulting). Entre autres responsabilités dans les instances de normalisation, il est président du CEN/CENELEC Cyber Security Focus Group et par ailleurs président de l’Alliance pour la confiance numérique (ACN).