[mis à jour le 29 octobre 2017] Il est temps de rentrer de manière concrète dans certains détails, notamment techniques. Ce sont ces détails techniques qui font frémir (et pas dans le bon sens du terme) les juristes, notamment cette « obligation technique de sécurité » (art. 32 GDPR/RGPD). Puisque le sujet de la mise en conformité est sur toutes les lèvres, voici la première d’une série de présentations *** FOCUS *** en partenariat avec Alter Defence & Security qui vous permettra de « rentrer » sérieusement, par touches successives, dans la GDPR/RGPD. La présentation (en BD bien sûr) est accessible dans le slider ci-dessous. Pour les littéraires, il y a aussi un résumé, juste après, avec des vraies phrases…
[mis à jour le 29 octobre 2017] La version initiale de la présentation (accessible dans le slider ci-dessous) n’évoquait pas la jurisprudence en la matière. C’est chose faite avec l’analyse de la jurisprudence « Orange » (délibération CNIL n°2014-298 du 7 août 2014 confirmée par le Conseil d’Etat le 30 décembre 2015) et surtout, avec la décision « Hertz » de la CNIL du 18 juillet 2017, qui pour la première fois condamne une entreprise pour défaut de sécurisation des données de ses clients. Combien pour 35.000 « non + prénom + adresse postale + adresse mail + n° permis de conduire » (presque) librement accessibles ? 40.000 €uros de sanction. Vous vouliez un tarif pour connaitre l’exposition de votre entreprise à ce risque spécifique ? Vous l’avez… Grace à la réforme de la loi n°78-17 « Informatique et Libertés » modifiée par la loi n° 2016-1321 du 7 octobre 2016 « République numérique » entrée en vigueur le 8 octobre 2016. Et maintenant, la GDPR arrive. Ici, le tarif sera de 10 millions d’€uros OU (pour les entreprises) jusqu’à 2% du chiffre d’affaires. Le plus élevé des deux étant retenu précise la GDPR.
[mis à jour le 29 octobre 2017] Et puisque l’on envisage les sanctions potentielles de l’entreprise défaillante dans la protection des données de ses clients, nous en profiterons pour faire un rappel de la législation pénale sur les atteintes à un « système de traitement automatisé de données » (articles 323-1 à 323-3 Code pénal).
[wonderplugin_gallery id= »133″]

Un partenariat « technique + juridique » ?

Voila des semaines que je me tue à dire que, nous les juristes, nous ne pourrons pas tout faire pour nos clients qui cherchent à se mettre en conformité avec la GDPR. D’ou l’idée de ce partenariat avec un professionnel du logiciel. Nous, les juristes, nous épluchons la GDPR dans ses moindres arcanes, et l’équipe de Alter Privacy Solutions développe un logiciel permettant de faire un état des lieux de la « compliance » du SI et des traitements de données de l’entreprise / personne publique.

Un préliminaire indispensable : l’audit

Evidemment, cette démarche d’audit préliminaire est indispensable pour toute entreprise / personne publique afin de démontrer – et c’est bien l’esprit de la GDPR/RGPD – que le process de mise en conformité est pris à bras le corps par le « responsable » des traitements de données personnelles (le « data controler« ).
Mais cette première démarche n’est pas suffisante et ne permettra pas à elle-seule à un responsable » de traitement d’affirmer être dans les clous. Car pour faire plier les entreprises, la GDPR/RGPD pose une présomption de non-respect de la règlementation. C’est le principe dit d’ « accountability« . Evidemment, ça fait plus chic et plus sérieux écrit en anglais…
Alors ? Comment renverser la charge de la preuve ? Pour le dire autrement, comment l’entreprise / personne publique qui est aujourd’hui présumée ne pas respecter la GDPR peut-elle démontrer sa bonne foi a priori ?

La solution : la certification GDPR

Et voila vers quoi tend le logiciel en cours de développement avec Alter Privacy Solutions : la mise en place  d’un process effectif d’audit et de certification associant logiciel et matériel. Cette solution complète « hard + soft » sera disponible en 2018 (dès janvier 2018 dans sa partie audit).
Ne rêvez pas, il n’est pas raisonnable de vous affirmer que votre entreprise / personne publique pourra lancer dès janvier 2018 un programme de certification au sens de l’article 42 GDPR/RGPD. A ma connaissance, la CNIL n’est pas encore – matériellement – en mesure de délivrer pareille homologation à un programme de certification. Tout le monde y travaille…

—> Focus #01 l’obligation technique de sécurité

Avec Alter Defence Security, nous avons choisi de faire une série de rappels sur quelques notions clé de la GDPR/RGPD.
Le premier thème tourne autour de cette obligation nouvelle relative aux contraintes de sécurité. [NDLR : merci Ines, effectivement, « autour » ne prend pas de « S »]
Qui dit obligation technique de sécurité, dit risque technique identifié. Mais de quel(s) risque(s) parle-ton ?

Le risque de faille / fuite de données

Dans la GDPR/RGPD, ça s’appelle le risque de « violation de données« . Et franchement, la définition légale ne peut pas être plus large.

 Les 4 volets de la sécurisation des traitements de données

Pour le chiffrement, je ne peux que vous renvoyer (lâchement) sur ce que j’ai compris des  notions fondamentales de la cryptologie. Si c’est l’encadrement juridique de la fourniture ou de l’usage du chiffrement, une présentation toute prête sur le sujet est à portée de clic de votre souris
Pour ce qui est de la pseudonymisation, je vous propose le schéma suivant :

restent 3 points relatifs à l’obligation technique de sécurité :

• disponibilité et résilience des systèmes ET DES SERVICES (j’insiste sur ce point)
• obligation de prévoir les moyens de remédier à toute faille de sécurité / fuite de données
• mise en place d’un process d’audit régulier des procédures et moyens de sécurité technique.

Le 4ème point concerne encore l’audit. La sécurité d’un SI ne sera validée que sous réserve de la mise en place d’un audit. Si cet audit est prévu dans l’obligation technique de sécurité, pourquoi ne pas l’intégrer dans une procédure complète de certification art. 42 GDPR ? Vous avez envie de faire le travail deux fois ?
Bon, tout est dit dans les slides de la présentation. Juste un rappel sur l’importance du chiffrement : la GDPR/RGPD prévoit une dispense de notification des failles de sécurité /fuites de données aux « personnes concernées » lorsque les données ont été chiffrées (cliquez sur le lien http pour accéder à notre *** FOCUS *** sur la notification des « violations de données [personnelles]« ).

Vous savez ce qui vous reste à faire ?