RGPD : Comment sécuriser ses données ?
Publié par Floriane Salgues le | Mis à jour le
Assurer la confidentialité et la sécurité des données personnelles n'est plus une option en 2018. Le Règlement général sur la protection des données personnelles renforce les exigences en la matière. Pour le bien des consommateurs... et des marques.
De la fuite massive de données Uber, celles de 50 millions de clients, révélée en novembre 2017... au récent scandale Cambridge Analytica, soit 87 millions de données d'utilisateurs de Facebook récupérées à leur insu par cette firme qui a travaillé pour la campagne du président américain Donald Trump : le sujet de la sécurité des données est plus que jamais d'actualité. Avec les cyberattaques, le vol ou la fraude de données personnelles fait même partie des cinq principaux risques auxquels le monde doit se préparer à faire face dans les dix prochaines années, selon le Global Risk Report 2018 publié par le Forum Economique Mondial. C'est sans compter sur l'arrivée du Règlement général sur la protection des données (RGPD) le 25 mai 2018. Le texte va dans le sens d'un renforcement de la sécurité des systèmes de traitement et des infrastructures, mais aussi de l'information aux personnes et aux autorités de contrôle, en cas de violation de données personnelles. Pour autant, le RGPD ne sort pas du chapeau, rappelle Céline Mas, directrice générale associée de l'institut Occurrence, il "fait suite à la directive de 1995". Mais, poursuit-elle, "le RGPD est sans précédent, car le texte harmonise les pratiques européennes auparavant incarnées par les autorités de contrôle de chaque pays, avec des différences notables". Cette harmonisation "simplifie la gestion des projets transeuropéens grâce à une approche et une gestion partagée", complète Michael Bittan, associé responsable des activités cyber risk au sein du cabinet Deloitte.
Apprécier les risques
"Le RGPD rend obligatoire le "privacy impact assessment", l'analyse d'impact relative à la protection des données, explique Sara El Afia, R & D Software Engineer au sein d'Artefact, et ce, comme l'indique le texte "lorsque les opérations de traitement sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques". "Les marques sont attendues sur l'analyse des ressources informatiques, l'étude de leur vulnérabilité et les démarches de protection et de contrôle d'accès."
Première étape, donc : recenser les traitements de données à caractère personnel, les data traitées et les supports sur lesquels elles reposent - serveurs, ordinateurs portables, mobiles, système d'exploitation, wi-fi, document imprimé, notamment. Puis, apprécier les risques engendrés par chaque traitement sur les droits et libertés des personnes, identifier les menaces possibles et les mesures existantes ou prévues pour y répondre. "Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement" doit donc être mise en oeuvre, indique le Règlement. Et ce, de la collecte à la destruction des données, en passant par leur stockage.
"Il est nécessaire de mettre en place une démarche de gestion des droits d'accès aux données, afin d'identifier rapidement d'où provient la fuite", ajoute Céline Mas. Essentiel, lorsque l'on sait que 78 % d'entre elles sont dues à des collaborateurs internes à l'entreprise, de manière intentionnelle ou non - sessions laissées ouvertes, photocopies oubliées par exemple (Quantic.fr).
Camoufler les données à caractère personnel
Parmi les mesures de rigueur au 25 mai 2018 : le chiffrement des données à caractère personnel, soit le fait de les sauvegarder, de les faire transiter de manière verrouillée et codifiée, et donc de prévoir la ou les clés de déchiffrement pour retrouver cette donnée. La pseudonymisation est également une solution, mais peut s'avérer insuffisante s'il est possible d'identifier la personne concernée avec certaines informations supplémentaires. Une bonne technique est alors le hachage. Le principe : remplacer la valeur de la donnée, le nom de l'individu par exemple, par une valeur fictive qui est une suite de chiffres, lettres et autres caractères. Mais, attention, prévient Sara El Afia, "à ne pas confondre chiffrement et hachage, et à ne pas considérer ce dernier comme suffisant, car même si celui-ci est difficile à inverser, les attaques se perfectionnent de jour en jour." Pour la spécialiste, la meilleure approche est de ne récupérer que les données nécessaires au traitement et procéder à l'anonymisation des données. La solution d'anonymisation, demeure néanmoins complexe à mettre en oeuvre, remarque Michael Bittan :"À l'heure actuelle, cela ne fait pas partie de la priorité de nos clients pour 2018. Ceux-ci sont davantage concentrés sur leur feuille de route et la réalisation des différents chantiers de la GDPR (la cartographie, notamment) et s'attaqueront à l'anonymisation en 2019, voire 2020."
Miser sur le Privacy-by-design
L'article 32 poursuit sur la nécessité d'établir les moyens de garantir la confidentialité et l'intégrité des systèmes de traitement, mais aussi les moyens de rétablir la disponibilité et l'accès aux données personnelles dans des délais appropriés en cas d'incident. "À tout moment, l'utilisateur peut demander des comptes à la marque sur l'utilisation de ses data, précise la directrice générale associée d'Occurrence. Celle-ci doit donc mettre en place un "data bridge", un plan de continuité." D'autant, qu'en cas de violation de données à caractère personnel (article 33), le responsable du traitement dispose de 72 heures maximum pour notifier la Cnil. Sans oublier d'informer directement les utilisateurs concernés si la violation est susceptible d'engendrer un risque élevé pour ses droits et ses libertés. D'où la démarche de privacy-by-design, qui "intègre le sujet de la sécurité des données à la source", relève Céline Mas. Sara El Afia complète : "Dès le début, le privacy-by-design impose de protéger les ressources informatiques, les transferts de données, les droits d'accès et sensibilise aux différents types de données." En effet, la protection de la vie privée est alors intégrée dans les nouveaux projets, services ou applications dès leur conception. "Soit l'économie de millions d'euros", argumente Michael Bittan. Et d'ajouter : "Avec l'entrée en vigueur du RGPD, les marques se doivent de renforcer leurs infrastructures afin de protéger les joyaux de la couronne, les données les plus sensibles de l'entreprise."
Check-List
Pour aller plus loin :
- Comment obtenir le consentement explicite ?