La sécurité des données personnelles à l’heure de la RGPD

Qu’est ce que la sécurité des données personnelles ?

A l’heure de la digitalisation, se pose la question de la numérisation des données et plus particulièrement, des données personnelles. Le paysage informatique est rempli de failles qui, si elles sont exploitées, permettent le vol de données, l’accès frauduleux ou encore l’exécution de virus et mettent en péril la sécurité des données personnelles collectées par les entreprises.
Lorsque l’on parle de sécurité des données personnelles, il s’agit de garantir la sécurité et la confidentialité des données qui permettent d’identifier un individu (nom, adresse, numéro de sécurité sociale, etc).

La loi Informatique et Liberté (Loi n°78-17 du 6 janvier 1978) réglemente le traitement des données à caractère personnel et impose aux responsables, ainsi qu’aux sous-traitants de traitements des données personnelles, une obligation de sécurité et de confidentialité, sous peine de sanctions pouvant aller jusqu’à 5 ans de prison et 150 000€ d’amende.

Cette loi détermine certaines droits aux personnes traitées comme le droit à l’information, le droit d’accès, le droit à l’opposition et le droit de rectification. Ci-dessous une explication sur chaque point :

  • Droit à l’information : toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée. En pratique les personnes sont informées au moment de la collecte de leurs données sur le formulaire de collecte des données par des mentions obligatoires.
  • Droit d’accès : toute personne a le droit d’interroger le responsable d’un fichier pour savoir s’il détient des informations sur elle. Ils peuvent également prendre connaissance de l’intégralité des données la concernant.
  • Droit à l’opposition : toute personne a la possibilité de s’opposer, soit en refusant de répondre ou de donner un accord obligatoire, soit à posteriori. Les organisations doivent faire attention à les demandes de désinscription car elles doivent être effacés dans les plus courts délais.
  • Droit de rectification : toute personne a le droit de faire rectifier, compléter, actualiser, verrouiller ou effacer des informations qui la concernent. Les modifications demandées doivent être traitées au plus court délais.

Qu’est ce que le RGPD ?

Le Règlement Général sur la Protection des Données est le texte de référence européen en matière de protection des données personnelles pour les résidents de l’UE. Applicable à compter du 25 mai 2018, il va harmoniser la gestion des données dans l’ensemble des pays de l’UE et concernera tous les acteurs sociaux et économiques proposant des biens et des services sur le marché dès lors que leurs activités traitera des données personnelles sur les résidents de l’UE.

L’objectif est de donner aux citoyens européen davantage de contrôle et de visibilité sur leurs données privées. Le principal enjeu pour les entreprises sera donc de savoir à tout moment quelles sont les données dont elles disposent, leur localisation, l’objectif de leur collecte, leur mode de gestion, de stockage, de transfert et de suppression.
Les sanctions en cas de non respect de ces dispositions pourront s’élever jusqu’à 4% du CA annuel mondial ou 20 millions €.

Les 5 nouveaux principes à mettre en oeuvre sont :
1. Accountability : introduit la logique de responsabilisation des entreprises. Ce sera à l’entreprise de prendre toutes les mesures pour garantir la conformité au RGPD,
2. Privacy by design : prise en compte dès la conception du produit ou du service,
3. Security by default : renforce le rôle de sécurité dans le système d’information (physique et logique)
4. Data Protection Officer ou délégué à la protection des données : il veille à la conformité au RGPD et est le point de contact avec les organes de contrôle,
5. Réalisation d’étude d’impact

Pour sécuriser les données personnelles, une bonne gestion des risques doit être mise en place, via 4 étapes :
1. Le recensement des traitements de données à caractère personnel, de toutes les données traitées, ainsi que de leurs supports de stockage.
2. Définir les risques (sources des menaces, probabilité de survenance, impacts potentiels) pesant sur chaque traitement.
3. Déterminer les mesures de sécurité à mettre en place pour contrer ces risques.
4. Mettre en oeuvre les mesures de sécurité adéquates retenues et effectuer des vérifications afin de s’assurer de la correcte application des mesures de sécurité grâce à des audits périodiques.

Qu’en est-il des consommateurs ?

Même si le secteur des données personnelles semble sécurisé et le sera encore plus avec la nouvelle loi du 25 mai 2018, il est conseillé aux utilisateurs d’internet d’user de la plus grande vigilance quant à leurs données personnelles.

Afin d’éviter de se retrouver en situation de dépôt de plainte, la Commission Nationale de l’Informatique et des Libertés (CNIL) recommande à tout utilisateurs de :
– Cocher les bonnes cases : Certaines cases, une fois cochées, autorisent une entreprise donnée à transmettre les données reçues à des partenaires, par exemple
– S’interroger sur la pertinence des informations demandées : Les consommateurs sont libres de ne pas communiquer une donnée si elle n’a pas eu caractère obligation (notifiée d’un astérisque) pour finaliser l’achat ou la souscription
– Exercer ses droits : Les consommateurs doivent garder à l’esprit qu’ils bénéficient de 4 droits (présentés précédemment) auxquels ils peuvent recourir à tout moment : le droit à l’information, le droit d’accès, le droit à l’opposition et le droit à la rectification.

Pour aller plus loin : https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf

Auteurs : Ayume Aono Alves De Souza, Vladislava Simanovitch, Nelly Absyrthe, Nadia Collodel, A Mui Paquin

Sources :
https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles
https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee
https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire
https://www.donneespersonnelles.fr/rgpd
http://www.cil.cnrs.fr/CIL/spip.php?rubrique299



Inscription à la newsletter