Le chiffrement : un outil indispensable pour le DPO
Culture tech.
Un nouveau métier pour de nouveaux besoins.
Fonction qui a vu le jour il y a quelques années, le Délégué à la Protection des Données personnelles (DPD, DPO en anglais) allie sens de l’organisation et de la responsabilité. Il doit utiliser toute la palette des outils de protection des données personnelles exigées par le Règlement Général pour la Protection des Données (RGPD). Il peut s’appuyer notamment sur le chiffrement qui lui permet d’exercer avec davantage de sérénité.
RGPD : un nouveau paradigme dans le monde de la donnée
Le RGPD, acronyme signifiant « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR), a été décidé à l’échelle européenne en 2016. Il est devenu d’application obligatoire en France en mai 2018. Son objectif est de permettre à tout citoyen européen de maîtriser la diffusion et l’usage de ses données personnelles. La définition est très large : cela commence par un prénom et un nom, ou tout numéro, texte, date permettant d’identifier quelqu’un.
Toute personne doit ainsi pouvoir :
- accepter ou refuser – au préalable – la communication de données personnelles le concernant (en fonction de la légitimité de leur collecte, qui doit être prouvée) ;
- supprimer, modifier, conserver toutes ces données collectées.
En France, c’est la CNIL (Commission Nationale de l’Informatique et des Libertés) qui surveille et régule le RGPD. En cas de souci, et notamment de fuite de données, il est obligatoire de lui signaler l’événement sous 48h. S’il s’avère que la responsabilité de l’entreprise est engagée (par défaut de protection, par exemple), des sanctions administratives très lourdes peuvent être prononcées.
En 2021, la CNIL a prononcé plus de 214 millions d’euros de sanctions (une forte progression par rapport à l’année précédente) avec des montants allant de 100 K€ à 10 M€. Un record a été atteint récemment par la société ClearView, condamnée à régler 20 M€ d’amende pour différents manquements au RGPD – le premier étant l’absence de consentement de la part des personnes dont le visage a été enregistré par leurs systèmes de comparaison faciale.
Le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.
Le RGPD évolue (et devient notamment de plus en plus complexe et contraignant). S’y conformer est une obligation permanente, qui doit accompagner l’évolution des systèmes, des outils et des ressources humaines de l’entreprise.
Une entreprise, même petite, n’est pas exonérée du respect du RGPD. Les données sont partout : le fichier du personnel, le fichier des clients et prospects sont de bons exemples. Certains contiennent des informations sensibles, comme des références bancaires.
Le DPO : gardien et responsable
Face à cette nouvelle obligation réglementaire, les organisations se sont outillées ; cependant de nombreuses entreprises, collectivités, administrations ne sont pas encore conformes : près de 50% en 2021.
Au-delà des mesures d’organisation, un service dédié au respect du RGPD a le plus souvent été créé, animé par le DPO. Il est en effet rapidement apparu que les responsables SI ne pouvaient ajouter cette fonction à leurs missions habituelles.
Le DPO est l’homme-clé de la transparence, de la confiance, de la responsabilité de l’organisation. C’est aussi vers lui que doivent se tourner les particuliers qui souhaitent connaître, modifier, supprimer, rendre portables les données les concernant.
Il est le responsable devant la société et la loi de la conformité et de la protection des données : un rôle à part entière, proche des entités de direction de l’entreprise.
Le DPO intervient également dans la sensibilisation et la formation des équipes – et cette formation est prioritaire.
Le risque de sanctions
Aucune société n’est à l’abri d’une fuite de données. Ce genre d’évènements donne lieu à des signalements à la CNIL de la part de victimes mécontentes et entraîne alors enquête et sanctions de façon quasi-automatique.
Si le moindre défaut de protection périmétrique (antivirus, protection contre l’intrusion,…) est décelé, la sanction sera inévitable. Même si la fuite a eu pour cause une erreur humaine, la responsabilité de l’entreprise et du DPO sera mise en cause.
Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la CNIL peut :
- Prononcer un rappel à l’ordre ;
- Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
- Prononcer une amende administrative.
Avant sinistre (vol de données), la CNIL sera progressive dans ses sanctions, commençant par un rappel à la loi et une injonction de correction sous un délai court, mais raisonnable. Elle vérifie que son avis ait été suivi par le DPO. Après sinistre, la sanction est systématique.
Implémenter une solution de chiffrement : le GRAAL pour un DPO
C’est la protection des données qui est le fil conducteur de la réflexion autour du RGPD, puis de l’action en conformité.
On ne peut réduire à zéro le risque de fuite de données : c’est alors le chiffrement qui devient la solution la plus complète. En effet, même si les données sont volées, elles sont incompréhensibles pour le pirate : il peut réussir à les dérober, mais il ne pourra pas les lire.
Le chiffrement des données fait d’ailleurs partie des recommandations de la CNIL pour la protection des données personnelles.
Grâce à ce type de protection des données, la CNIL ne pourra pas reprocher à l’entreprise victime de fuite de ne pas avoir protégé les données personnelles “à l’état de l’art”, c’est-à-dire avec le système de protection le plus efficace connu à ce jour. Aucun recours, aucune sanction ne peut alors être prononcée contre l’entreprise, son dirigeant, ou son DPO.
Le chiffrement doit cependant être correctement mis en place : un système « à la volée » et transparent, pour que toute donnée soit chiffrée instantanément dès son entrée dans le système, sans même que l’utilisateur ne s’en aperçoive. Un chiffrement intégral, un chiffrement en interne, c’est-à-dire qu’il ne doit pas être confié à un cloud extérieur.
C’est tout l’intérêt de passer par un prestataire de chiffrement agréé et certifié au plus haut niveau par l’ANSSI.
Le Règlement Général sur la Protection des Données a introduit une nouvelle contrainte, très éthique et positive, pour les entreprises : la nécessité de maîtriser les données personnelles détenues et traitées, et de les protéger au meilleur de la technique. Le DPO est le garant du respect de cette obligation – génératrice de sanctions lourdes – et doit se munir d’outils pour y parvenir, notamment à l’aide du chiffrement.