Maren Winter - stock.adobe.com
RGPD : comment optimiser la protection des données en plus de la confidentialité
Paddy Francis, directeur technique d’Airbus CyberSecurity, explique les effets de la réglementation sur la protection des données personnelles, qui va au-delà du concept de « Privacy ».
L’entrée en vigueur du Règlement général sur la protection des données (RGPD) de l’Union européenne le 25 mai 2018 a marqué un tournant dans l’approche des risques d’atteinte aux données personnelles.
Juste avant le RGPD, les directions ont commencé à percevoir la cybersécurité comme un risque métier, mais sans savoir pour autant quantifier précisément les effets d’une fuite ou d’une perte de données. La cyberdéfense n’avait pas de socle légal. Il était donc difficile d’en justifier le coût.
Cadre réglementaire
L’arrivée du RGPD, assorti d’amendes conséquentes calculées sur le chiffre d’affaires et d’un cadre clair pour prouver sa conformité réglementaire, a facilité l’analyse économique du risque. Si certaines organisations n’avaient que faire de la protection des données personnelles avant le RGPD, désormais, elles s’en préoccupent.
Toutefois, la conformité avec le règlement ne garantit pas nécessairement la protection de la vie privée des clients et des employés. La CNIL britannique, l’ICO, a par exemple délaissé le terme de « privacy by design » au profit de celui de « data protection by design », en partie à cause d’une certaine subjectivité de la notion de « vie privée » (privacy), alors que des règles de protection des données se doivent d’être objectives.
En outre, certaines organisations qui clament leur conformité aux règles du RGPD en respectent la lettre, mais pas toujours l’esprit.
Prenons l’exemple du consentement : « la personne doit avoir la possibilité de retirer son consentement à tout moment, par le biais d’une modalité simple et équivalente à celle utilisée pour recueillir le consentement ». C’est une expérience que peu de gens ont vécue jusqu’ici, car il n’est pas si simple d’y arriver. On s’en rend bien compte lorsqu’on arrive sur un nouveau site web et qu’on nous demande d’accepter tous les cookies. Un simple clic sur un bouton suffit pour accepter. Mais gare à vous si vous changez d’avis : révoquer les permissions est souvent une sinécure.
Le consentement n’est qu’une des bases légales qui donnent le droit de procéder à un traitement de données personnelles. Parmi les autres, on trouve la notion d’« intérêt légitime ».
Intérêt légitime
Dans la procédure d’acceptation des cookies, on trouve souvent la mention d’« intérêt légitime » caché tout en en bas de l’écran. Les données personnelles sont traitées dans le cadre de l’intérêt légitime d’une personne, d’un tiers ou d’un fournisseur de service, ou en raison d’avantages plus larges. Par exemple si ces données sont nécessaires pour générer un service qui réponde aux attentes d’un consommateur.
Mais l’organisation responsable du traitement doit pouvoir démontrer qu’elle ne porte pas atteinte aux personnes dont les données sont traitées. Et elle doit pouvoir prouver qu’il n’existe pas un autre moyen, moins intrusif, de générer le service.
L’intérêt légitime est une base juridique utile pour traiter les données personnelles sans consentement explicite, en l’absence de relation contractuelle ou d’obligation légale.
Toutefois, il faut toujours déclarer, documenter et justifier l’objectif poursuivi. Ceci peut expliquer pour partie pourquoi certains sites mettent l’intérêt légitime dans le cadre du processus de consentement. Mais dans ce cas, les cookies du consentement sont souvent désactivés par défaut (« off »), à l’inverse de ceux relevant de l’intérêt légitime qui restent sur « on ».
L’exemple d’une analyse antivirus de mails
Un exemple concret d’utilisation de l’intérêt légitime difficile à justifier serait l’analyse antivirus des emails sortant d’une entreprise.
Il est certes dans l’intérêt de tous d’empêcher les messages infectés. Cela préserve la réputation de l’entreprise tout comme la sécurité des destinataires tiers. Mais, en même temps, une donnée personnelle sur celui ou celle qui aurait envoyé un tel message involontairement pourrait faire penser que cette information pourrait être retenue contre l’expéditeur.
Autre illustration : sur son PC de bureau, un employé a créé un dossier nommé « Personnel ». L’employeur aurait-il un intérêt légitime à accéder aux dossiers « Personnel » ? Dans ce cas, les preuves ainsi collectées seraient-elles admissibles au conseil de prud’hommes ?
Le premier scénario se prête mieux à une demande de consentement. Le second appelle une clarification du contrat de travail stipulant le droit de l’employeur.
Prioriser les 7 principes du RGPD
« Licéité, loyauté, transparence » correspondent au premier des sept articles formant les principes du RGPD. Leur prise en compte en amont de tout projet et tout au long du cycle à mesure que le système évolue est indispensable.
Les six autres principes sont : la limitation des finalités ; la minimisation des données ; l’exactitude ; la limitation de la conservation ; l’intégrité et la confidentialité ; la responsabilité.
S’il convient de tenir compte de l’ensemble du RGPD dans tout nouveau projet, il faut probablement d’abord réfléchir à la « limitation des finalités » et à la « minimisation des données ».
La compréhension de la finalité de toute entreprise est critique. Dans le RGPD, elle conditionne la finalité de la collecte et du traitement des données personnelles. Si elle n’est pas comprise, comment savoir quelles données collecter ou établir la base légale de la collecte et du traitement ?
La finalité doit être documentée et définie dans une charte de confidentialité ou équivalent accessible à tous les utilisateurs. Il est important d’énumérer dès le départ toutes les finalités pour lesquelles des données seront traitées. En effet, tout traitement ultérieur des mêmes données à d’autres fins devra faire l’objet d’une nouvelle demande de consentement et entraînera la mise à jour de votre documentation.
D’autre part, la minimisation des données consiste à réduire au minimum nécessaire les données collectées pour ladite finalité. Le terme « nécessaire » a toute son importance ici : la solution ne doit collecter que les données strictement nécessaires.
Soit deux solutions, A et B. La solution A demande de collecter plus de données personnelles que la solution B. Le fait que les données recueillies soient nécessaires à la mise en œuvre de la solution A contrevient au critère de minimisation des données si la solution B s’en passe. Le respect du RGPD est une chose. Il n’en est pas moins important de réduire au minimum le volume de données personnelles à protéger et, dans l’idéal, de diminuer voire d’éliminer le besoin de collecter ou de détenir des données personnelles sensibles.
Pseudonymisation des données des utilisateurs
La notion de pseudonymisation couvre une autre approche de la protection des données des utilisateurs. Par exemple, dans un jeu de données médicales, on peut remplacer l’identité d’un patient par un pseudonyme aléatoire unique, et stocker à part la relation entre l’identité de l’utilisateur et ce pseudonyme. Les données sont alors pseudonymisées, sans être totalement anonymisées puisque l’utilisateur reste identifiable grâce au mappage de données.
Cependant, les données pseudonymisées peuvent être traitées en toute sécurité tant que le mappage vers l’identité réelle est en sûreté. S’il n’y a jamais besoin d’identifier le patient donné, le mappage vers l’identité réelle est à supprimer et les données sont alors considérées comme totalement anonymisées.
Attention toutefois : si le sous-traitant du traitement ne le détient pas, mais que le mappage existe ailleurs, les données ne sont pas considérées comme totalement anonymes.
En outre, si d’autres informations incluses peuvent, par corrélation avec d’autres données, identifier une personne – par exemple, la corrélation de la date de naissance et du code postal avec les listes électorales –, alors les données restent seulement pseudo-anonymisées et doivent donc être protégées comme toute donnée personnelle.
La confidentialité en pleine évolution
Depuis son entrée en vigueur, le RGPD a imprimé sa marque. Les organisations ont adapté leur approche des données personnelles aux obligations réglementaires, et les autorités ont accru la pression en cas d’infraction.
Par ricochet, l’intérêt du grand public pour le sujet de la confidentialité des données s’est renforcé, aiguisé par les informations et les reportages sur différentes violations de données, ou par des décisions comme celle d’Apple de désactiver le suivi publicitaire d’un utilisateur d’une application et d’un appareil à l’autre.
S’il est peu probable que le règlement évolue de manière significative à l’avenir, son application continue et la compréhension croissante du public, des sujets de protection de la vie privée dans le monde numérique, devraient continuer à modifier notre approche de la protection des données personnelles, pendant un certain temps encore.