Protection des données personnelles : quel impact pour les entreprises

La protection des données personnelles est une préoccupation majeure de nombreux États comme des instances européennes qui veulent fixer un cadre juridique harmonieux et commun à tous les pays de l’Union Européenne et faire ainsi contrepoids aux règles dominantes américaines.

Une réglementation longuement réfléchie

La rénovation du cadre juridique européen de protection des données est en chantier depuis janvier 2012 et les nouvelles règles devraient être adoptées au tout début 2014 pour entrer en vigueur deux ans plus tard. A cette date encore lointaine, la Directive européenne de 1995 sera en effet remplacée par un Règlement européen d’application directe dans l’ensemble des États Membres de l’UE.

Cette longue période de gestation permet à toutes les parties prenantes de réfléchir et d’échanger sur le sujet. C’est le cas notamment du G29, le regroupement des CNIL européennes, qui a donné plusieurs fois son avis et fait des propositions d’amélioration concernant, notamment, la définition de données personnelles, la notion de consentement, les actes délégués et d’application, les dérogations aux transferts internationaux de données, la notification des failles de sécurité et le droit à l’oubli. Le G29 suggère également qu’une autorité européenne, coopérant avec les autorités nationales, concrétise le concept de guichet unique interlocuteur des entreprises afin de superviser les traitements de données mis en œuvre dans les Etats Membres. Comme on le voit, le débat n’est pas clos mais il est clair qu’une règlementation plus stricte concernant les données s’imposera bientôt à tous et particulièrement aux entreprises.

Des risques grandissants

L’utilisation des données provenant de consommateurs est un sujet très sensible qui est revenu récemment dans l’actualité avec les modifications unilatérales des politiques de confidentialité de géants d’Internet comme Google, Facebook et autre Twitter, tous sous législation américaine, mais dont l’impact est planétaire. Mais au delà des usages « détournés » de données librement déposées, des cas de vol dans les bases de données chez Sony, Monster ou à l’UMP ont mis en lumière les dommages que de telles opérations délictueuses pouvaient provoquer. La menace est sévère non seulement pour tous les internautes mais aussi pour les acteurs du web puisque les nouvelles réglementations en préparation vont toutes dans le sens d’une aggravation des pénalités encourues par les entreprises. La période actuelle est donc particulièrement propice à une rapide prise de conscience et à une évaluation des coûts et de la charge de travail qu’implique la préparation de ces changements pour tous les responsables de SI.

Des pénalités alourdies

Mettant par exemple en avant la règle qui obligerait les entreprises à obtenir le consentement explicite des citoyens de l’UE avant d’utiliser leurs données personnelles, contrairement au consentement implicite actuel, les sociétés de conseil engagent leurs clients à évaluer en permanence les protections qu’elles mettent en place autour des informations collectées. Ce principe de surveillance continue, sous-jacent dans toute la réglementation à venir, implique aussi qu’une évaluation de la confidentialité soit effectuée pour identifier pendant combien de temps les données personnelles seront traitées et stockées, avant qu’un projet impliquant leur utilisation puisse démarrer. De même, ces règles de précautions s’appliqueraient à toutes les données personnelles des citoyens de l’UE, où qu’elles soient stockées, donc à toute base de données d’envergure mondiale.

Les sanctions encourues en cas de manquement aux nouvelles règles s’annoncent particulièrement dissuasives : les amendes qui pourraient atteindre jusqu’à 2% du chiffre d’affaires annuel global, seraient sûrement infligées puisqu’elles assureraient directement le financement des autorités nationales de régulation.

Une mise en œuvre coûteuse ?

La mise en place de cette nouvelle réglementation implique des changements de processus et des modifications de systèmes, tels que des audits, des évaluations de confidentialité, des réformes de gouvernance, des mises à jour de consentements clients et de la surveillance supplémentaire. Ces évolutions ont un coût initial important et imposent un renforcement de la protection des données et le recrutement d’un personnel compétent et expérimenté. Dans le projet en cours de discussion, les entreprises dont les effectifs sont supérieurs à 250 salariés devraient désigner obligatoirement des agents de protection des données ce qui induirait inévitablement de nouveaux frais généraux.

Bien que coûteuses, les évolutions réglementaires envisagées ont au final pour objectif de parer plus efficacement aux cyber-attaques et à leur conséquences de plus en plus dommageables qui peuvent engendrer des pertes financières encore plus importantes que les investissements demandés. Car les pirates eux mêmes emploient les grands moyens pour s’approprier des données, comme par exemple la pose de capteurs sans fil sur les claviers d’ordinateur d’une banque ou des manœuvres de pénétration de systèmes étatiques comme les récentes cyber-attaques sur le système d’information de la présidence, à l’Élysée.

Une tonalité militaire

Les risques économiques et systémiques encourus à cause de ces attaques informatiques font que ce genre de menace intéresse de plus en plus les militaires qui les considèrent comme faisant partie de leur domaine de compétence. On parle désormais de cyber-défense aussi bien pour les organismes vitaux de l’Etat, que pour les entreprises qui, de prêt ou de loin, ont un rôle important dans la vie des citoyens. On en vient même à noter les pays en fonction des dispositions qu’ils ont pris pour organiser leur système de cyber-défense : viennent en tête la Norvège, la Suède et Israël puis suivent les principaux pays d’Europe… Les grandes entreprises commencent elles-aussi à intégrer les risques de cybercriminalité dans leur couverture d’assurance. Mais surtout, elles doivent anticiper la nouvelle réglementation et préparer cette prochaine échéance en évaluant en profondeur leur dispositif de protection.

L’heure de l’inspection générale

Une société comme Information Services Group (ISG) qui intervient dans la prospective technologique, l’analyse de marché et le conseil, préconise ainsi aux entreprises de procéder sans tarder à une revue de détail.

Celles-ci doivent d’abord recenser et examiner les produits et services qu’elles utilisent actuellement afin de déterminer l’impact du nouveau projet de réglementation sur chacun de ces éléments. Ce conseil est évidemment impératif pour tout ce qui concerne les contrats d’hébergement ou d’externalisation (infogérance).

Il convient ensuite d’évaluer l’impact global de la nouvelle réglementation sur les activités des entreprises pour identifier à quel point les processus et les modes de fonctionnement ont besoin d’être ajustés. Les personnes responsables de la gestion des données personnelles au sein de ces entreprises devraient plus particulièrement identifier les mesures à prendre avant l’entrée en vigueur du nouveau règlement pour en réduire l’impact financier et opérationnel.

Enfin, il est fortement recommandé de confier la responsabilité du suivi de la réglementation et de ses incidences sur l’organisation de l’entreprise à une personne clairement identifiée au sein de l’organigramme, ou de confier cette tâche à un conseiller externe. Ce responsable mettra en place un processus de décision concernant les plans d’actions et les modifications à apporter aux produits, services et contrats d’infogérance.

Il est impératif pour les entreprises de reconnaître sans tarder l’ampleur de cette nouvelle législation et de prendre toutes mesures pour s’y préparer.