Protection des données personnelles : faut-il anticiper les mutations réglementaires ?

Vols de données, débats sur le droit à l’effacement, déclarations et publications diverses [1] … les exemples ne manquent pas sur le thème de l’utilisation et de la protection de la donnée personnelle [2] , traduisant ainsi la sensibilité et l’intérêt croissant du citoyen quant à son exploitation et des limites à y apporter. Face à des enjeux économiques et éthiques, en aussi forte croissance, la réglementation est en train d’opérer une mutation visant à accompagner cette évolution tout en encadrant les risques qui y sont associés.

Le futur Règlement européen

À ce titre, au-delà d’une réglementation spécifique de Place (protection de la clientèle, lutte antiblanchiment et KYC…), le futur Règlement européen sur la protection des données à caractère personnel [3] devrait être adopté en 2015, avec une mise en application prévue en 2017. Cette échéance peut sembler lointaine ; si l’on prend le temps d’analyser les principes clés de ce nouveau texte et les modifications en profondeur qu’il induit sur le dispositif global de gestion des données, elle est à l’inverse extrêmement proche.

Vu par le prisme de la gestion des données client, le retard pris sur le calendrier d’adoption du Règlement [4] ne fait que traduire l’antagonisme de fond entre, d’une part, l’efficacité commerciale impressionnante que permettent les moyens de prospection numérique actuels, en particulier le croisement de données allié au Big Data, et, d’autre part, la protection de la vie privée et des droits individuels du citoyen qui prennent un relief particulier en Europe. En témoigne encore relativement récemment l’avertissement public émis par la CNIL [5] le 7 août 2014 à l’encontre d’un établissement financier pour atteinte à la confidentialité des données bancaires de certains de ses clients et non-respect des règles de fonctionnement du fichier des incidents de remboursement des crédits aux particuliers.

Si l’équilibre final se cherche encore à ce jour, il n’en reste pas moins que le futur Règlement européen s’appuie sur un certain nombre de principes clés, désormais admis, qui s’inscrivent bien souvent dans le prolongement de dispositions de droit interne déjà amorcées dans les années 2000, telle la loi du 6 août 2004 [6] en France.

Un correspondant à la protection des données désormais obligatoire

En premier lieu, le correspondant à la protection des données instauré dans certains pays d’Europe, et optionnel en France depuis 2004, devient obligatoire pour tous les pays de l’Union selon des critères communs alternatifs, relatif à la sensibilité des données traitées, la masse de données ou le nombre de salariés ayant accès à ces données [7] . Quels que soient les critères définitifs retenus, nul doute que les établissements financiers, sauf peut-être à de très rares exceptions, sont tous concernés.

Comme le correspondant à la protection des données, le Data Protection Officer est le point de contact des autorités de contrôle nationales. Il veille au respect de la réglementation de Place et la réglementation de droit commun relative aux données à caractère personnel au sein de l’établissement qui l’a désigné. Chargé de répertorier l’ensemble des traitements, il est rattaché directement au responsable des traitements et ne reçoit pas d’instruction dans le cadre de sa mission.

Une approche par les risques

Un autre changement notable prévu par le Règlement européen est marqué par la quasi-disparition des formalités préalables, hormis les demandes d’autorisation portant sur des traitements sensibles (santé, opinions politiques et religieuses…) ou, plus généralement, présentant un risque particulier du fait de leur nature, de leur portée ou de leurs finalités.

Toutefois, cette disparition n’est pas nécessairement une bonne nouvelle pour les organismes responsables de traitement. En effet, d’un formalisme devenu lourd et parfois tatillon, mais permettant un meilleur contrôle en amont et donc une meilleure limitation des risques pour le responsable du traitement, la bascule s’opère vers plus de souplesse et de liberté au travers d’un allégement massif des formalités obligatoires, qui trouve néanmoins sa contrepartie dans une responsabilisation accrue en amont, génératrice de risques nouveaux et plus importants en cas de défaut de maîtrise.

Cette responsabilité se traduit par le nouveau concept d’«  accountability [8] », qui conduit l’organisme responsable de traitement à se mettre en position de devoir justifier du respect de la réglementation relative aux données à caractère personnel. Ce renversement de la charge de la preuve doit amener les responsables de traitement à mettre en œuvre un dispositif documenté [9] , assorti d’études d’ impact [10] , de plans de contrôles [11] et d’une piste d’audit appropriés pour justifier de la conformité à la réglementation de leurs traitements de données à caractère personnel.

Dans le cadre de l’accountability, la responsabilisation des organismes se traduit au travers de l’approche par les risques désormais officialisée par le futur Règlement.

Le texte prévoit d’ailleurs de manière explicite l’obligation de recourir à des analyses d’impact relatives à la protection des données pour les catégories de traitements définis largement qui présentent un risque particulier du fait de leur nature, de leur portée ou de leur finalité.

Cette approche par les risques doit se traduire également par la prise en compte par défaut de la protection des données et ce dès le départ pour tout projet impliquant un traitement de données à caractère personnel, ce que l’on nomme communément « privacy by design ».

Les spécialistes de la sécurité informatique sont aujourd’hui déjà confrontés à l’obligation de s’assurer dans un certain nombre de cas que la sécurité est prise en compte dès le départ dans la mise en œuvre d’une nouvelle application. Ceci suppose bien souvent d’en tenir compte dès le stade du développement et peut avoir un impact sur ses modalités de réalisation, en termes de faisabilité, coûts et délais.

Transposé à la mise en place d’un nouveau traitement de données de clients et, plus généralement, de tout traitement de données à caractère personnel, le raisonnement est désormais le même. À ce titre, le projet de Règlement prévoit ainsi que le responsable du traitement applique, dès la définition puis lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles permettant d’assurer la protection des données et les droits des personnes, compte tenu de l’état de la technique le plus récent [12] .

Des points encore en suspens

Dans un contexte de commerce international et de circulation des données à caractère personnel en Europe, le principe d’un guichet unique a été également arrêté afin que les démarches soient facilitées et centralisées auprès d’une même agence de protection des données « chef de file ».

Si le principe a été arrêté, ses modalités d’application font encore l’objet de vives discussions de la part des agences de protection nationales qui ont pour préoccupation, non seulement de rendre effectif et de ne pas renchérir l’accès à la justice des personnes concernées par les traitements, mais également d’éviter les effets de « forum shopping » entre États membres.

Autre point d’attention : les failles de sécurité relatives aux données à caractère personnel doivent être notifiées sans retard par le responsable du traitement aux autorités de contrôle nationales [13] ainsi qu’à la personne concernée [14] . Pour les établissements classés parmi les infrastructures d’importance vitale, ces dispositions doivent se lire en combinaison avec l’obligation prévue par la Loi de programmation militaire de notifier aux services du Premier ministre les failles de sécurité et les attaques informatiques dont elles font l’objet et de coopérer avec l’ ANSSI [15] et les autres services de l’État pour prendre les mesures préventives.

Enfin, témoin de l’importance et de la montée en puissance de la question des données à caractère personnel dans une économie fortement influencée par le numérique, le niveau des sanctions change totalement de dimension puisque, d’un maximum théorique de 5 ans de prison et 500 000 euros d’amende en France, on se recentre sur la sanction financière pour la porter, en l’état actuel du texte, selon différents seuils allant de 250 000 euros à 100  millions d’euros d’amende ou 5 % du chiffre d’affaires mondial consolidé [16] .

La revue des dispositifs internes

 

Il est clair que cette nouvelle réglementation va conduire les organismes concernés à revoir fondamentalement un certain nombre de processus internes de gestion des données, et en particulier de leurs données clients, tant sur le plan de la cartographie des risques que sur les volets gouvernance, méthodes, outils, et processus de gestion. Ces évolutions sont déjà en cours et la plupart des établissements financiers et d’assurance ont lancé des programmes d’évaluation et d’adaptation de leurs dispositifs de sécurité des données et de l’information, notamment pour répondre à l’essor de la cybercriminalité.

Parmi les principes de la nouvelle réglementation exposés précédemment, le renversement de la charge de la preuve (accountability), d’une part, et les règles de notification, d’autre part, sont particulièrement porteurs d’éléments de risques accrus.

En effet, à défaut de pouvoir démontrer a posteriori la conformité des processus mis en œuvre, l’organisme s’exposera à des sanctions dont le niveau est considérablement réévalué, comme nous l’avons rappelé, sans oublier les conséquences sur la réputation qui résulteraient de la publicité donnée à ce type d’événement.

Les nouvelles règles de notification auront de leur côté des conséquences pécuniaires significatives, à intégrer dans les coûts globaux de détection, de traitement et de remédiation, auxquels il faudrait ajouter les coûts d’ajustements des outils et processus de gestion que les régulateurs ne manqueraient pas d’imposer en cas de défaillance.

Ces nouveaux risques métiers, réglementaires et opérationnels, devraient inciter les établissements financiers et d’assurance à se saisir dès à présent de ces sujets pour les intégrer dans les transformations en cours, sans attendre la mise en application du nouveau règlement.

Ce serait en effet un mauvais calcul, alors même que les organismes ont engagé des travaux, d’une part sur les dispositifs de sécurité en lien avec la lutte contre la cybercriminalité [17] , et d’autre part sur les dispositifs de gouvernance, d’agrégation et reporting des données [18] , de ne pas y intégrer dès maintenant, « by design », les principes de protection de la donnée personnelle posés par le projet de règlement.

Instaurer une culture de protection des données

Parmi les éléments clés d’une politique des données qui reste à enrichir ou formaliser dans bien des cas, les règles de classification et d’usage, ainsi que les dispositifs de protection associés et différenciés, sont à notre sens à prendre en compte très rapidement, afin d’intégrer ces nouvelles contraintes métiers et réglementaires dans les expressions de besoins nécessaires aux architectures, outils et processus de gestion des données.

La réflexion sur la gouvernance doit par ailleurs être engagée. À l’instar de ce qu’un certain nombre d’établissements étrangers ont déjà mis en œuvre [19] , faut-il consacrer la nouvelle prééminence de la donnée par la création d’une fonction de Chief Data Officer (CDO) ?

À l’aune des exigences actuelles, métiers et réglementaires, relatives à la gestion de l’information et à la production des analyses et reporting, cela semble être une véritable option pour harmoniser enfin les concepts et définitions sur l’information et traiter la problématique du fonctionnement et du stockage de l’information en silos.

Déployer des méthodologies cohérentes, garantir le respect des normes de conformité, qualité, sécurité, et promouvoir une stratégie et une architecture de l’information comme un service partagé : telles pourraient être quelques-unes des missions clés du CDO [20] , ce rôle transverse et de coordination justifiant à notre avis un rattachement au plus haut niveau de l’organisation.

Les mutations des usages et des technologies, qui ont transformé les données en actif stratégique, en feront tout autant un passif potentiel si les organisations ne prennent pas la mesure de ces nouveaux risques. Instaurer et déployer une culture de protection de la donnée, tel est en synthèse l’enjeu majeur à intégrer dès à présent dans la stratégie de gestion de l’information et les modèles opérationnels.

1 On citera, à titre d’illustration, « Le numérique et les droits fondamentaux », Conseil d’État, étude annuelle 2014 et « Pour une déclaration préliminaire des droits de l’homme numérique », Forum d’Avignon 2014 (http://sandbox.spintank.fr/). 2 Les données à caractère personnel s’entendent de toutes données qui permettent d’identifier directement ou indirectement une personne physique (cf. art. 2 de la Loi n° 78-17 du 6 janv. 1978). 3 Projet de Règlement Européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données). 4 Le projet de règlementation européen est sur la table de négociation depuis 2012. 5 Commission Informatique et Libertés. 6 Loi n° 2004-801 du 6 août 2004 réformant la loi « informatique, fichiers et libertés » du 6 janvier 1978, instaurant notamment la CNIL. 7 Article 22, 35 et suivants du Projet de Règlement européen dans sa version du 12 mars 2014. 8 Article 22 du Projet de Règlement européen dans sa version du 12 mars 2014. 9 Ibid., article 28. 10 Ibid., article 33. 11 Ibid., articles 33 bis et 37. 12 Ibid., article 23. 13 Ibid., article 31. 14 Ibid., article 32. 15 Autorité nationale de sécurité des systèmes d’information. 16 Article 79 du Projet de Règlement européen dans sa version du 12 mars 2014. 17 Voir Philippe Deniau et Nicolas Vetriak (Associés Novaminds), « Sécurité des données et lutte contre la cybercriminalité : il est temps d’innover », Revue Banque n° 781, février 2015. 18 Notamment en lien avec le BCBS 239 : Principles for Effective Risk Data Aggregation and Risk Reporting. 19 Selon une étude Gartner publiée en 2014, 25 % des grandes entreprises auront nommé un CDO fin 2015, notamment dans le secteur bancaire, le secteur public et l’assurance. 20 Le CDO ne saurait d’ailleurs être confondu avec le Data Protection Officer, ce dernier ne pouvant avoir un rôle opérationnel étendu.