Tendance La CNIL vient d’épingler Cdiscount et le Parti socialiste. Les atteintes à la vie privée sont encadrées par la loi Lemaire et un récent règlement européen. En 2018, l’amende infligée aux contrevenants pourrait aller jusqu’à 4 % de leur chiffre d’affaires. Cinq étapes pour éviter la « datastrophe ».
Une « datastrophe » ? C’est un problème de communication qui se double vite d’un gros souci d’argent. « Mis en cause pour la mauvaise protection des données personnelles de ses clients, un site d’e-commerce peut voir chuter son chiffre d’affaires de 30 à 40 % pendant plusieurs semaines », illustre Olivier Itéanu, avocat spécialiste du droit du numérique à la cour d’appel de Paris. Pis, comme si cela ne suffisait pas, les sanctions prévues par la loi se font plus sévères. Promulguée le 7 octobre, la loi République numérique élève à 3 millions d’euros le montant maximum de l’amende que la CNIL peut adresser aux sociétés contrevenant à la protection des données personnelles. En vigueur le 25 mai 2018, un règlement européen alourdira encore la sanction avec des amendes à hauteur de 4 % de leur chiffre d’affaires mondial. En dépit des enjeux, les entreprises connaissent peu leurs obligations. Le 19 octobre dernier, le site e-commerce Cdiscount a fait l’objet d’un avertissement public et d’une mise en demeure par la CNIL. Il est désormais attendu davantage d’éthique et de proactivité de la part des entreprises et de toutes les organisations. La semaine dernière, c’était au tour du Parti socialiste d’être épinglé pour avoir mal sécurisé un accès depuis le Web à la base de données de ses adhérents. Attention, corriger ses pratiques, une fois l’enquête de la Commission lancée, demeure sans effet sur la sanction prononcée.
Contacter la Cnil
Aux premiers doutes, prenez conseil auprès de la Commission nationale de l’informatique et des libertés. De nouveaux textes de loi viennent renforcer la légitimité de ce régulateur . Si le règlement européen entend supprimer l’obligation de déclaration préalable, difficile toutefois de faire sans la Cnil. « Nous sommes beaucoup sollicités par les entreprises et les fédérations professionnelles pour expliquer les nouvelles règles », confirme Edouard Geffray, le secrétaire général de l’autorité administrative. En décembre, la Cnil s’associera à ses homologues européennes pour publier des recommandations communes. Mais sachez que sa permanence juridique répond déjà aux questions des entreprises et de leurs responsables des données.
Désigner une perle rare, un DPO
Etape essentielle, non obligatoire mais recommandée par la Cnil : la nomination d’un « data protection officer (DPO)». Car, la jurisprudence pourrait réserver bien des surprises à ceux qui ne désigneraient pas ce ou cette correspondante Informatique et Libertés, « vigie » salariée ou mandatée. « Le texte de loi repose sur de la soft law, il peut être interprété de différentes façons », explique Paul-Olivier Gibert, le président de l’Association française des correspondants aux données personnelles. Le rôle du ou de la DPO ? Anticiper les risques. Ce qui suppose de comprendre l’architecture des systèmes d’information, d’avoir des notions juridiques, d’être un familier des sciences de la donnée et, enfin, de cerner la stratégie et le management de l’entreprise.
Ranger ses données
Ensuite, pour respecter les droits des consommateurs, savoir où sont stockées leurs data est impératif. En pratique, toute mise en conformité commence donc par un inventaire. « Les entreprises s’organisent pour exploiter les données, elles font de gros progrès pour les localiser », rassure Régis Delayat, le directeur des systèmes d’information de Scor. Vice-président du Cigref, un réseau de DSI, il vient de lancer un groupe de travail avec l’Afai et Tech In France, deux groupements professionnels d’auditeurs et d’éditeurs de logiciels. Objectif : déterminer de bonnes pratiques pour les multinationales. Hors de l’Union européenne, la conformité du stockage de données dans les serveurs mutualisés du cloud computing pose question.
Se faire certifier
Atout capital, le tampon d’un expert. Le règlement ouvre la voie à des certifications nationales en termes de protection des données. Mais le texte n’atteste en aucune façon qu’un label vaut protection et/ou argument de défense. Néanmoins, toute attestation de conformité ou label éthique constitue un avantage compétitif. Pour l’instant, la Cnil certifie les méthodologies d’anonymisation des données et délivre aussi un label de bonne gouvernance des données personnelles. Quant à la norme ISO 27001 – une référence – elle valide des mesures de cyber-sécurité.
Surveiller les sous-traitants
Enfin, ne sous-estimez pas les risques issus de votre écosystème. C’est en effet désormais une coresponsabilité qui unit sous-traitant et donneur d’ordres sur le terrain du traitement des données personnelles. Auparavant, seul le donneur d’ordres était responsable. Les prestataires ont donc maintenant intérêt à se conformer aux exigences de leurs clients, notamment en termes de contrôle de leurs méthodes de travail.
Toutes ces actions ont évidemment un coût. Dans son livre Quand le digital défie l’Etat de droit (éditions Eyrolles), Olivier Iteanu déplore une distorsion de concurrence par rapport aux acteurs américains soumis aux moindres obligations du Privacy Shield. Il n’est pas le seul…