Les entreprises suisses sont aussi concernées par le RGPD
Le règlement européen sur la protection des données qui entre en vigueur le 25 mai est bien plus exigeant que les règlementations précédentes. Selon les situations, ses effets se déploient au niveau mondial sur les entreprises hors de l’Union Européenne, y compris en Suisse.
Le RGPD (General Data Protection Regulation GDPR), le nouveau règlement européen relatif à la protection des données qui entrera en vigueur le 25 mai 2018, prescrit des exigences nettement plus élevées que l’ancienne directive européenne sur la protection des données, datant de plus de 15 ans. Constitué de 99 articles et de 173 considérants, son champ d’application dépasse très largement les frontières de
l’Europe. Selon la situation, le RGPD peut ainsi déployer ses effets juridiques sur les entreprises du monde entier.
Sanctions et obligations
Toute infraction occasionne des amendes administratives pouvant s’élever jusqu’à 4% du chiffre d’affaires annuel mondial d’une entreprise ou jusqu’à 20 millions d’euros (art. 83). Toute violation de la protection des données doit être notifiée dans les 72 heures à l’autorité de contrôle compétente (art.33) et communiquée aux personnes concernées sans délai injustifié lorsque la violation en question est susceptible d’engendrer un risque pour leurs droits et libertés (art.34). A supposer toutefois que les données à caractère personnel aient été cryptées contre leur vol et que la clé n’ait pas été dérobée parce qu’elle a été conservée séparément, l’obligation d’informer les personnes concernées disparaît.
Il convient aussi de tenir compte du fait que les autorités de contrôle ont le pouvoir d’imposer des limitations temporaires ou définitives, voire d’interdire les activités de traitement (art.58). Toute personne ayant subi un dommage (matériel ou moral) du fait d’une violation du règlement sur la protection des données a le droit d’obtenir réparation du préjudice subi du responsable du traitement ou de l’entreprise (art.82). Les personnes concernées ont en outre le droit de se faire représenter par des organisations ou associations, comme par exemple une association de consommateurs, pour réclamer des dommages et intérêts (art.80). Toute personne concernée a notamment le droit d’introduire une réclamation auprès de l’autorités de contrôle de la protection des données compétente (art.77).
Droit suisse
Le RGPD et la loi suisse sur la protection des données sont appliqués conjointement dans la plupart des constellations internationales en relation avec la Suisse. La révision totale de la loi sur la protection des données (LPD), qui entrera en vigueur sous peu, prévoit des amendes administratives de maximum CHF 500 000. Il est important de savoir que l’amende incombe en première ligne à la personne physique responsable du traitement de données et non pas à l’entreprise.
Registres des activités de traitement
Sous certaines conditions, les entreprises doivent tenir un «registre des activités de traitement» dans leur domaine de responsabilité (art.30). Ce registre doit notamment comporter les informations suivantes:
La finalité du traitement (p. ex. évaluation du personnel)
Une description des catégories des personnes concernées (p. ex. employés)
Les catégories de données à caractère personnel (p. ex. évaluations)
Les transferts de données à caractère personnel vers un pays tiers (p. ex. services cloud)
Des informations concernant les délais de conservation ou d’effacement de données (p. ex. un délai d’un mois est prévu avant l’effacement des données après le départ d’une personne concernée de l’entreprise).
La description des mesures de sécurité (p. ex. cryptage des données)
La tenue de registres des activités de traitement constitue le point de départ pour la sécurité IT dans le cadre de la compliance relative au règlement sur la protection. Le registre doit être complété en continu et à portée de main sous sa forme actuelle afin de pouvoir être mis à la disposition d’une autorité de contrôle de la protection des données à sa demande.
Analyse d’impact relative à la protection des données
Les risques constituent un élément essentiel du RGPD. En effet, le mot «risque» apparaît 75 fois dans le règlement. Il est notamment mis en évidence dans l’article 35: lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, l’entreprise doit au préalable effectuer une analyse d’impact des opérations de traitement envisagées sur la protection des données. Cette dernière permet d’identifier et d’évaluer les mesures de sécurité des données à appliquer et de savoir si les autorités de contrôle doivent être impliquées dans la validation du traitement de données.
Enfin, toute entreprise traitant des données à caractère personnel devrait effectuer une évaluation des risques pour chaque application et mettre en œuvre des mécanismes de protection adéquats. En clair, cela signifie qu’une entreprise doit:
savoir quelles données à caractère personnel sont traitées et où elles se trouvent dans le système,
connaître les risques pour les personnes concernées,
implémenter des mesures de sécurité des données, et
renforcer la sécurité et garantir le bon fonctionnement informatique.
Droits de la personne concernée
Dans les articles 15 à 20 sont décrits les droits de la personne concernée. Ils comprennent:
Droit d’accès de la personne concernée (art.15)
Droit de rectification (art.16)
Droit à l’effacement (art.17)
Droit à la limitation du traitement (art.18)
Obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement (art.19)
Droit à la portabilité des données (art.20)
Une meilleure protection ne doit pas coûter une fortune
Au vu des explications fournies jusqu’ici, il devrait être clair que négliger la protection des données n’est pas (plus) anodin. Il convient ainsi d’utiliser de manière judicieuse les moyens disponibles pour la protection des données.
Dans ce cadre, le «Data Breach Investigations Report», récemment édité pour la dixième fois, peut apporter une aide. Ce rapport analyse les vols de données opérés au cours de l’année écoulée et montre les tendances dans le domaine de la cybersécurité. Il est intéressant de constater que les failles utilisées par les voleurs de données n’ont guère changé au fil des ans.
Le rapport d’analyse de 2017, paru récemment, révèle notamment que dans 75% des cas les données sont dérobées par des personnes externes, et que les employés internes sont impliqués dans 25% des cas.
Les mots de passe peu efficaces restent toujours en grande partie à l’origine des failles sécuritaires (responsables pour 81% des cyberattaques). Recommandation: une gestion centralisée autorisant seulement des mots de passe complexes.
Le rapport annuel de 2016 révèle que bien plus de 95% des failles sécuritaires utilisées sont connues depuis plus d’une année – en moyenne plus de six ans. Recommandation: une gestion des correctifs annuelle ou mieux semestrielle, qui aurait empêché la majorité des vols de données.
Le rapport annuel de 2015 indique que 60% des incidents sont dus à des erreurs humaines des administrateurs. Recommandation: Go for engineered systems.
Conclusion
Le RGPD concerne également de nombreuses entreprises suisses, et son non-respect peut entraîner des amendes substantielles. C’est pourquoi il est important d’utiliser de manière optimale les ressources disponibles pour la protection des données, et d’investir notamment dans les domaines de la gestion des mots de passe, la gestion des correctifs et la standardisation (p. ex. recours aux systèmes technologiques). Pour une sécurité accrue, il vaut en outre la peine d’appliquer le principe du «privilège minimum», consistant à octroyer aux collaborateurs les droits minimums nécessaires pour réaliser une action donnée.