GDPR: révolution ou continuité?

Pratique
Par · 24/02/2017

Philippe Laurent, avocat auprès du cabinet Marx Van Ranst Vermeersch & Partners (MVVP), se veut dans une certaine mesure rassurant. Si le Règlement général pour la protection des données (GDPR en anglais) comporte en effet une série de nouvelles contraintes non négligeables, souvent lourdes pour tous les acteurs concernés, “ce n’est pas une révolution totale. Le règlement (que vous pouvez télécharger via ce lien) solidifie et renforce en fait des mesures existantes. Les objectifs et la logique globale demeurent inchangés. Cela ne devrait donc pas surprendre les sociétés qui étaient déjà respectueuses de l’ancienne Directive européenne. Ils peuvent déjà s’appuyer sur une base solide.”

Pour les autres, le chantier sera toutefois un réel défi à relever.

Contrairement à la Directive Vie privée (matricule vie privée 95/46/CE) qu’il remplace, la GDPR ne permettra plus des interprétations spécifiques à chaque Etat-membre de l’Union européenne. Même si quelques aménagements “à la marge” seront possibles…

Même si la GDPR s’inscrit dans la continuité par rapport aux précédentes obligations de protection de la vie privée, le nouveau règlement apporte quelques nouveautés:

  • obligation de préciser la finalité et la durée des traitements qui seront faits des données à caractère personnel
  • obligation de bonne gouvernance de la part du responsable de traitement (voir notre article sur les responsabilités)
  • droit de rectification
  • droit à l’oubli (à l’effacement des données personnelles)
  • droit à la portabilité, autrement dit possibilité pour une personne d’exiger un transfert de ses données personnelles vers un autre prestataire
  • droit à être informé en cas de violation, vol, détournement, problème quelconque avec ses données
  • obligation de notification, par le responsable de traitement, en cas de vol, détournement, fuite… de données ; une notification qui doit être faite, dans les 72 h. après sa découverte, auprès de l’autorité de contrôle (la Commission Vie privée en Belgique), mais aussi des personnes concernées (“dans les meilleurs délais”) en cas de risque élevé pour leurs droits individuels. Le sous-traitant, lui, doit notifier au responsable de traitement.
  • les sanctions: nettement plus importantes que celles prévues jusqu’ici

Pas toujours évident…

La nouvelle disposition sur la “portabilité” des données risque de poser pas mal de problèmes de mise en oeuvre, estime Philippe Laurent. Notamment dans le cadre des réseaux sociaux (grands véhiculeurs de données à caractère personnel). “La définition d’une donnée à caractère personnel est très large. Compte tenu des interactions entre plates-formes, solutions et applications, des liens se tissent rapidement dans tous les sens. Comment dès lors savoir où se trouvent ses données personnelles? Quid d’une publication sur réseau social qui est “likée” par un “ami”? Les réseaux sociaux fonctionnent par liens dynamiques. Comment dès lors “déraciner” ses données et les placer ailleurs?”

Source: Smals

Un certain flou, à ses yeux, subsiste sur ce qui pourra être “porté” vers une autre plate-forme: uniquement le contenu de ce qu’on pourrait appeler la fiche signalétique d’un individu (nom, prénom, numéro de téléphone…) “ou tout ce qu’on a dit de lui, tous ses posts, tout ce qui est lié à son profil…”. Grosse prise de tête en perspective…

Autre effet potentiel de la nouvelle réglementation: un risque d’opérations de déni de service… parfaitement légal.

De manière étonnante, le droit à la rectification qu’a toute personne dont les données sont traitées par une société constitue un risque économique pour les sociétés concernées. Comment?

De petits malins, généralement mal intentionnés, pourraient tout simplement s’appuyer sur cette obligation légale pour activer des processus automatiques, des bots, afin de spammer et de bombarder des sociétés de demandes massives de rectification de leurs fichiers, systèmes et procédures de traitement. En demandant ces adaptations pour des listes énormes d’individus.

Après tout, il leur suffirait d’activer des fichiers qui auraient éventuellement été subtilisés, lors de hacking, sur des serveurs d’opérateurs Internet, de banques, de sites d’e-commerce…

Bien entendu, les coordonnées des personnes prétendument demanderesses devraient être exactes mais comme les fichiers contiennent ce genre de données…

Imaginez qu’une PME doive traiter 10.000 demandes de ce genre, vérifier la pertinence, l’authenticité de chaque demande, en demandant à chaque demandeur la preuve de son identité pour vérifier que la demande émane d’une personne habilité à le faire… “Ce serait en quelque sorte un déni de service qui s’appuierait sur une disposition légale.”

Obligation de protection

La GDPR impose aux entreprises et aux professionnels de “prendre toute mesure propre à protéger les données”. Des mesures “raisonnables” – un adjectif qui revient d’ailleurs très souvent au fil du texte. A 29 reprises, pour être exact…

Kris Vansteenwegen (NRB): “Les mesures et les investissements doivent être proportionnés au niveau de risque. Pour certains, ils peuvent être modestes…”

La GDPR, par contre, ne donne pas de précisions, ne conseille pas de bonne pratique… Ce qui fait dire à Kris Vansteenwegen, responsable de l’entité Security Lifecycle Services chez NRB, qu’il est d’autant plus “important pour une entreprise de bien comprendre les risques qui pèsent sur ses données.” Et ce, via la classification des données et l’exercice d’évaluation des risques dont nous vous parlons dans l’article “Par où commencer?

Si le texte de la GDPR ne donne pas d’indication sur le type de mesure à prendre, les entreprises peuvent toutefois imaginer quels genres de vérifications les autorités feront en cas de vol, fuite ou piratage avéré de données pour déterminer si l’entreprise a pris les mesures adéquates pour se protéger.

“Elles vérifierons sans doute les trois premiers niveaux de protection, considérés comme indispensables pour une bonne gouvernance”, indique Bruno Schröder, directeur technologique de Microsoft Belgique. A savoir: l’existence et l’utilisation d’outils tels que des pare-feu, des logiciels anti-virus ; la mise en oeuvre d’une gestion des risques “qui permet d’identifier une anomalie et d’appliquer la bonne procédure de remédiation” ; le fait qu’un audit interne ait eu lieu.

Frédéric Gelissen y ajoute trois éléments:

  • avoir procédé à un test d’intrusion
  • avoir réalisé une stricte ségrégation des données sur des systèmes de stockage distincts
  • et avoir défini des processus organisationnels adéquats : désignation d’un responsable sécurité, ; désignation d’un DPO ou d’une équipe de personnes partageant les responsabilités ; mise en oeuvre d’un processus de gestion d’incidents afin de pouvoir gérer efficacement et rapidement les plaintes et assumer l’obligation d’information des personnes concernées et des autorités en cas de piratage, vol de données, intrusion…

La notion de consentement 

Voici la définition que l’on trouve dans le texte du Règlement: “toute manifestation de volonté, libre, spécifique, informée et non ambigüe par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l’objet d’un traitement”.

“Manifestation de volonté, libre, spécifique, informée et non ambigüe”. Autrement dit, un consentement “informé”, avec des libellés qui soient clairement formulés, aisément compréhensibles par le “commun des mortels”. Attention donc aux anciennes pratiques qui voyaient les acteurs considérer que l’internaute, le client, le consommateur avait “par défaut” donné son consentement. Puisqu’il ne l’avait pas refusé, c’est qu’il était d’accord…

Désormais, il faudra montrer patte blanche.

Un exemple: dans leurs formulaires, les sociétés ne pourront plus proposer une liste où le “j’accepte que mes données soient traitées et partagées” soit accolé à une case pré-cochée. La “manifestation de volonté”, dans ce cas précis, sera le fait pour le client, l’internaute, de cocher lui-même la case…

Et, de l’avis d’Antoine Declève, avocat associé au cabinet Célès, cette obligation est rétro-active. Autrement dit, les sociétés et organismes risquent de devoir remonter dans le temps et obtenir de leurs interlocuteurs des consentements explicites là où il avait été glané quasi-automatiquement par le passé.

Privacy by design et Privacy by default

Le “privacy by design” vise à garantir que la protection des données à caractère personnel est intégrée dès la conception d’un système, d’un logiciel, d’un processus et fait donc intimement partie de l’architecture des systèmes et des pratiques internes.

Philippe Laurent: “Ne pas donner plus de capacité et de pouvoir à l’“objet” que ce qu’il est censé faire.”

Cela implique, selon Philippe Laurent, avocat attaché au cabinet MVVP, “de limiter les capacités de ces outils à ce qu’ils sont censés faire.” Comparaison utilisée pour mieux faire comprendre son propos? Dans le secteur automobile, cela équivaudrait à concevoir un moteur pour qu’il ne puisse pas aller au-delà du 120 km/h. au lieu de le brider après l’avoir développé pour qu’il puisse pousser à 200… “Désormais, il s’agit de ne pas donner plus de capacité et de pouvoir à l’“objet” que ce qu’il est censé faire.”

Le “privacy by default’ a pour but de garantir que “par défaut” seules les données à caractère personnel réellement nécessaires au traitement concerné font l’objet d’un traitement. Produits et services devront bénéficier, par défaut, des paramètres de sécurité les plus protecteurs possible.

“Si le responsable du traitement veut aller plus loin, il devra clairement documenter les avantages et inconvénients de cette finalité plus large…”