Depuis les années 1970, la montée en puissance du risque numérique augmente la responsabilité du dirigeant et l’amène à inclure ce risque dans la stratégie de développement et de pérennisation de son entreprise. Il doit prendre en compte plus largement la protection des données collectées, en s’assurant que leur sécurité est respectée par la mise en place de mesures de protection appropriées garantissant que ces données ne sont pas rendues accessibles à un nombre indéterminé de personne sans l’intervention de la personne concernée.
Paru dans Le Journal du Management en 2021
Flore Chatelet, Juriste spécialiste du RGPD et DPO externalisée, Présidente de la société Aporia.
Le seuil d’acceptabilité du risque doit être partagé par l’ensemble des acteurs du traitement et impliquer les directions métiers et opérationnelles.
Les mesures de protection des données mises en place doivent garantir un niveau de protection suffisant au regard des risques inhérents aux traitements.
Ils sont obligation d’intégrer, dès l’origine de ce traitement, des règles destinées à assurer la sécurité des données et à prendre des mesures appropriées aux risques encourus, pour être en mesure de démontrer un niveau de sécurité suffisant au regard des obligations du RGPD et de l’article 57 de la loi Informatique et Libertés de 1978.
Le responsable de traitement doit identifier les risques sur la vie privée engendrés par le traitement avant de déterminer les moyens pour les réduire en adoptant une vision globale et en étudiant les conséquences sur les personnes concernées.
Il a obligation de prendre en considération les deux piliers de la protection des données : protection dès la conception et confidentialité par défaut, définis à l’article 25 du RGPD.
La confidentialité dès la conception consiste à prendre en compte, dès la conception d’un traitement et jusqu’à sa finalité, les exigences relatives à la protection des données.
Elle impose au responsable de traitement de prendre les mesures appropriées au regard de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même.
En outre, il doit mesurer le risque pour les droits et libertés des personnes par rapport au traitement qu’il souhaite mettre en œuvre.
La confidentialité par défaut impose au responsable de traitement de mettre en œuvre des mesures appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique de traitement sont traitées.
Ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre de personne sans l’intervention de la personne concernée.
Pour répondre à ces deux obligations continues de confidentialité, il faut mettre en place les exigences relatives à l’article 32 du RGPD : la pseudonymisation ou le chiffrement, ou encore celles de l’article 5 du RGPD : la minimisation.
En résumé, les principes de la protection des données s’appliquent au moment de la détermination des moyens et tout au long du cycle de vie du traitement par la mise en place de règles internes.
Ni les autorités, ni le RGPD ne définissent clairement les garanties et les règles à apporter. Il faut les adapter au contexte du traitement et aux risques encourus. La frontière entre les garanties et les mesures techniques et organisationnelles est infime.
Elles n’ont pas besoin d’être sophistiquées pour être appropriées
Le CEPD considère qu’elles doivent être conçues de manière à être robustes et à pouvoir faire face à toute augmentation du risque. Elles doivent être mises en œuvre au moment de la détermination des moyens pour traiter les données personnelles et au moment du traitement lui-même.
Toutefois, c’est une obligation continue qui doit être programmée en fonction de l’état des connaissances, des coûts de mise en œuvre, des finalités du traitement et des risques portant atteintes aux droits et libertés des personnes concernées.
Cela implique de permettre à un client de paramétrer par défaut et à minima la collecte de données, de ne pas rendre techniquement obligatoire le renseignement d’un champ facultatif, de ne collecter que les données strictement nécessaires à la finalité du traitement, de gérer les habilitations et droits d’accès informatiques « donnée par donnée » ou sur demande des personnes concernées, ou de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée.
En conclusion, avant toute mise en œuvre d’un traitement, évaluez les risques et mesurez leur impact sur les personnes concernées, les sources, les menaces, les mesures qui ont été mises en œuvre ou qui sont prévues, le degré de gravité du risque ainsi que sa vraisemblance.
Plus vous investissez tôt dans la protection de vos données, plus simple est l’atteinte des objectifs et la perception positive du résultat.