L’obligation de sécurité des données et du traitement est une opération de veille technique et juridique de longue haleine. Afin de s’assurer des bons rapports entre le juriste, le technicien et l’autorité de contrôle, il faut établir clairement les rôles et missions de chacun.
1. L’obligation de sécurité des données et du traitement est fondée sur l’analyse du risque
Le Règlement général sur la protection des données (RGPD) prévoit une règle générale de sécurité des données en fonction des risques pesant sur les traitements. Le responsable du traitement et son sous-traitant sont donc dans une situation d’autolimitation. Ils doivent ainsi se fonder sur un « standard normatif » et apprécier eux-mêmes les mécanismes à mettre en place pour protéger les données.
Il est alors nécessaire d’établir une analyse concernant les données et traitements en eux-mêmes.
Ce travail sur l’obligation de sécurité des données, c’est celui du juriste.
Il faut avant tout tenir compte des paramètres suivants pour se poser les bonnes questions :
- De la nature et de la portée des données : les données sont-elles sensibles au sens du RGPD ? Permettent-elles de déterminer des données sensibles en les recroisant ? Concernent-elles des moyens de paiements ? Etc.
- Du contexte du traitement : les données sont-elles intéressantes économiquement ? Sont-elles susceptibles d’être volées ?
- À quels droits et libertés fondamentales porterait atteinte la fuite des données ?
Selon les réponses à toutes ces questions, le juriste devra mettre en place tout un arsenal juridique (clauses contractuelles, recommandations, documents obligatoires…) adéquat et proportionnel vis-à-vis de la sensibilité des données concernées et des risques qui pèsent sur elles.
Ce travail sur l’obligation de sécurité des données, c’est celui du technicien.
Il faut ensuite tenir compte des paramètres suivants :
- Ma cartographie des données est-elle à jour ? ;
- Ma politique d’habilitation d’accès aux données est-elle sans risque ? ;
- Quelles sont les menaces qui pourraient atteindre mes données ? (Accès interdit aux données, altération des données, disparition…) ;
- Une attaque des données que je détiens est-elle vraisemblable ? ;
- Le chiffrement de mes données est-il existant ? Compliqué à déchiffrer ? ;
- Quelles portes d’entrées peuvent être utilisées à raison de leurs fragilités et mériteraient des efforts de sécurisation ? ( Accès physique aux serveurs, accès à distance aux serveurs, postes informatiques, site web, applications mobiles …) ;
- Ma politique de sauvegardes, maintenances, archivages et destructions des données est-elle correcte ? ;
- Comment s’organise ma politique de sous-traitance et le dialogue avec des organismes tiers ?
2. Travailler de concert avec les autorités de contrôle sur la sécurité des données
Vous pouvez désormais fournir un code de bonne conduite aux autorités de contrôle.
La bonne nouvelle, c’est que l’autorité de contrôle est désormais un interlocuteur unique sur tout le territoire européen, ce qui signifie que votre code sera valable dans tous les États membres de l’Union.
Il faut soumettre le projet de code de bonne conduite pour approbation à l’autorité compétente. En France, la CNIL rendra son avis et avisera qui plus est des points à corriger. Le code de bonne conduite vise en particulier à montrer une démarche active concernant l’obligation de sécurité du traitement.
Cela n’est pas aisé lorsque l’on dispose d’un faible niveau d’expertise de remplir à bien les conditions de ce code de conduite. Mais celui-ci s’avère être une arme redoutable, car il présage de la bonne foi de votre organisme. Enfin, il sert à titre de preuve en cas de contrôle et vous permet de vous constituer en quelque sorte un « label commercial » en affichant la réponse de la CNIL sur votre site. Le code de bonne conduite doit par ailleurs être soumis pour avis à chaque modification substantielle et à chaque prorogation pour une période déterminée .
Toutes ces missions peuvent être effectuées par un Délégué à la protection des données personnelles (DPO ou DPD) disposant du savoir technique et juridique nécessaire.
