Ce que change la législation européenne sur la protection des données

L’obligation de notification des brèches de sécurité prévue par la nouvelle législation européenne sur la protection des données devrait être la disposition affectant le plus les entreprises du Vieux Continent. Outre Manche, par exemple, Ross McKean, du cabinet Olswang, souligne « qu’il n’existe aucun impératif de notification de brèche au Royaume-Uni et la plupart des entreprises évitent de révéler [les brèches éventuelles] si elles peuvent l’éviter, afin de protéger leur réputation ».

Mais la réforme du cadre réglementaire européen de protection des données personnelles et la directive NIS sur la sécurité des réseaux informatiques – toutes deux devant être finalisées avant la fin 2015 – vont changer cela, rendant obligatoire la notification de la plupart des brèches de sécurité impliquant des données personnelles.

Ainsi, la plupart des entreprises de l’Union Européenne vont devoir changer leur approche des brèches de sécurité et s’assurer que leurs processus sont conformes à la nouvelle réglementation. McKean invite d’ailleurs là à regarder de l’autre côté de l’Atlantique, pour observer des exemples tels que Target : « lorsque les choses tournent mal, voilà ce qui peut survenir comme conséquence d’une obligation de notification de brèche ».

Une fois les nouvelles règles du jeu européennes en matière de protection des données en place, il sera risqué pour les entreprises de continuer à chercher à cacher, ou tout du moins étouffer, les brèches dont elles sont victimes.

Et ces règles vont s’appliquer à tout contrôleur de données ou fournisseur de service en contact avec des données personnelles. La notification devrait être obligatoire dès qu’il existe un « risque élevé » pour les individus concernés – selon McKean, il faut entendre là risque de fraude ou d’usurpation d’identité, et le seuil risque d’être assez bas.

Toute entité traitant des données sera ainsi responsable de la protection de ces données et susceptible d’être mise à l’amende, pour la première fois. « Ceux qui traitent ou fournissent des données devront notifier immédiatement leurs clients (les contrôleurs de données) en cas de brèche, et les contrôleurs devront garder une trace de celles-ci : ils devront donc disposer des systèmes de surveillance et de suivi nécessaires ».

Et en cas de défaut de conformité, les amendes promettent d’être salées : jusqu’à 100 M€, ou 5 % du chiffre d’affaires annuel de l’entreprise – certains observateurs s’attendent toutefois à ce que ce plafond soit ramené à 2 %.

Pour McKean, la version finale du nouveau règlement européen sur la protection des données personnelles devrait être publiée d’ici Noël, avant d’être traduite dans toutes les langues officielles de l’Union d’ici à mars ou avril 2016. Dès lors, les entreprises européennes disposeront de deux ans pour se mettre pleinement en conformité avec le nouveau règlement.

Et selon McKean, « ce n’est pas très long pour les entreprises qui doivent passer d’une conformité de papier à une véritable conformité qui, pour beaucoup, va impliquer de changer radicalement la manière dont elles gèrent les données. Et deux ans, pour réaliser une telle transformation, ce n’est pas beaucoup de temps ».

Alors McKean donne quelques conseils pour aider les entreprises à aller plus vite. Et là, l’implication des métiers apparaît essentielle – « ne pas utiliser les mots ‘légal’ ni ‘conformité’ aide là ». Les simulations d’attaques informatiques constituent d’autres outils pour stimuler l’implication, en associant des responsables de la sécurité de l’information, de l’IT, des communications, du juridique, et toute personne plus généralement impliquée dans les processus de gestion de crise. McKean trouve là une opportunité clé « parce que, lorsqu’il y aura une brèche, toutes les personnes concernées auront déjà fait connaissance et travaillé ensemble sur des scénarios similaires ».

Plus généralement, McKean recommande aux entreprises de commencer à réfléchir à la manière dont elles traitent les données personnelles. Et de les encourager à la transparence, en indiquant quelles données sont collectées et à quelles fins, tout en respectant le choix des individus concernés. Surtout, « évitez les surprises. Les surprises conduisent aux poursuites ». Bien sûr, il convient d’assurer la sécurité des données, mais aussi de ne pas les conserver plus longtemps qu’il n’est légitimement nécessaire.  

Car au final, pour toute entreprise susceptible d’être condamnée à une amende, les politiques internes, les études d’impact, et plus généralement tout ce qui documente les choix faits par l’entreprise dans le traitement des données personnelles sera extrêmement important pour démontrer ce qu’elle aura fait pour respecter la réglementation en vigueur.

Adapté de l’anglais.