RGPD : 1 an et des pas de géant

Interview de Tina A. Larsen, Présidente de la CNPD

BUSINESS
RGPD : 1 an et des pas de géant

  

Interview de Tina A. Larsen, Présidente de la CNPD

Le Règlement général sur la Protection des Données (RGPD) fête son 1er anniversaire ce 25 mai 2019. Cette réglementation a fait couler beaucoup d’encre, parfois à l’excès. Au-delà des aspects juridiques et techniques, elle constitue une affirmation politique de l’Europe, comme acteur de l’économie digitale.

C’est l’occasion pour nous de faire un premier bilan, avec Tine A. Larsen, présidente de la CNPD (Commission nationale pour la Protection des Données).

Quelques chiffres pour planter le décor : en 2018, 172 notifications de violations de données ont été reçues par la CNPD. Soit quasiment une par jour, puisque la RGPD est entrée en vigueur le 25 mai.

Comment faut-il traduire un chiffre aussi important ?

« Heureusement, toutes les notifications ne relatent pas d’événements de grande envergure, ce sont parfois des petites choses comme un email envoyé à la mauvaise personne. Cela peut être une erreur données clients ou à une multitude de destinataires en CC et non pas en BCC. C’est toujours grave pour les personnes concernées, mais l’ impact reste très limité. »

Quelles sont les causes des fuites de données ?

« Nous avons constaté que 60% des problèmes résultent d’erreurs de manipulation ou de méconnaissance des procédures de sécurité. Les attaques représentent seulement 27% des brèches, et la majorité de ces attaques utilisent des failles humaines pour arriver à leurs fins. Donc les faiblesses techniques sont moins fréquentes dans les fuites de données, par contre les conséquences sont bien plus grandes. »

Le facteur humain est donc le maillon faible ?

« On le constate clairement, et quel que soit le niveau de formation du public visé. Par exemple, un établissement d’enseignement supérieur a été victime d’une campagne de phishing qui demandait aux employés leurs mots de passe et username pour pouvoir bénéficier d’une augmentation de salaire… Et plusieurs personnes ont répondu ! Cela démontre qu’il faut continuellement sensibiliser les individus et les former aux bonnes pratiques, quel que soit leur niveau de formation. »

Certaines sociétés utilisent des campagnes de « faux phishing » pour tester leurs employés. Cette méthode n’est pas toujours appréciée. Qu’en pensez-vous ?

Cela fait partie du travail de sensibilisation et de contrôle dans certaines institutions. Mais je dirais qu’il faut faire un vrai travail en amont : d’abord former les gens pour éviter qu’ils ne tombent dans ce genre de piège, et ensuite utiliser cette technique pour les tester. »

Quels sont les secteurs « à risques » en matière de données personnelles ?

« Je dirais qu’ils sont de deux types : tout d’abord il y a les secteurs qui traitent un grand nombre de données, comme les banques ou les opérateurs télécoms. Ensuite, ceux qui traitent des données sensibles, comme le secteur de la santé ou la Justice. Ces secteurs sont particulièrement exposés, surtout s’ils détiennent un grand nombre d’informations sur chaque ‘client’. Mais heureusement, on constate également que ces secteurs sont les mieux sensibilisés. Ils avaient déjà des procédures en place pour empêcher les fuites de données ou bien pour réagir en cas de fuite. Ce sont également eux qui notifient systématiquement le moindre incident, même s’ils n’y sont pas obligés. Mais nous préférons trop de notifications que trop peu. »

Mais tout le monde n’est pas encore à ce niveau de maturité ?

Non, bien entendu. Certains préfèrent la politique de l’autruche. On comprend bien que des très petites entreprises artisanales ou commerciales peuvent se sentir un peu perdues face à de nouvelles obligations. C’est pour cela que nous avons publié des brochures explicatives et que nous avons organisé des événements pour nous rapprocher de chaque secteur d’activité. Nous voulons leur donner une information adaptée à leur contexte. Lors de ces séances d’information, nous avons insisté sur le rôle du responsable de traitement des données personnelles et sur ses nouvelles responsabilités. A ce sujet, il faut également noter que sa tâche a été allégée par le RGPD, car il n’y a plus de formalités préalables au traitement de données. Cela veut dire, qu’on n’a plus besoin d’attendre une autorisation de la CNPD avant de se lancer dans le traitement de données, à condition, bien sûr, que toutes les obligations découlant du RGPD soient respectées. »

Au début, il y a eu un peu de panique. Comment expliquer cela ?

« C’est vrai, c’est sans doute lié au développement de tout un secteur de « consultants RGPD » qui ont découvert ce nouveau potentiel et ont développé leurs services. Ils ont parfois fait peur aux gens en invoquant les sanctions financières énormes qu’ils encouraient s’ils ne se mettaient pas en conformité. Nous, chaque fois que nous intervenons, nous rassurons les responsables de traitement, surtout au niveau des sanctions. Car chaque cas est traité individuellement, et nous avons insisté sur leur proportionnalité et les circonstances atténuantes qui pouvaient être prises en compte. Le ciel ne va pas tomber sur la tête des responsables dès le moindre incident. S’il y lieu de sanctionner, nous avons une série de moyens comme la réprimande ou l’interdiction que nous pouvons utiliser avant de passer aux sanctions financières. Ensuite, le fait que les acteurs coopèrent de manière honnête et transparente avec nous dans le traitement d’un incident est un élément que nous prenons en considération. »

L’impact sur la réputation, n’est-ce pas la meilleure sanction ?

« Oui, absolument, c’est celle-là qu’il faut éviter à tout prix car elle peut être bien plus cruelle que toutes les sanctions que nous pourrions prononcer. Mais surtout, il faut considérer le RGPD comme une opportunité plutôt que comme une menace. C’est l’occasion de faire un inventaire des données qui sont traitées et de faire un ‘nettoyage de printemps ‘, au niveau de la conservation de certaines données, et aussi au niveau des processus en place. »

Le RGPD est-elle en train de devenir une référence au niveau international ?

Il y a clairement des indices qui vont dans ce sens. Si l’on se souvient de la situation il y a 2 ou 3 ans : le projet de RGPD, était très critiqué, notamment aux États-Unis. Mais depuis les révélations faites par Marc Zuckerberg, le vent a complètement tourné. La Californie a adopté une loi qui s’inspire fortement du RGPD, et d’autres États américains sont en train d’y réfléchir ». Le Japon a également adopté une législation qui s’inspire profondément du RGPD, et l’Union européenne vient d’ailleurs de prendre une décision d’adéquation pour les transferts de données vers le Japon, en vertu de cette nouvelle législation. La Corée du Sud est également en train d’aller dans cette voie, l’Afrique s’y intéresse fortement. Le RGPD est en train de rayonner au niveau mondial ! »

L’avenir semble radieux pour le RGPD. Comment voyez-vous cette deuxième année ?

« En septembre, nous avons lancé un premier audit sur les DPO (Data protection officer), et nous allons publier les bonnes pratiques et les moins bonnes, en espérant que cela puisse servir aux PME qui ne sont pas encore totalement au niveau.

Nous organisons également des ‘Data Protection Labs’ qui rassemblent des responsables de traitement pour qu’ils échangent leurs idées pour être plus performants.

Nous travaillons enfin sur un projet de certification. Nous avons déterminé les critères de certification et nous sommes en train de définir les critères d’accréditation pour les organismes certifiants. Bref, nous ne sommes pas à court de projets pour les prochains mois, surtout afin d’aider les entreprises à progresser en matière de protection des données. »

Le RGPD a seulement un an, mais le chemin parcouru est déjà considérable. Serait-on en train de comprendre qu’il ne s’agit pas d’une contrainte parmi tant d’autres, mais d’une formidable opportunité ?