EDI_83_Entier_Web - EDI_83_P112_M_DOSS_SECURITE_JURIDIQUE_H

EDI_83_Entier_WebEDI_83_Entier_Web - EDI_83_P112_M_DOSS_SECURITE_JURIDIQUE_H_BAT Dossier Sécurité Par Frédéric Forster, LA SÉCURITÉ EUROPÉENNE N’EST PAS NÉGOCIABLE Cinq mois après l’entrée sur la protection des données, des entreprises sur le terrain Le règlement européen 2016/679 relatif à la protection des données à caractère personnel (RGPD) est entré en application le 25 mai 2018. Il renforce les droits des personnes dont les données sont collectées et traitées ; il met en place un système de conformité que le responsable de traitement doit documenter. Si les droits des personnes sont ainsi renforcés, les obligations corrélatives des entités, privées ou publiques, sont considérablement étoffées, créant des programmes de mise en conformité au règlement un chantier inévitable. Sur le plan technique, le RGPD focalise toute sa puissance sur, d’une part, la protection de la confidentialité des données personnelles et, d’autre part, la sécurité : fiabilité de la collecte, des traitements réalisés, des échanges de données, sûreté contre les intrusions et les vols ou la corruption d’information, etc. Ces enjeux ne sont pas inédits car la loi Informatique et Libertés les incluait déjà. Néanmoins, le RGPD en augmente l’importance dans le dispositif global de conformité des organisations, et accroît considérablement le montant des sanctions. Sur le plan de la conformité, beaucoup « Ne pas sous-estimer le au volet sécurité de la rupture que le RGPD a marquée dans la sensibilisation des personnes » 112 E.D.I N°83 | novembre 2018 Juridique Alain Bensoussan Avocats Lexing 1 en application du Règlement général européen quel bilan tirer en matière de mise en conformité de la sécurité, et quelles actions prioriser ? telles les informations médicales ou biométriques. Plus question de laisser celles-ci circuler librement, de réseau en réseau, d’ordinateur à ordinateur, sans que leur sécurité et leur protection soient garanties. Défis techniques, juridiques et organisationnels Cela suppose de lancer des chantiers techniques (implémentation d’outils logiciels, renforcement des mesures d’accès physique, mise en œuvre des mesures pour la suppression des risques révélés par une PIA, d’entreprises n’ont pas attendu etc.), juridiques (renforcement le 25 mai 2018 pour mettre des clauses avec les sous-traitants) en place des logiques de sécurité, et organisationnels (déploiement le plus souvent pilotées par le RSSI et systémique, des risques de PIA, cellules de veille interne, ou le DSI. Mais, pour un nombre que pourraient subir les données procédures d’alerte vers la Cnil significatif d’entre elles, il est grand personnelles détenues par les et les personnes physiques, temps de se pencher sur ce sujet. organisations, et des mesures afin désignation de data protection Et plus généralement, toutes d’amoindrir voire de supprimer officers). Il n’est pas peu dire doivent intégrer dans leur roadmap les risques identifiés. Rappelons que les organisations ne doivent de la conformité les principes issus que le RGPD prévoit (art. 35) sous-estimer ni la charge de du RGPD. la conduite d’une telle analyse travail associée au volet sécurité d’impact lorsqu’un traitement de leur conformité ni la rupture L’analyse d’impact pour de données personnelles est que le RGPD a marquée dans prendreconscience des risques susceptible d’engendrer un risque la sensibilisation des personnes Citons d’abord l’analyse d’impact élevé pour les droits et libertés des aux questions de protection relative à la protection des données personnes concernées. Par ailleurs, de leurs données. Ainsi, quelques (privacy impact assessment ou PIA), le RGPD rend obligatoire, dans la mois seulement après l’entrée conçue comme un outil de prise quasi-totalité des cas, la révélation, en application du RGPD, la Cnil de conscience, objectivée non seulement à la Cnil mais aussi vient d’annoncer que le nombre aux personnes physiques touchées, de plaintes qu’elle a reçues de failles de données, c’est-à-dire a bondi de 56 %. ■ travail associéd’atteintes à la sécurité ayant¹ Avocat à la Cour d’appel de Paris, Frédéric Forster conformité, et laentraîné – ou pouvant entraîner –dirige le pôle Télécoms du cabinet Alain Bensoussan une altération des données Avocats Lexing depuis 2006. Il était précédemment directeur juridique du groupe SFR. Il est également à caractère personnel. Enfin, vice-président du réseau international d’avocats Lexing. les données personnelles collectées, stockées et échangées peuvent être d’une particulière sensibilité, Suite du dossier p. 114