Administration

Protection des données personnelles : les risques à surmonter par les organisations

Mots clés : Etat et collectivités locales

Entreprises et collectivités locales devront respecter les nouvelles règles sur la protection des données à caractère personnel le 25 mai prochain. Si cela constitue une opportunité pour remettre à plat ses process internes, cela ne sera pas sans coûts et charge de travail supplémentaires.

Avec le mouvement actuel de l’open data, il est dans l’intérêt des organisations de mettre en place une méthode de management qualitative des données. D’autant plus que le règlement général sur la protection des données du 27 avril 2016, dit RGPD, contraint entreprises et personnes publiques à protéger les données à caractère personnel. Ce texte européen d’application immédiate en France (c’est-à-dire sans transposition) entre en vigueur le 25 mai. Retour sur la conférence, organisée par Mission Ecoter, qui dresse les défis à relever par les organisations.

 

Désigner un DPO

 

« Si la désignation d’un correspondant informatique et libertés (CIL) était facultative – mais recommandée -, celle d’un délégué à la protection des données [DPD ou DPO en anglais] devient obligatoire » dans certaines conditions, et notamment pour les personnes publiques, rappelle Arnaud Tessalonikos, avocat associé et fondateur du cabinet Atalex et Data Protection Officer.

Le DPO sera le chef d’orchestre de la conformité des traitements de données. Il devra être impliqué sur toutes les questions relatives à la protection des données personnelles et être associé dès les premières phases des nouveaux projets. Il a vocation à échanger avec toutes les fonctions, notamment le juridique, la direction des systèmes d’information (DSI) et les directions métiers. Il doit être indépendant et ne doit pas être rattaché, par exemple, à la DSI pour éviter un conflit d’intérêt entre le contrôlant et le contrôlé. L’avocat conseille d’envoyer une lettre informant le personnel de la présence d’un DPO, accompagnée d’un glossaire de la culture « Informatique et libertés ». Il convient aussi de réaliser un audit des contrats informatiques en cours d’exécution et de négociation afin de revoir leurs clauses « Informatique et libertés ».

 

Mutualiser son DPO

Le RGPD est perçu comme un levier pour mettre en place un management du risque SI et remettre à plat les processus en interne, notamment la conservation des données pour qu’elle soit raisonnable dans la durée et en phase avec les traitements. Mais pour certains, c’est aussi sur un plan pratique et technique une usine à gaz dont on n’a pas prévu les coûts. Se pose également la question de la sensibilisation des élus sur la charge que va présenter la mise en conformité et ses coûts associés. La mutualisation de la fonction de DPO pourrait engendrer des économies d’échelles importantes, notamment pour les structures au fonctionnement assez similaires.

 

Les données publiées, un moyen de preuve

 

Le fait de ne pas être en règle fait courir au secteur public surtout un risque d’image, alors que le secteur privé est plus exposé aux grosses sanctions financières, selon les participants du colloque. Notons qu’un traitement informatique des données personnelles illicite peut entacher d’illégalité l’acte administratif pris sur sa base. Le risque pour les organisations d’être attaquées vient des personnes dont le droit à la protection des données personnelles n’a pas été respecté. « Avec l’open data, ces personnes ont désormais des éléments pour le prouver », souligne l’avocat.

Par exemple, la loi pour une République numérique du 7 octobre 2016 pose pour l’Etat, les collectivités territoriales, et les autres personnes de droit public ou de droit privé l’obligation de communiquer leurs documents administratifs aux administrations qui en font la demande pour l’accomplissement de leurs missions de service public. De plus, l’Etat, les collectivités territoriales de plus de 3 500 habitants et les autres personnes de droit public et celles de droit privé chargées d’une mission de service public, doivent diffuser spontanément un certain nombre de documents administratifs lorsqu’ils sont disponibles sous format électronique. Les documents comportant des données à caractère personnel ne sont pas communicables ou alors doivent être anonymisés. « Le nom du géomètre sur le plan cadastral ne doit pas être visible », cite à titre d’exemple maître Tessalonikos.

 

Sensibiliser à la cybercriminalité

 

Les risques pour les entités sont également accrus avec le phénomène de cybercriminalité, notamment les « rançongiciels ». Des logiciels malveillants piègent des utilisateurs souvent par l’envoi de mail avec des pièces jointes – par exemple des factures fournisseurs – qui à leur ouverture infectent le système et prennent en otage les données personnelles. Pour faire face à ce danger, il est recommandé d’isoler la machine afin de mettre à l’abri le système d’information, et surtout de former et sensibiliser les utilisateurs.

 

Gérer la période transitoire

 

D’ici au 25 mai, l’un des enjeux pour les entreprises et les personnes publiques sera également de gérer le risque juridique de conformité au droit positif – à savoir notamment la loi Informatique et libertés du 6 janvier 1978 – et au droit à venir, le RGPD. Être conforme au RGPD, c’est l’être à 80% de la législation en vigueur, estime l’avocat. Car si le RGPD confirme les droits des personnes sur leurs données à caractère personnel prévus par la loi de 1978, il en crée de nouveaux comme le droit à l’effacement ou à la portabilité des données. Le projet de loi relatif à la protection des données personnelles – en première lecture à l’Assemblée nationale – va modifier la loi de 1978 pour l’adapter.

 

 

Vous souhaitez réagir

Pour commenter l'article, vous devez être identifié ou vous inscrire
S'identifier

Pour accéder aux contenus et services en accès libre, identifiez-vous

Mot de passe oublié
S'inscrire

Vous souhaitez vous inscrire aux services proposés en accès libre.

Newsletter quotidienne et thématiques, alertes e-mail, commentaires sur les articles...

S'inscrire
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X