Nouvelles règlementations

Protection des données: les choses sérieuses commencent

Le nouveau règlement européen en matière de protection des données renforce les droits des consommateurs et donne de nouveaux devoirs aux entreprises. Le nouveau cadre concerne aussi les sociétés suisses. Fini le traitement «à la cool» des données des clients: les entreprises vont devoir transformer leur gouvernance.

(Source: iStock)
(Source: iStock)

A l’occasion de la Dixième Journée suisse du droit de la protection des données, nous republions en ligne la Une de l’édition de mai du magazine d’ICTjournal.

Alors que la protection des données est menacée aux Etats-Unis, l’Union européenne s’apprête à mettre en œuvre une nouvellement réglementation très protectrice des utilisateurs et très contraignante pour les entreprises. Peu conscientes de ce changement, beaucoup de sociétés suisses sont néanmoins concernées par la General Data Protection Regulation¹ (GDPR). Car cette dernière s’applique non seulement aux entreprises présentes dans l’UE, mais aussi à toutes les organisations traitant les données de résidents de l’Union Européenne. Du tourisme à la banque en passant par les biens de consommation, une foule de sociétés suisses vont devoir s’y plier et adapter rapidement leurs pratiques. Sans compter que l’avant-projet de la nouvelle loi suisse sur la protection des données (LPD) reprend une grande partie des nouvelles règles européennes – et là aucune société du pays n’y échappera…

Droits pour les citoyens, contraintes pour les entreprises

Les changements introduits par la GDPR accordent davantage de maîtrise aux citoyens européens sur le traitement de leurs données personnelles. Ils pourront notamment accéder à leurs données, demander des rectifications, voire que leurs données soient entièrement effacées – le fameux «droit à l’oubli». Ils seront aussi mieux informés de ce qui est fait de leurs données, lorsqu’elles servent au profilage ou à des décisions basées sur des algorithmes (l’octroi d’un crédit par exemple), mais aussi savoir si leurs données ont été violées.

Pour que ces droits fonctionnent, les entreprises vont devoir se conformer à de nouvelles règles, faute de quoi elles pourront être sanctionnées d’amendes allant jusqu’à 4% de leur chiffre d’affaires mondial – on est loin des pénalités symboliques… Selon les termes de l’UE, «la réforme apporte clarté et cohérence en ce qui concerne les règles à appliquer, et rétablit la confiance du consommateur, ce qui permettra aux entreprises de tirer pleinement parti des possibilités offertes par le marché unique numérique». Mais il ne faut pas s’y tromper, les nouvelles pratiques de gouvernance ne seront pas faciles à mettre en place, en particulier pour les entreprises de secteurs aujourd’hui peu régulés.

Du privacy-by-design à la notification de fuites

Si la GDPR introduit une foule d’obligations pour les entreprises, le cabinet Forrester distingue cinq changements nécessitant des efforts majeurs². A commencer par la désignation d’un délégué à la protection des données (Digital Protection Officer ou DPO), chargé d’orchestrer la conformité de l’entreprise en la matière. La fonction est destinée à jouer un rôle prépondérant dans l’entreprise et à travailler étroitement avec les responsables de la sécurité, mais aussi du marketing, de la conformité ou du département légal.

Autre changement important, l’obligation de notifier dans les 72 heures les autorités et les clients affectés lors d’une fuite de données. Outre la capacité à identifier une violation et à fournir des informations détaillées, les entreprises vont devoir préparer leur réponse pour éviter que la divulgation de tels incidents ne nuise à leur réputation et à la relation avec leur clientèle.

Le nouveau règlement exige aussi des entreprises qu’elles intègrent la protection des données dès la conception de leurs services et produits. Ce privacy-by-design les contraindra ainsi à faire collaborer les développeurs et product managers avec les responsables sécurité et conformité au début des projets, et non plus après coup comme c’est souvent le cas.

La GDPR étend également la responsabilité de l’entreprise à ses partenaires et autres sous-traitants intervenant dans le traitement des données. Les contrats avec les fournisseurs informatiques sont les premiers concernés, et particulièrement avec les prestataires de services cloud.

Enfin, les entreprises vont devoir démontrer ce qu’elles font pour réduire les risques et sécuriser les données. Elles devront ainsi documenter le traitement des données, l’impact de ce traitement, la sécurité IT de leurs systèmes ou encore les mesures prises en matière de contrôle des accès, de chiffrement ou de pseudonymisation.

Préparation lancinante

A une année de la mise en vigueur de la GDPR, les entreprises sont peu au fait des adaptations qu’elles vont devoir entreprendre. Selon un sondage-éclair mené par ICTjournal auprès de diverses organisations suisses, beaucoup de responsables ne savent pas si leur entreprise est concernée, seule une minorité a une bonne connaissance de la nouvelle réglementation et près de la moitié pensent qu’ils ne seront pas prêts à temps.

La situation n’est pas meilleure dans les autres pays. Selon une enquête publiée l’automne dernier par Dell, deux tiers des responsables estiment que leur organisation n’est pas prête et un tiers estime qu’elle ne le sera pas pour de la date fatidique en mai 2018.

Que disent les entreprises? Contacté par ICTjournal, l’assureur Bâloise, présent au Luxembourg, en Belgique et en Allemagne, explique qu’il analyse actuellement avec un prestataire externe le gap à combler pour être conforme et qu’un catalogue de mesures devrait être prêt mi-2017. Egalement contacté, Coop estime qu’il n'est pas encore possible d'évaluer dans quelle mesure la société devra s'adapter à la nouvelle législation européenne. Active en Allemagne et donc concernée par la GDPR, la start-up alémanique fintech Wefox estime qu’îl est trop tôt pour se prononcer sur d’éventuelles adaptations de ses pratiques. Egalement concernée, la jeune pousse Allthings, active dans l’immobilier, n’est pas très inquiète sur les changements à venir. «Nous avons déjà mis en place des processus conformes à la réglementation allemande – ce ne sera pas si différent», explique son CEO-fondateur Stefan Zanetti.

Pour Yoann Le Corvic, Senior Security Engineer chez E-xpert Solutions, les établissements financiers, déjà passablement régulés, sont souvent au courant de la nouvelle norme européenne, mais pas les PME qui se sentent peu concernées. Un avis partagé par Nicolas Vernaz, Data Protection and Regulatory Compliance Lead chez PwC Suisse. Le consultant souligne toutefois que les choses sont en train de changer et que les sociétés suisses se réveillent, même si elles sont en retard sur leurs homologues européennes.

Cartographier les données, changer de culture, sécuriser

Selon Nicolas Vernaz, les entreprises doivent commencer par procéder à l’inventaire et à la classification des données personnelles qu’elles traitent. Une tâche particulièrement difficile lorsqu’il s’agit de données non-structurées stockées parfois dans des outils échappant au contrôle du département IT… Autres défis, la gestion du cycle de vie de la donnée et le développement d’une culture de la privacy au sein de l’entreprise. «L’envoi de publipostages à gogo, c’est fini», résume le consultant de PwC Suisse. Il souligne enfin que, pour beaucoup d’entreprises, l’établissement de tels contrôles internes est une vraie nouveauté.

Côté sécurité, Yoann Le Corvic estime que la GDPR nécessite des mesures à tous les échelons. Les protections habituelles (défense périmétrique, contrôle des accès, etc.) restent d’actualité, mais doivent être complétées par des protections au niveau de la donnée (masquage, chiffrement, tokenisation). «L’obligation de déclarer un incident dans les 72 heures avec toute la documentation nécessaire, me semble un point particulièrement critique, ajoute le spécialiste d’E-xpert. La traçabilité de tout ce qui se fait sur les données – logs, SIEM – revêt dès lors une importance critique.»

Chez PwC et E-xpert, comme chez d’autres sociétés de conseil et de sécurité, on sait aussi que la nouvelle réglementation est porteuse d’affaires, tant les entreprises auront besoin d’accompagnement pour comprendre et se conformer à la GDPR.

Si les experts s’accordent sur les défis et la nécessité de s’adapter à la nouvelle réglementation, ils reconnaissent néanmoins qu’on ne sait pas pour l’heure la manière et le zèle que l’UE mettra à la faire appliquer: Y aura-t-il une période de tolérance au début de l’application? Sera-t-on durs avec tout le monde ou seulement avec les plus grosses entreprises? Qui sera le plus virulent: les autorités européennes ou les cabinets d’avocats se saisissant d’un nouveau marché? Nul ne le sait aujourd’hui.

Un avant-projet-suisse inspiré du règlement européen

Dans le cadre de Schengen, la Suisse devra transposer dans sa législation la directive de l’UE sur la protection des données, mais pas le règlement. L’avant-projet de révision de la Loi suisse sur la protection des données³ (AP-LPD) s’inspire toutefois en grande partie de la GDPR. «Nous avons tout intérêt à être proche du règlement européen, explique Jean-Philippe Walter, Préposé suppléant à la protection des données et à la transparence. L’échange de données entre l’UE et un Etat tiers ne peut en principe se faire que si ce pays assure un niveau de protection adéquat».

L’avant-projet suisse renforce ainsi le droit des personnes et les compétences du préposé et il élargit les obligations des organisations traitant des données personnelles. Les entreprises suisses devraient notamment fournir beaucoup plus d’informations aux personnes sur les données qu’elles collectent et qu’elles traitent. Le droit d’accès, le droit à l’oubli, la notification de violations des données, le privacy-by-design, le contrôle des sous-traitants ou encore l’analyse d’impact figurent dans l’avant-projet suisse. Les sanctions, prononcées par un juge pénal, sont également plus lourdes et peuvent atteindre 500 000 francs maximum.

En revanche, contrairement au règlement européen, l’AP-LPD ne contraint pas les organisations suisses à permettre le transfert des données vers un autre fournisseur (droit à la portabilité). Il se distingue aussi au niveau pénal: ni exercice collectif des droits (class actions), ni renversement du fardeau de la preuve – ce n’est pas à l’entreprise de prouver qu’elle fait les choses correctement.

Sylvain Métille, avocat spécialisé dans la protection des données, juge l’avant-projet plutôt bon. Avec quelques réserves, notamment sur la gouvernance des fournisseurs: «D’après l’avant-projet, une entreprise devrait annoncer spontanément l’identité des sous-traitants qui traitent des données personnelles, et donc aussi si elle a changé d’hébergeur ou de fournisseur cloud, cela semble exagéré». Il estime aussi qu’il faudrait que ce soit le préposé, davantage au fait des dispositions, qui prononce des sanctions. Au lieu de simplement communiquer les non-conformités aux autorités pénales cantonales, comme le prévoit l’avant-projet.

Réactions très différenciées

Soumis à consultation, l’avant-projet de révision sur la protection des données a suscité son lot de réactions. «L’Office fédéral de la justice a reçu quelque 200 réponses», note Jean-Philippe Walter. Les réactions se divisent en deux camps antagonistes. En effet, du côté des associations de consommateurs et des préposés à la protection des données (privatim), on salue le projet, mais on aimerait qu’il aille plus loin, qu’il se rapproche du règlement européen (portabilité, fardeau de la preuve) et qu’il donne davantage de pouvoir au préposé fédéral.

A l’inverse, Economie suisse et les associations du secteur informatique (ICTswitzerland, SWICO, SwissICT) estiment que la loi devrait se contenter de ce qui est nécessaire au commerce avec les autres pays. On reproche à l’avant-projet d’aller au-delà de ce cadre et d’être trop vague et trop contraignante, notamment en matière de sanctions ou de limites imposées au profilage. Une «finition suisse» trop zélée qui menacerait l’autonomie et la capacité d’innovation des entreprises.

Au-delà de la conformité avec les nouvelles réglementations, le développement d’une culture et d’une gouvernance des données respectueuses des utilisateurs est aussi une opportunité pour les entreprises d’établir un nouveau rapport de confiance avec leur clientèle. Selon une étude du cabinet Oliver Wyman4, trois quarts des Suisses rechignent à transmettre leurs informations personnelles et 63% se préoccupent de la manière dont les entreprises chiffrent et stockent leurs données. «Les cantons, les villes et les entreprises sont dans l’obligation de se soucier d’avoir des directives claires en matière de protection des données. S’ils n’agissent pas contre le déficit de confiance, leur croissance future pourrait s’en trouver menacée», avertit Joris D’Incà, Responsable suisse d’Oliver Wyman.

(*) Références

1. Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016
2. «Brief: You Need An Action Plan For The GDPR », Forrester, octobre 2016
3. Avant-projet de révision totale de la loi sur la protection des données (LPD), Office fédéral de la justice, décembre 2016
4. «Switzerland’s Digital DNA», Oliver Wyman, avril 2017 (enquête réalisée auprès de 2100 personnes)

Webcode
DPF8_43709