L'acronyme GDPR, General data protection regulation ou Règlement général pour la protection des données, commence à être largement connu. La date butoir également, les entreprises ont jusqu'au 25 mai 2018 au plus tard pour s'y conformer. Les modalités de mise en conformité restent en revanche dans le flou. Le cabinet Deloitte vient de publier un Livre Blanc sur le sujet : « GDPR, par où commencer ? » L'occasion de rappeler le cadre juridique et les obligations qui vont incomber aux entreprises.
Mais, dès l'introduction, Michael Bittan, associé leader des activités Cyber Risk Services chez Deloitte insiste sur les difficultés d'adaptation du règlement européen. Au premier rang desquelles, il place l'évaluation des volumes de données personnelles à « trier ». La moindre incertitude sur ce point fait réfléchir. Si l'entreprise s'avère incapable de fournir les données personnelles d'un client, elle est prise en défaut. Le GDPR est justement basé sur sa responsabilité dans la protection des données. L'entreprise doit pouvoir les fournir et savoir les traiter comme les protéger.
Il ne reste que 500 jours
Une amende est prévue en cas de défaillance de l'entreprise dans la protection de ses données clients. Amende dissuasive. Destinée avant tout à les pousser à se mettre en conformité avec le règlement européen. Il ne reste que 500 jours, résume Michael Bittan. Dans un autre rapport, celui de Symantec, 96% des entreprises françaises, allemandes et britanniques concédaient n'avoir qu'une compréhension partielle du GDPR.
Ce règlement oblige à revoir son organisation, note Deloitte. Toute entreprise de plus de 250 salariés doit se doter d'un délégué à la protection des données ou d'un directeur de la protection des données. Nombre de RSSI étendent leurs fonctions à celle de responsable de la compliance [conformité réglementaire]. L'entreprise toute entière se met ainsi à la data gouvernance.
Dans cette démarche, le cabinet cite plusieurs étapes. D'abord, réaliser un état des lieux des traitements et des données manipulées, des moyens en place et des zones à risque. Il faut une méthodologie de type industriel. Ensuite, chaque responsable se voit attribuer un positionnement de même que les sous-traitants ou les hébergeurs. Débute alors l'identification proprement dite des données personnelles, nature, volume, localisation, niveau de criticité, cycle de vie. Ensuite, préconise le cabinet, une étude d'évaluation des impacts et des risques sur la vie privée s'avère nécessaire.
Les GAFA se sont mis à respecter les obligations sur les cookies. C'est général. Les politiques de protection des données personnelles sont également une obligation aux USA, et également une question de sécurité nationale aussi pour eux, et de sécurité financière en général, bref ce n'est pas propre à la France (qui sur ce point est plutôt en très en retard par rapport au reste de l'Europe et aux USA, ce qui ne l'empêche pas d'être la cible aussi de détournement de données y compris les sites administratifs et bancaires et bon nombre de sites d'entreprise).
Signaler un abusLes GAFA ne rigolent pas sur ce point car ils sont les premiers ciblés par ces attaques (et aussi les plus concernés par les boycotts s'ils devaient se retrouver bloqués administrativement).
Les sites qui ne respectent pas ces obligations sont plutôt les petits sites commerciaux qui font un peu n'importe quoi, mais aussi en France les banques (qui s'appuient uniquement sur un fond d'assurance qu'on paye tous, pour couvrir les dommages que les banques subissent et remboursent automatiquement grâce à ces assurances collectives qu'on paye cher chaque année, et de plus en plus cher d'année en année, sous forme de frais de gestion qui se multiplient et dont les tarifs explosent pour de prétendus nouveaux "services" qu'avant les banques réalisaient car cela faisait partie de leur métier).
Maintenant les banques en France n'ont même plus l'obligation de garder les réserves légales des actifs des particuliers qu'elles détiennent: on a loupé la marche de la séparation des banques d'affaire/d'investissement et des banques de détail, et une ministre vient de leur dire de se financer en puisant sans limite dans nos comptes, y compris pour couvrir leurs propres opérations financières les plus risquées, ou ne pas assurer les prêts qu'elles accordent sans contrôle et à taux très bas.
Pourquoi la ministre fait ça : parce que l'euro est à nouveau menacé et que les financements gratuits des banques par la BCE vont prendre fin et que la BCE ne va plus pouvoir se financer en ayant des dépôts étrangers (notamment chinois) à taux négatif qui permettait à la BCE de faire des prêts à taux zéro ou très faible et en volume illimité aux banques pour les laisser faire n'importe quoi.
Bref on a dit aux banques qu'elles pouvaient continuer à faire n'importe quoi, mais qu'au lieu de se financer auprès de la BCE elles n'avaient qu'à se servir dans nos dépots (dont les garanties financières obligatoires ont été réduites, de même que la couverture du reste du risque par l'Etat.
La crise de 2008 est passée, on n'a rien appris, c'est maintenant encore pire qu'avant, on est au bord du gouffre (et le public ne laissera pas le gouvernement ou la BCE financer sans limite les banques : elles vont donc se servir dans nos comptes puisqu'elles n'assurent toujours pas leurs opérations à la hauteur des risques qu'elles prennent, et sont toujours aussi négligentes en France en terme de sécurité et de protection des données)
En réponse à visiteur11205, Pour être plus explicite : un règlement européen a force de loi dans tous les pays de l'union et n'a pas besoin d'être voté par les parlements locaux (à la différence des directives).
Signaler un abusL'obligation sur la notification sur l'acceptation des cookies est une hypocrisie totale quand l'on voit toutes les informations que pompent nos smartphone et notre cher windows sur notre vie privée, nos déplacements, et toutes les informations qui sont captables par ces biais.
De ce fait, je ne suis pas sûr que la protection des données soit l'effet réel de cette loi. Au contraire, les entreprises européennes seront les premières à souffrir de ces lourdeurs réglementaires alors que les GAFA doivent bien rigoler puisque l'on tue nos propres challengers dans l'oeuf. Il n'y a qu'a observer la fiscalité des GAFA pour ce dire que la partie sera la même.
Non, la protection des données est une obligation en France depuis 40 ans (avant même les premières "directives européennes" sur le sujet).
Signaler un abusC'est d'abord une loi nationale (même si elle été depuis révisée et renforcée dans certains domaines) et non juste supranationale (même si dans certains domaines on a relâché la pression légale, notamment pour le règlement du litige avec les USA, via le prétendu "Safe Harbour" qui n'a pas pu être négocié par la France qui voulait plus de protection, mais par l'Union européenne qui en revanche a permis d'étendre la loi française en Europe).
Ces négociations ne sont pas terminées car la loi française et les directives européennes a malgré tout eu des échos aussi aux USA où les assos locales militent aussi pour ce renforcement des protections (contre les GAFA notamment qui ont abusé et abusent encore du BigData et de la revente de données personnelles obtenues de façon très litigieuse).
En témoigne maintenant l'application sur presque tous les sites d'avertissements concernant les cookies et l'imposition d'un affichage clair des politiques de protection des données personnelles: la France seule n'y serait jamais arrivé sans l'Europe et le soutien de plein d'assos militant pour la protection des droits personnels aux USA, mais aussi grace à des scandales ayant eu des conséquences graves et des impacts judiciaires aux USA contre les sociétés qui protègent mal les données personnelles, et de l'explosion des escroqueries et détournements de données sur Internet, ou encore les affaires d'espionnage industriel et les questions de sécurité nationale (par exemple contre les attaques répétées, massives et organisées venant de Chine, de Corée du Nord ou de la Russie et qui visent à détruire notre économie ou en abuser et ruiner nos entreprises et empêcher nos services publics de fonctionner).
Ces attaques on en paye tous le prix même si on n'en est pas directement victime: on le paye via nos assurances et frais de gestion, ou par la perte des emplois dans les sociétés attaquées qui ne s'en relèvent pas.
Rappelons que "Règlement européen" est le doux euphémisme pour "loi supranationale".
Signaler un abusMalheureusement le GDPR ne s'appliquera pas au Royaume-Uni, où plein de données européennes sont hébergées par les grands groupes du Big Data.
Signaler un abusLe Royaume-Uni va en profiter pour le dire à Google et autres afin de les inciter à déménager leurs Data Centers installés en Allemagne et Irlande et les inciter à garder ceux au Royaume-Uni.
Au delà de ça, il faudrait vraiment commencer à réfléchir sur une taxe au volume sur les bases de données faisant l'objet d'offres commerciales ou de collecte auprès des particuliers. Une taxe comparable à celle de "copie privée" demandée uniquement aux particuliers pour les supports de stockage (pour rémunérer les artistes même si ce stockage sera utilisé pour autre chose: installer un OS, une application, stocker les photos persos, et les médias acquis ou loués légalement)
Ces données Bid Data nous concernant ont été abusivement collectées contre notre volonté et monétisées sans qu'on en tire aucun avantage (les "avantages" on le les a qu'en les rachetant). Il faut que cela retourne au moins à la collectivité et imposer aussi aux Big Data collectors des clauses les obligeant à libérer une part significative de ces données (par exemple 25% du volume en open data, et 100% pour les données historiques de plus d'un an, ce qui les obligera aussi àa faire le ménage des données collectées illégalement).
Les volumes peuvent être contrôlés dans les datacenters en constatant les capacités de stockage déployées, et en suivant les acquisitions de matériels. ette taxe ne devrait pas être forfaitaire (à l'achat des supports) mais bien en durée (montant de X euros par téraoctet, avec tarif croissant selon les volumes déployées dans un même datacenter, afin aussi d'obliger à multiplier les datacenters).
Et aussi prévoir une taxe sur les transferts de données extraterritoriaux entre datacenters : taxer les liaisons de peering privés longue distance ou liaisons cryptées de grande capacité transitant via les noeuds d'interchange multiopérateurs (GIX). Ce qui mettra alors les données sur des supports localisés dans les juridictions et accessibles à la justice (qui pourra alors faire des perquisitions et constater les collectes abusives y compris sur les données personnelles où normalement on a un accès légal et de rectification, mais qui sont en fait déjà copiées et vendues ailleurs sans droit d'accès).