La protection des données personnelles repose sur plusieurs piliers introduits par le Règlement européen sur la protection des données 2016/679 du 27 avril 2016 (RGPD) et dont le respect nécessite la mise en place d’un certain nombre de processus par tout organisme souhaitant collecter et traiter des données personnelles.
En dépit des principes de licéité, de loyauté, de limitation des finalités, de minimisation des données et de limitation de la conservation des données présentés à l’article 5 du RGPD, un pilier essentiel de la protection des données personnelles porte sur la sécurité.
L’article 32 du RGPD met en effet à la charge du responsable du traitement et du sous-traitant une obligation de définir des « mesures techniques et organisationnelles ».
Protéger les données
L’exigence de sécurité ne porte pas uniquement sur le stockage et le transfert des données. Chaque aspect du traitement des données personnelles, voire chaque étape du cycle de vie de la donnée, est concerné. Cela signifie que les mesures de sécurité à mettre en place doivent permettre d’assurer un respect de l’ensemble des exigences de la réglementation et de garantir notamment que :
- les données ne soient consultées, manipulées et traitées que par les personnes habilitées. Ainsi, l’accès de chaque utilisateur doit être limité aux données strictement nécessaires au regard des missions qui lui sont confiées.
- les données soient exactes et strictement nécessaires au regard de la finalité pour laquelle elles ont été collectées.
- les données restent accessibles et utilisables. Ainsi, si des données personnelles sont accidentellement perdues, altérées ou détruites, il faudrait pouvoir les récupérer et éviter tout dommage pour les personnes concernées.
De manière plus générale, les actions entreprises doivent assurer la sécurité du réseau et du système d’information, voire leur capacité à résister à tout évènement susceptible de porter atteinte à la disponibilité, l’authenticité, l’intégrité et la confidentialité des données à caractère personnel.
Assurer le niveau de sécurité requis
Le RGPD ne prévoit pas de manière claire et détaillée les mesures de sécurité à mettre en place. Il exige néanmoins un niveau de sécurité « approprié » aux risques que peuvent engendrer les traitements en question et définit un certain nombre de critères auxquels le responsable de traitement peut s’y référer afin de déterminer l’adéquation des mesures mises en place. Il est ainsi prévu de tenir compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques.
Une solution unique n’existe donc pas et les mesures de sécurité ne peuvent être déterminées à l’avance. L’approche suivie est fondée sur les risques et ce qui est « approprié » pour vous dépendra de votre propre situation, du traitement que vous effectuez et des risques qu’il présente pour votre organisme.
Une évaluation préalable des risques est dès lors indispensable pour pouvoir définir les mesures à mettre en place. Cette analyse est possible dans le cadre du Privacy Impact Assessment (PIA) introduit par le RGPD pour les traitements susceptibles d’engendrer un risque pour les droits et libertés des personnes.
S’assurer de l’efficacité des mesures de sécurité
L’efficacité des mesures techniques et organisationnelles mises en place doit être testée, évaluée et revue de manière régulière. La fréquence de ces tests dépend des données concernées, des traitements effectués et de l’environnement dans lequel ces données sont traitées. Aucune démarche n’est toutefois prévue pour ces analyses et le type de test n’est pas déterminé. Il doit toutefois être adapté à la manière dont les données sont traitées et au niveau du risque. D’un point de vue technique, il peut s’agir d’une analyse de vulnérabilité et de tests de pénétration permettant de révéler les zones à risque dans le réseau et les systèmes d’information.
Démontrer la mise en place des mesures techniques et organisationnelles
Au titre du principe d’accountability introduit par le RGPD, il est indispensable de mettre en place une politique de sécurité de l’information afin de démontrer les actions définies pour se conformer au principe de sécurité.
Aussi, les résultats des tests effectués doivent être tracés ainsi que les garanties appropriées mises en œuvre. Cela est particulièrement important si les tests révèlent des failles critiques qui pourraient entraîner une violation des données personnelles.
Dans tous les cas, les choix effectués doivent être précédés d’une analyse des risques et doivent être documentés et justifiés.
Des exemples de techniques de sécurité :
Le RGPD réfère dans son article 32 à deux mesures de sécurité qu’il est possible de mettre en place pour garantir un niveau de sécurité approprié : la pseudonymisation et le chiffrement. Il est également fait référence à l’anonymisation des données qui constitue une solution surtout dans le cas où le responsable de traitement envisage de stocker les données au-delà de leur durée de conservation.
Ces techniques ne doivent pas nécessairement être implémentées et le choix des mesures dépend essentiellement de la nature, la portée, le contexte et les finalités des traitements ainsi que des risques potentiels pour les droits et libertés des personnes.
- Pseudonymisation et anonymisation :
Alors que l’anonymisation consiste en une technique appliquée aux données personnelles afin de ne plus permettre de remonter à la personne de façon irréversible, la pseudonymisation permet d’identifier la personne en recourant à des informations supplémentaires conservées de manière séparée. Plus concrètement, cette dernière consiste à remplacer un attribut par un autre et vise à limiter le risque d’identification directe de l’individu.
Ces deux techniques ne permettent dès lors pas d’atteindre les mêmes objectifs et là où la pseudonymisation constitue une simple mesure de sécurité, l’anonymisation permet de se décharger des obligations du RGPD. Le choix de l’une ou l’autre de ces deux techniques dépend en grande partie des finalités pour lesquelles les données ont été collectées et plus précisément de la nécessité ou pas de conserver le caractère personnel des données. Alors que la pseudonymisation s’applique aux traitements qui nécessitent une ré-identification ultérieures des personnes, l’anonymisation concerne les situations qui permettent d’atteindre l’objectif poursuivi par le traitement de données non identifiables.
- Chiffrement :
Le chiffrement permet de garantir que seules les personnes habilitées à connaître le message (émetteurs et destinataires) puissent y avoir accès. Ainsi, un contenu chiffré n’est lisible que pour la personne qui détient la clé.
On distingue le chiffrement asymétrique qui nécessite le recours à une paire de clés (clé privée et clé publique) appartenant au destinataire et le chiffrement symétrique qui permet quant à lui de chiffrer et de déchiffrer le message via une clé unique. Dans le premier cas, l’expéditeur recourt à la clé publique du destinataire lors du chiffrement du contenu et le destinataire utilise sa clé privée afin de le déchiffrer.
Bien que ces techniques soient les seules présentées par le RGPD, le responsable de traitement peut recourir à d’autres mesures et la technique utilisée doit permettre de sécuriser efficacement les données.
