ANALYSE D’IMPACT / ANALYSE DE RISQUE DANS LE RGPD
CHAMP D’APPLICATION DU R.G.P.D. Discussions puis adoption du RGPD n°2016-679 du 24 avril 2016 Fruit de longs débats entre lobbies, associations de défense des libertés publiques, juristes, acteurs économiques, le RGPD remplace la Directive 1995, et se substitue en partie à la loi 1978 Enjeux immenses : marchés des services data, data marketing, data management, smart data, sécurité de l’information, confiance dans le Cloud, e-commerce, publicité digitale, compétitivité économique, souveraineté numérique, etc. RGPD Mai 2018 : le Règlement s’applique (art. 3) : Aux traitements de données personnelles effectués sur le territoire de l’UE (localisation des établissements et datacenters) indépendamment de la nationalité ou de la résidence des personnes concernées Aux entreprises de droit européen traitant de données personnelles de personnes résidant sur le territoire de l’UE, même si le responsable n’y est pas établi Aux entités qui proposent des biens ou services à des personnes se trouvant sur le territoire de l’UE, ou qui se contentent même « d’observer » le comportement de ces personnes (allusion au profilage marketing), quand bien même l’entité n’est pas établie sur le territoire de l’UE (il doit alors y désigner un représentant) Sanctions : jusqu’à 4% du CA mondial de l’entreprise (ou 20M€) AIPD et Analyse de risques
CONFORMITE AU R.G.P.D. Sécurité La conformité au RGPD n’est pas un état, mais un processus Recensement Cartographie des traitements Désignation du DPO Registre Déploiement Privacy by Design AIPD Déploiement de la sécurité Méthodologie Accountability Adaptation des contrats Pilotage de la conformité Pérennité L’entreprise doit documenter et maintenir la conformité en tous temps et en faire la preuve à première demande Cartographie La mise en conformité implique de maîtriser le SI, les données collectées et finalités poursuivies Responsabilité Le DPO est parfois obligatoire, le plus souvent très conseillé. Il pilote et contrôle la conformité Contractualisation La conformité doit être répercutée dans les contrats, entre professionnels ou auprès des clients finaux titulaires des droits Reduce the whole diagram of 10% Organisation La conformité implique toute l’entreprise, qui doit rédiger une méthodologie de déploiement et maintien de la conformité Sécurité La protection des données personnelles passe par la sécurité de l’information AIPD et Analyse de risques
ANALYSE D’IMPACT PREALABLE Cas d’AIPD obligatoire Traitements à risques en raison de leur nature, ou de la nature des données traitées : Traitement de données particulières(données de santé, données biométriques, génétiques, condamnations pénales, orientations personnelles, etc.) Traitement à grande échelle visant un volume considérable de données personnelles pouvant affecter un nombre important de personnes (i) en raison de leur caractère de données particulières, (ii) par application d’une nouvelle technologie ou (iii) engendrant un risque élevé pour les droits et libertés des personnes Traitement en vue de prendre des décisions relatives aux personnes basés (i) sur une évaluation systématique d’aspects personnels, ou (ii) sur le traitement de données particulières, ou encore(iii) sur le profilage de la personne Art. 35 RGPD « Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires » AIPD et Analyse de risques
ANALYSE D’IMPACT : UNE APPROCHE STRUCTUREE Pourquoi ? Mettre en évidence les traitements qui présentent des risques au regard des droits et libertés des personnes Identifier les risques, prendre des mesures et les suivre pour minimiser les risques au regard des droits et libertés des personnes Avec qui ? Responsable de traitement Juridique Maitrise d’ouvrage Maitrise d’œuvre Responsable sécurité RSSI Data Protection Officer Un processus d’amélioration continue Décrire et délimiter le contexte du traitement considéré et ses enjeux Evaluer la nécessité et la proportionnalité des opérations au regard des finalités Identifier les mesures existantes ou prévues Apprécier les risques sur la vie privée pour vérifier qu’ils sont convenablement traités Prendre la décision de valider, ou reprendre les étapes précédentes La CNIL a publié une documentation pour guider les « privacy impact assessment » Le G29 a publié des Lignes Directrices pour encadrer les AIPD AIPD et Analyse de risques
ANALYSE D’IMPACT : UNE APPROCHE STRUCTUREE Description du contexte Décrire la solution Décrire l’architecture et les flux Identifier les acteurs Identifier les enjeux Lister les mesures existantes et en faire une description détaillée Les mesures juridiques et contractuelles Les mesures organisationnelles : politique, assurance, organisation, gestion des risques, gestion de projets, gestion des incidents… Les mesures de sécurité logique : anonymisation, chiffrement, sauvegardes, cloisonnement des données, contrôle d’accès logique… Les mesures de sécurité physique : contrôle d’accès physique, sécurité des matériels, protection contre les sources de risques non humaines… Quel est le niveau des risques ? Identifier et hiérarchiser les évènements redoutés dans le cadre du traitement des données Identifier les risques qui permettraient aux évènements redoutés de survenir Evaluer la probabilité d’occurrence, ou de vraisemblance des risques Evaluer la gravité des évènements redoutés Les mesures complémentaires Identifier et décrire les mesures qui permettent de réduire le niveau de risque Décrire les risques résiduels Accepter ou refuser les risques résiduels Suivi du plan d’action AIPD et Analyse de risques
ANALYSE D’IMPACT : processus de pilotage et de suivi Piloter dans le temps l’ensemble des traitements de données personnelles Gestion des changements et Gouvernance des risques Le plan de traitement des risques et les risques résiduels après traitement seront soumis respectivement à approbation et à acceptation Surveillance et contrôle des processus et des mesures de sécurité Il s’agit de : Définir le processus d’évaluation de l’efficacité de la sécurité de l’information, établir le plan de contrôle des processus et des opérations Appliquer le processus d’évaluation de l’efficacité de la sécurité de l’information, Mettre en œuvre le plan de contrôle des processus et des opérations Suivre dans le temps les mesures de sécurité et les incidents Traitement des risques : Il s’agit de mettre en œuvre le plan de traitement des risques approuvés. Les mesures de sécurité déjà en place seront éventuellement revues. Les mesures de sécurité non encore mises en place seront implémentées. Gestion des incidents : Définition des rôles et processus de gestion des incidents ainsi qu’enregistrement des données liées à l’incident. AIPD et Analyse de risques
ANALYSE D’IMPACT VERSUS ANALYSE DE RISQUES L’analyse de risques (management de la sécurité de l’information) Gestion du risque pour la société ou l’organisme L’analyse d’impact (protection des données personnelles) Gestion du risque pour les personnes (droits et libertés) Une approche structurée similaire Description du contexte Identification des évènements redoutés, identifier les risques, évaluer la probabilité d’occurrence, ou de vraisemblance des risques, évaluer la gravité des évènements redoutés. Mettre en place des mesures Accepter le risque résiduel Un pilotage et une surveillance dans le temps similaires Un suivi dans le temps des mesures de sécurité et des incidents complémentaire AIPD et Analyse de risques
QUELLE SECURITE, POUR QUELLES DONNEES ? Faire des choix de confidentialité, et donc de sécurité PERTINENTS, en recourant aux services d’un professionnel Chiffrer ou pas les données ? Chiffrer ou pas les communications (VPN) ? Recourir aux dispositifs de sécurité innovants (UTM, cloud hybride, etc.) Encapsuler les données personnelles dans un « hub technique et juridique » assurant le traitement conforme de bout en bout (CCT, BCR, etc.) Assurer que le niveau « adéquat » de protection est déployé sur toute la chaine des intervenants Anonymiser les données personnelles (cf. Lignes Directrices du G29 sur l’anonymisation) Concevoir des produits et services qui prennent techniquement en compte l’impératif de confidentialité des données (« Privacy By Design ») Prévoir des procédures de signalement et de sanctions internes en cas de non-respect Convenir par contrat de la conformité aux normes pertinentes (ISO 27001, SSAE, RGS, etc.) Prévoir les facultés d’audit ou de rapport de conformité Contrôler la localisation des données Contrôler la disponibilité des données Mettre en place les procédures d’alerte en cas de violation de données AIPD et Analyse de risques