L’agenda juridique 2018 du DSI

Publié le 15/01/2018 - CIO Online - E. Papin

Pour lire l’article d’Etienne Papin dans son contexte original pour CIO Online.

Quels sont les sujets juridiques à surveiller en 2018 ? Trois thématiques se dégagent en ce début d’année : protection des données, sécurité du SI, dématérialisation des échanges.

Quels sont les sujets juridiques à surveiller en 2018 ? Trois thématiques se dégagent en ce début d’année : protection des données, sécurité du SI, dématérialisation des échanges.

Moins de 100 jours avant l’entrée en vigueur du RGPD

Ce fut le sujet majeur du droit des technologies en 2017. Le règlement européen du 27 avril 2016 sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai 2018. Il est directement applicable en France, même si une loi de réforme de la loi du 6 janvier 1978, Informatique et Libertés est en préparation notamment pour adapter la Cnil à ses nouveaux pouvoirs issus du RGPD.

Étonnamment, le RGPD repose sur des principes juridiques qui sont identiques à ceux édictés il y a 40 ans avec la loi Informatique et Libertés. C’est d’ailleurs là le principal reproche qu’on puisse lui faire… Pour les entreprises qui traitent les données personnelles en conformité avec cette loi, le RGPD ne constitue pas un bouleversement. Pour les autres, les actions de mise en conformité s’imposent ! Mais il n’y a pas deux entreprises qui se ressemblent et deux systèmes d’information qui soient identiques. La mise en conformité au RGPD est donc nécessairement un projet spécifique à chaque entreprise et organisation. Il n’y a pas de solution « sur étagère » en la matière.

Que faire ? Le propos ici n’est pas d’être exhaustif mais d’axer sur les actions urgentes et nécessaires qui permettront d’initier la démarche de l’entreprise.

  1. Inventorier les données personnelles.A l’heure du « big data », dès que l’entreprise dépasse le stade de la PME/PMI, l’approche « manuelle » du problème devient difficile. Il faudra envisager d’installer des outils de data management, lesquels seront également utiles pour le maintien de la conformité au RGPD. Il faut en effet identifier, de manière la plus exhaustive possible, quelles sont les données personnelles traitées par le SI, d’où elles viennent et où elles vont. La démarche RGPD commence donc nécessairement par la connaissance des données traitées par l’entreprise ou l’organisme
  2. Définir les habilitations d’accès aux données.L’article 5 c) du RGPD rappelle le principe de « minimisation » des données. Associé au principe de sécurité, il n’est plus envisageable que n’importe quel profil utilisateur du SI puisse avoir accès à n’importe quelle donnée présente sur les applicatifs. Une segmentation s’impose en appliquant le principe du « besoin d’en connaître », pour reprendre le principe issu du monde militaire
  3. Purger les données personnelles inutiles et définir les durées de conservation.Premier facteur de non-conformité des entreprises à la loi du 6 janvier 1978 : l’absence de suppression des données. Le RGPD ne change pas la donne et prévoit dans son article 5e) que les données ne peuvent être conservées sous une forme identifiante que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Il est urgent de faire le tri dans les données et de ne plus envisager la mise en place d’un applicatif qui ne soit pas conçu avec les routines nécessaires à la suppression automatique des données.
  4. Auditer la sécurité des données.Nous renvoyons à nos développements ci-dessous sur cette question
  5. Définir les pré-requis fonctionnels et techniques du « privacy by design ».Principe de minimisation des données, définition des durées limitées de conservation, mise en œuvre des droits des personnes, sécurité des données. Il n’est plus envisageable d’engager l’acquisition d’un applicatif (qu’elle qu’en soit le mode : on premise ou on-line) sans adjoindre au cahier des charges fonctionnelles le cahier des charges « data protection »
  6. Inventorier les sous-traitants.Aujourd’hui comme hier, et peut-être plus qu’hier, le responsable du traitement sera responsable des manquements de son sous-traitant. Le propos est particulièrement vrai pour la sécurité des données. Des engagements contractuels conformes à l’article 28 du RGPD doivent être pris par les sous-traitants afin de limiter les risques et, le cas échéant, disposer d’une action récursoire à leur encontre.
  7. Nommer un référent dans l’entreprise en charge des données personnelles.Il n’est pas forcément nécessaire de nommer un DPO en tant que tel, lorsque l’entreprise ne rentre pas dans les conditions de l’article 37 du RGPD. Il est cependant indispensable de désigner une personne qui pilote le projet de mise en conformité et de maintien de la mise en conformité au RGPD.
  8. Définir les procédures « RGPD » dans le cadre de la mise en œuvre de nouveaux applicatifs.Les métiers mettent en œuvre des applicatifs sans en référer à la DSI, sans parler des tableaux excel qui regorgent de données personnelles de manière non-sécurisée, des procédures internes doivent être définies et partagées dans l’entreprise pour que le sujet « données personnelles » ne redevienne pas une boîte noire une fois la mise en conformité au RGPD effectuée.
  9. Garantir le droit des personnes.Pourquoi cette réglementation absconse peut-on légitimement s’interroger ? Par ce que les intéressés peuvent vous demander des comptes : consentement au traitement, droit d’accès, droit de rectification, droit de suppression, etc. Encore faut-il savoir où sont les données et comment intervenir dessus. Les applicatifs doivent vous permettre de répondre à ces demandes. Sans oublier les pouvoirs de contrôle de la Cnil.
  10. Quand vous avez fini, recommencez !Mauvaise nouvelle, l’entrée en vigueur du RGPD n’est pas qu’une échéance à passer. Il conviendra de maintenir la conformité au règlement aussi longtemps que notre législateur européen en décidera. Le SI ne cesse d’évoluer, les besoins métiers sont tous les jours renouvelés, les entreprises fusionnent, se séparent, etc. La conformité au RGPD sera un perpétuel sujet.

La sécurité du SI devient une source de responsabilité pour l’entreprise

Les fuites de données personnelles sont devenues une source de responsabilité pour les entreprises.

La décision de la Cnil prononcée le 8 janvier 2018 à l’encontre de Darty en est l’illustration. L’interface de gestion en ligne des demandes de SAV présentait une faille de sécurité. Il suffisait de modifier manuellement dans l’URL le numéro du dossier, en l’incrémentant de 1 par exemple, pour accéder aux informations relatives au dossier SAV d’un autre client. Etaient ainsi disponibles : nom, prénom, adresse postale, adresse de messagerie électronique, détails de la commande de 912 938 dossiers du SAV de Darty. Le formulaire faillible avait été mis en ligne et était hébergé par un sous-traitant de l’enseigne.

La Cnil a prononcé une sanction pécuniaire à hauteur de 100 000 euros à l’encontre de la société. Les considérants de la Cnil sont intéressants : « Si la [Cnil] prend acte de l’absence de traitement de données sensibles […] ou de données bancaires, pour autant, elle considère que le manquement à la sécurité et à la confidentialité est grave en raison de la multitude de catégories de données traitées qui révèlent des informations sur les personnes et leur vie privée, au travers notamment des commandes passées ».

La morale de l’histoire est que pour la Cnil toute fuite de données est grave, même si les données ayant fuité sont anodines. C’est contestable, mais en première instance, c’est aujourd’hui la position du régulateur.

N’espérez pas échapper à votre responsabilité, même si le problème a pour origine un sous-traitant. La Cnil considère, en l’espèce, que le responsable du traitement à « fait preuve de négligence dans le suivi des actions de son sous-traitant ».

Des audits réguliers de sécurité du SI sont donc devenus impératifs. Et si vous n’y veillez pas, figurez-vous que certains y veillent pour vous ! La procédure initiée à l’encontre de Darty est en effet le fruit d’une délation à la Cnil.

A compter de l’entrée en vigueur du RGPD, et conformément à son article 33, en cas de fuite de données, l’entreprise devra le notifier à la Cnil, « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». L’article 33 prévoit qu’il n’est pas nécessaire de procéder à une telle notification lorsque la fuite de données n’est pas susceptible d’engendrer « un risque pour les droits et libertés des personnes physiques ». En l’état de la jurisprudence de la Cnil, il faut malheureusement considérer que ledit risque sera toujours constitué lorsque la donnée n’est pas pseudonymisée.

Toujours sur le sujet de la sécurité du SI, le délai de transposition de la directive 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union expire le 9 mai 2018. Une loi de transposition est donc à anticiper.

Les dispositions de cette directive concernent deux groupes d’acteurs : les opérateurs de services essentiels et les fournisseurs de services numériques.

S’agissant des opérateurs de services essentiels, la France s’est déjà dotée d’une réglementation relative aux opérateurs d’importance vitale depuis la loi de programmation militaire de 2013. S’agissant des fournisseurs de services numériques, la directive leur impose notamment la mise en place des mesures pour les gérer les risques qui menacent la sécurité de leur SI et de notifier les incidents ayant un impact significatif sur la fourniture de services. Sont concernées : les places de marché en ligne, les moteurs de recherche en ligne et les fournisseurs de service cloud.

Le droit de la dématérialisation en perpétuelle construction

On ne passe pas de la civilisation du papier à la civilisation « digitale » (il faut dire « numérique » mais nous cédons à la mode) du jour au lendemain. Les pratiques ont devancé le droit et le droit à bien du mal à suivre de manière simple et intelligible.

Comment assurer la confiance dans l’identité des personnes et dans l’intégrité des échanges lorsque ceux-ci ont lieu en ligne ? Les acteurs du e-commerce n’ont pas attendu d’avoir la réponse juridique à ces questions pour devenir des mastodontes.

Mais le droit poursuit sa mutation pour rendre compte de la transformation de l’écrit qui sous-tend tant de relations juridiques.

À tout seigneur tout honneur, c’est le secteur économique de la finance et du crédit qui a fait l’objet d’une attention particulière par le législateur par l’ordonnance du 4 octobre 2017 qui entrera en vigueur le 1er avril 2018. Cette ordonnance a pour but de faciliter les échanges dématérialisés entre les entreprises du secteur financier et leurs clients tout en assurant des garanties de protection aux consommateurs. Le point central de cette ordonnance est la possibilité donnée aux sociétés du secteur de l’assurance, de la banque et de la finance de substituer au papier, largement utilisé pour l’information contractuelle des clients, un « support durable » défini « comme un support permettant de stocker les informations adressées tant par le professionnel que par son client afin de pouvoir s’y reporter ultérieurement pendant un laps de temps adapté aux fins auxquelles les informations sont destinées ». Par principe, cette durée ne pourra être inférieure à 5 ans à compter de la fin de la relation contractuelle. Le client pourra s’opposer à l’usage de ce « support durable », en lieu et place du papier, mais son consentement préalable à cet usage n’est pas requis.

Le texte entend également favoriser le recours à la lettre recommandée électronique lorsqu’elle est aussi requise par la loi dans le cadre d’une relation contractuelle.

Depuis la loi pour la République numérique de 2006, le régime juridique de la lettre recommandée électronique a été unifié et codifié dans le code des postes et communications électroniques. Les décrets d’application arrivent peu à peu.

Fin décembre 2017, le décret n° 2017-1728 du 21 décembre 2017 est venu préciser les conditions dans lesquelles les administrations peuvent accepter de recevoir des recommandés électroniques. Malheureusement, et en dépit des déclarations du législateur lors des débats parlementaires, il s’agit encore d’un choix discrétionnaire de l’administration d’accepter de recevoir des eLRAR.

Le régime juridique lui-même de la lettre recommandée électronique est encore en construction. Un projet de décret, transmis à l’automne dernier à la Commission européenne, devrait entrer en vigueur au 1er juillet 2018. Il vient préciser le mécanisme de la eLRAR, en chantier depuis 2011 (!), date du premier décret en la matière.

Les prestataires de service d’envoi de recommandé électronique devront assurer l’identification initiale de l’expéditeur par un moyen d’identification électronique dont la délivrance a été précédée de la présentation en personne de la personne physique ou d’un représentant autorisé de la personne morale et, schématiquement, qui satisfont aux exigences du règlement eIDAS. Étrange exigence car le recommandé papier se dispense d’un tel contrôle.

L’identification fiable sur les réseaux est décidément un sujet bien complexe. Dans la même série de projets de décrets parus fin 2017, un projet fixe le cahier des charges « du moyen d’identification électronique présumé́ fiable ». Ce futur décret est pris en application de l’ordonnance n° 2017-1426 du 4 octobre 2017 relative à l’identification électronique et aux services de confiance pour les transactions électroniques qui est venu créer un article 102 dans le code des postes et communications électroniques. Pour être présumé fiable, un moyen d’identification électronique devra répondre à un cahier des charges prévu dans ce décret qui sera établi par l’ANSII, laquelle assurera également la certification des moyens d’identification électronique.

Ce texte fonde pour la première fois en France le cadre juridique de l’identité électronique, en conformité avec les obligations issues du règlement eIDAS.

Enfin le coffre-fort électronique va voir son régime juridique précisé. La loi pour une République numérique a introduit l’article L137 dans le code des postes et communication électronique qui précise les fonctions d’un service de coffre-fort numérique. Un projet de décret, dont l’adoption est attendue dans les prochains mois, vise à définir les modalités de mise en œuvre de ce service et de sa certification et un second projet précise les modalités de la récupération des documents et données stockées.

Autres publications