RGPD c'est la Réglementation Générale sur la Protection des Données, ça ne regarde que les données personnelles et c'est en vigueur, en europe, depuis mai 2018, mais il apparait sur un JO européen de 2016. Elle prévoit en son introduction, alinéa 39 que tous les traitements qui sont faits sur ces données soient identifiés et en son alinéa 40 que la personne à qui ces données appartiennent puisse refuser tout ou partie de ces traitements.
Trois points donc à voir : Quelles sont les données couvertes par cette réglementation ? Sommes nous bien informés des personnes physiques ou morales qui y ont accès ? Avons nous vraiment le choix de refuser certains traitements ?
Des données personnelles ?
L'article 4 de ladite réglementation donne des définitions et son alinéa 1 concerne les données personnelles.
«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
Quelques exemples:
- "Gaston Deferre était maire de Marseille", une personne est identifiée et liée à une donnée sociale la concernant, on est donc dans la donnée dite "personnelle". Je doute que Gaston Deferre puisse un jour donner son accord à cette publication.
- "N°6 est un ancien espion.". A priori je ne sais pas qui est N°6 on pourrait donc penser que l'information n'est pas "personnelle" et pourtant il est écrit quelque part qui est N°6. Si le personnage n'était pas fictif, on contreviendrait à la RGPD.
- "Le RPR est un ancien parti de droite français". Pas de personne identifiable, le RPR était une personne "morale", je peux donc écrire sans crainte de violer le RGPD ses orientations politiques. Par contre, si je cite son fondateur, c'est perdu.
- "6932 présente de graves lésion à la rétine", même chose que deux lignes plus haut mais sur des données physiologiques, ce qui ne change rien.
- "Le matricule 84325352 a un salaire brut de 98540 brouzoufs par an", même motif, même punition.
- "Le client 05784648 a commandé un aspirateur" ... pareil
Tout ça pour dire quoi ? Que grosso modo toutes les données relatives à ce qu'une personne fait ou pense sont considérées comme personnelle même si on cache la personne derrière un nombre ou une suite de lettres absconse. Ce qui implique que dans le désordre, cartes de fidélités, comptes bancaires, registres de commandes, données RH, résultats d'examens médicaux, journalisation de ce que vous faites sur internet, même au boulot, tout cela ce sont des données personnelles. Vous avez donc un droit de regard dessus et sur les traitements qui s'y appliquent.
Qui accède à ces données et pouvons nous toujours refuser les traitements.
Avant de se demander qui, la première question est "de quelles collectes de données sommes nous au juste au courant ?". Déjà à ce niveau le bât blesse. Que fait carrefour ( auchan, brice, fnac, ikea, amazon ou autre ) des données liées aux cartes de fidélité ? Qu'est-il collecté au juste ? Le montant total des achats ? Leur détail ? Quels traitement fait-on subir à ces données ? Qui les fait subir ? Puis-je m'opposer à tout ou partie de ces traitements ? Comment ? On se rend assez vite compte que non, on ne sait pas et si on creuse, le seul pouvoir que l'on a sur ces données est de ne pas les donner en n'utilisant pas tel ou tel service. La chose est facile pour des cartes de fidélité mais se complexifie grandement pour ces données dans le monde professionnel. On ne peut refuser par exemple que sa paie, ses congés, ses e-mails soient gérés par un logiciel d'entreprise, ce qui ne pose pas de problème tant qu'on maîtrise qui fait quoi avec ce logiciel. Dans ce cadre savons nous toujours qui a accès à nos e-mails, nos informations RH, nos publications ?
En entreprise la réponse est "ça dépend". Si tout cela est géré manuellement, seule la (les ?) personne(s) qui a (ont ?) la clé du caisson ou sont stockées les fiches y a accès. Mais qui gère encore tout ça à la main aujourd'hui ? Le boucher ? Même pas toujours. Aujourd'hui l'informatique est roi dans ce domaine, essentiellement pour des problèmes de simplifications de processus. Du coup, qui accède aux données. Les personnes qui ont accès au logiciel ( comme pour le caisson avec des clés finalement ) et tout ceux qui peuvent y accéder de manière légale ou détournée. Les administrateurs applicatifs, les gestionnaires d'infrastructures et autres contrôleurs de gestion qui y ont légalement accès. Ca commence à faire du monde et je ne suis pas certain d'avoir autorisé tout ce monde là à connaitre les dates de mes vacances à Ibiza ou de mon dernier séjour à l'hôpital.
Et si on passe dans le cloud ? Très à la mode le cloud ? SAP (gros logiciel de gestion d'entreprise qui stocke les données RH / client ... ) offre la possibilité de stocker pas mal de ses données dedans, voire toutes. que se passe-t-il avec le cloud ? Là encore tout dépend. Selon la nationalité de l'hébergeur cloud, la réglementation n'est pas la même. Le problème le plus important à mon avis provient du cloud américain. En effet ce dernier est régi par un article de loi américain connu sous le nom de cloud act. Cette loi, au départ prévue pour se protéger du terrorisme, garanti l'accès aux organismes de sécurité à l'ensemble des données personnelles stockées dans le cloud. Pour quelles analyses ? On ne sait pas. Peut-on s'y opposer ? NON. Que sera-t-il fait de ces données ? On ne sait pas.
ISO-27001
Quel rapport avec le RGPD ? Presque aucun si ce n'est que la sécurité des données confidentielle des personnes morales n'étant garantie par aucune réglementation spécifique autre que celle du secret d'affaire ( en clair, "tu es journaliste ferme ta gueule" et non "je ne publierai pas mon bilan annuel" ) rien ne protège d'une concurrence plus ou moins bienveillante. Et du coup un certain nombre de recommandations sont réunies dans une norme appelée ISO-27001. Qui dit quoi ? En gros exposez vos données au minimum. Faites en sorte que seules les personnes habilitées accèdent aux données auxquels elles ont droit et pour ce faire, chiffrez les d'une part et mettez en place des politiques drastiques de mots de passe pour éviter les usurpations d'identité. J'en parle ici parce que les sociétés sont de grandes utilisatrices d'e-mail. C'est rapide pratique, asynchrone bref en un mot effiscient. Certes mais à quel prix.
Jusqu'encore très récemment, les sociétés utilisait leurs propres infrastructures pour stocker, mails, documents et autre mais depuis deux ou trois ans des solutions comme google mail pour entreprise ou microsoft azure arrivent et proposent au delà de la gestion du courrier des gestion documentaires aussi puissantes, parfois plus, que celle déjà présentes en entreprise. Et c'est extrèmement séduisant puisque pour l'entrepreneur il n'y a plus de panne à gérer, de personnel lié à l'exploitation des ces infrastructure puisque le package inclue tout. C'est lam magie du cloud. Certes mais le cloud act est toujours là et le stockage de ces données garanti un accès aux états unis.
Pas si grave me direz vous. Les données sont chiffrées, on n'est pas des cons, et quand bien même, en quoi ça peut gêner que la CIA ou le FBI y ait accès ? Hein ?
La réponse est pourtant facile à comprendre et la dangerosité pour l'entreprise de ces infrastructure en découle. La CIA a accès et peut déchiffrer, c'est son boulot elle sait faire et le fera parce que tant qu'elle n'a pas consulté vos données, elle ne sait pas si oui ou non votre entreprise menace la sécurité des état-unis. Donc elle a vos données métier confidentielles même si elles ont été préalablement chiffrées. Pas grave vous n'avez rien à vous reprocher vous ne menacez pas la sécurité des états-unis ! ... En êtes vous si sûr ? Avez-vous au moins un concurrent américain ? Les états unis considèrent-ils la concurrence de marchés comme une menace ? La fille du président de Huawei a-t-elle été arrêtée sur ordre des états unis ?
Maintenant vous savez et pouvez vérifier à loisir mes allégations. Le cloud act est un document public.
