L’UE renforce la protection des données personnelles et l’obligation de réparer leur compromission
A échéance de 2018, le nouveau Règlement du 4 mai simplifie aussi le contrôle de ces données, tant par les individus visés que par les entreprises qui les utilisent.
Remplaçant la Directive européenne 95/46/CE, ce texte renforce les droits existants en les simplifiant, pour tous les acteurs impliqués. L’individu est mieux protégé, par une information plus détaillée, à lui présenter de façon très accessible. Les droits à l’oubli et à la portabilité complètent la maîtrise de ses données collectées, avec une protection accrue pour les mineurs.
Pour l’entreprise une boîte à outils enrichie est proposée : code de conduite, certifications. Modulés selon le risque, ces obligations s’ajoutent à l’existant : tenue d’un registre, accès aux autorités de protection (type CNIL) via un « guichet unique » européen, et à la nomination d’un DPO (Data Protection Officer, Chargé de Protection des Données), compétent en droit et en informatique. Ce rôle pourrait être repris par les actuels CIL (Correspondants Informatique et Libertés de la loi de 1978 / 2004).
Toute compromission de données personnelles devra être notifiée à l’autorité et aux propriétaires des données. Cette information dans les meilleurs délais est néanmoins facultative si a été déployée, en amont, une contre-mesure protection technique ou organisationnelle (comme le chiffrement), ou bien si des mesures ultérieures garantissent la disparition de tout risque élevé pour les droits et libertés. En outre, une communication publique peut y satisfaire si l’information individuelle exigerait des efforts disproportionnés.
Les autorités ont une compétence élargie à l’UE et un pouvoir accru de sanctions : les amendes peuvent atteindre 20 millions d’euros, ou 4 % du chiffre d’affaires annuel total du contrevenant.
Notre analyse : L’accès du citoyen facilité, en parallèle à l’essor de l’exploitation «Big Data»
Ce Règlement, paru au J.O.U.E., s’applique dans 2 ans (25 mai 2018) afin de laisser le temps d’adapter les pratiques et systèmes. Pour les établissements financiers, le gisement d’analyse que représentent les paiements devra ainsi être sécurisé, par exemple en les remplaçant par des tokens anonymes, ou en les chiffrant, même au sein d’un même S.I. de l’opérateur.
C’est d’ailleurs le principe de la version 3.2 de PCI-DSS*. Outre des mesures anti-intrusion intensifiées, généralisant l’authentification multifacteurs, la norme monétique sur les données sensibles privilégie les choix S.I. qui déprécient l’intérêt / la valeur des données pour un attaquant.
Enfin, jusqu’au 4 août, l’Autorité Bancaire Européenne (ABE) soumet à consultation l’usage des données par les établissements. Sont aussi visés la clarté contractuelle et la réduction des asymétries d’information en faveur des clients, avant d’envisager une réglementation sectorielle.