Alors que l’ancienne Ministre de la Justice Sonia LeBel comptait dépoussiérer les lois québécoises en matière de protection des renseignements personnels avec un nouveau projet de loi, Cyrille Aubergier, Responsable Cybersécurité chez SitaOnAir, démystifie les enjeux du Règlement Général sur la Protection des données (RGPD). Voici les 3 points à retenir de son interview pour INTRASEC, la chaîne cybersécurité d’In Fidem, à l’occasion de la Conférence Forensik 2019.
Comprendre RGPD
Cyrille Aubergier a souhaité durant son entrevue expliquer la raison d’être de cette réglementation européenne.
Entré en vigueur il y a maintenant 2 ans, le RGPD vise avant tout à renforcer les droits des personnes en responsabilisant les organismes publics ou privés, quant à la protection des données personnelles.
En effet, collecter, traiter et stocker des informations personnelles impliquent de prendre des mesures nécessaires pour les protéger. Ces mesures doivent garantir une utilisation respectueuse de la vie privée des personnes concernées.
Quels sont les changements majeurs apportés par le RGPD?
Alors que certaines organisations mettent du temps à révéler qu’elles ont été victimes d’une brèche de sécurité, comme Yahoo par exemple, qui a mis plusieurs années avant d’avouer le piratage de 3 milliards d’adresses courriel, la réglementation européenne oblige les entreprises à notifier auprès des autorités et des personnes concernées, de tout incident de cybersécurité portant atteinte aux renseignements personnels, dans un délai de 72h maximum.
De plus des sanctions lourdes sont prévues en cas de manquement aux obligations dans le cadre du RGPD. C’est le cas de Google qui a été condamné en France par la CNIL (Commission Nationale de l’Informatique et des Libertés) à payer 50 millions d’euros d’amende, soit plus de 76 millions de dollars, pour notamment son manque de transparence sur le traitement des données.
Le règlement européen prévoit également des pénalités en cas d’attaque si les mesures de cybersécurité en place n’ont pas été jugées suffisantes. Uber, qui s’est vu condamné en 2018 par la CNIL à payer une amende de 400 000 euros, soit plus de 600 000 dollars, aurait pu subir des sanctions beaucoup plus importantes si le RGPD avait été en vigueur au moment des faits.
En effet, le RGPD autorise des sanctions allant jusqu’à 4% du chiffre d’affaires annuel mondial d’une société.
C’est pourquoi, Cyrille Aubergier insiste sur l’importance de démontrer les efforts déployés pour protéger les données : mise en place de processus de surveillance, de gestion d’incident de cybersécurité, de notifications, de sauvegarde, … à la fois parce que c’est nécessaire et également pour réduire les pénalités financières.
Pour rappel, à date les autorités canadiennes vont chercher à comprendre ce qu’il s’est passé, ce qui a été volé et les risques pour l’usager final. La réglementation (Loi sur la Protection des Renseignements Personnels et des Documents Électroniques – LPRPDE) ne prévoit pas encore de sanctions aussi lourdes que le RGPD mais le mouvement est en marche avec le projet de loi déposé par la Ministre de la Justice Sonia Lebel.
Autre nouveauté significative : la responsabilité des entreprises ne se limite pas aux données qui transitent au sein de l’organisation. Le RGPD a en effet accordé une plus grande importance au rôle joué par les fournisseurs en encadrant directement leurs activités. Ainsi le RGPD a obligé les organisations à mettre en place des normes de sécurité et à choisir des sous-traitants qui mettent eux-mêmes des mesures techniques et organisationnelles répondant aux exigences du règlement.
Pour cela les entreprises doivent évaluer leurs fournisseurs et notamment la chaîne de d’approvisionnement pour déterminer leur conformité au regard de RGPD.
La mise en conformité au RGPD : entre illusion et réalité
La mise en oeuvre d’actions concrètes pour se conformer à la réglementation n’est pas une mince affaire.
Cyrille Aubergier explique qu’il est quasiment impossible pour une entreprise d’appliquer à 100% les exigences de RGPD. Pourquoi? Même si RGPD est devenu un standard, voire un modèle pour bon nombre de pays, comme c’est le cas en Russie ou en Californie, les organisations se retrouvent confrontées à des contradictions réglementaires en matière de rétention ou suppression des données par exemple, dès lors que celles-ci sont traitées ou stockées ou bien encore, proviennent de personnes en dehors de l’Union Européenne.
Dans le cas de SitaOnAir, l’entreprise s’est beaucoup appuyée sur son service juridique pour trouver les bons compromis pouvant satisfaire la majorité des pays avec qui elle traite. Mais sa recommandation première reste de se plier aux réglementations les plus exigeantes.
Pour conclure, Cyrille Aubergier souhaite rappeler que même si le texte a considérablement renforcé les obligations des responsables et des fournisseurs, la législation en la matière n’est pas dénuée de sens. À partir du moment où une entreprise collecte, traite et stocke des données, notamment les renseignements à caractère personnel, elle se doit de les protéger. C’est pourquoi, il préconise de ne collecter que les informations dont vous avez vraiment besoin pour mener vos opérations. Et dès qu’une donnée ne vous est plus utile, effacez-la!
Retrouvez son interview complète sur Ausha, Spotify, Apple podcasts, Podcast addict.
Vous avez besoin d’accompagnement pour mettre en place des mesures techniques et organisationnelles dans votre entreprise? Vous souhaitez évaluer vos risques et tester vos stratégies TI? Contactez-nous dès maintenant?
