Entreprises

Une analyse de David Blampain, conseiller en Sécurité de l’Information et Gestion des Risques.

« Voilà, on y est, le 25 mai 2018 c’est demain », voire même aujourd’hui, voire même hier en fonction de la lecture de l’article. L’épée de Damoclès plane au-dessus de chaque entité et personnes traitant ou sous-traitant des données à caractère personnelle (DACP), comme votre nom, prénom, adresse email,… On monte de niveau de criticité si leurs orfèvreries contiennent des données à caractère personnelles dites sensibles (DACPS), comme l’orientation politique, philosophique, religieuse,… ! Sont épargnés les carnets privés téléphoniques de maman ou papy.

Mais qui tient l’épée suspendue au-dessus du responsable de traitement des données (RT) et de son acolyte nommé Délégué à la Protection des données ?

- Qui dispose de la matrice globale de vie des données et de leur parcours dans le labyrinthe physique et technologique qui nous entoure ?

- Qui s’est risqué à faire son bilan des menaces autres que les amendes de Damoclès qui ébranlent tous les esprits financiers ?

- Qui est sûr que ses fournisseurs suivent un chemin de bienveillance à l’égard des données qu’ils manipulent pour le compte de leurs clients ?

- Qui a réalisé une malle au trésor contenant toutes les cartes et toute la documentation sur la manière dont ses DACP(S) étaient accessibles et protégées ?

Et finalement, qui comprend que dans RGPD « Règlement Général de la Protection des Données… Il y a tout simplement : « Protection des données » à la fin qui engendre de facto : les notions complexes de sécurité de l’information.

Certes, le règlement général induit le fait de suivre une loi qui est directement transposable et applicable dans la loi nationale d’un des 28 pays membres de l’Union Européenne avec des aménagements en fonction du pays. On peut rajouter une importance en termes de responsabilité en fonction du lieu de résidence des entreprises, de la location des données et de la manière d’on elles sont stockées et managées. On rajoute la fameuse co-responsabilité qui met un terme à : « c’est pas moi, c’est lui » en cas de sinistre ou de vol de données, tout le monde devient responsable et tout le monde (sous-traitant compris) doit montrer « patte blanche ». Il faut disposer d’une documentation « Ad hoc » et à jour concernant le traitement et la sécurité des données à caractères personnelles. Il n’en demeure pas moins un épais brouillard entre 7 mondes :

Le premier monde est celui de Damoclès : Cette bonne vielle commission de la vie privée botoxée pour l’occasion en « Autorité de Protections Des données » par une loi votée le 3 décembre 2017 et publiée au moniteur le 10 janvier 2018 qui va comme son nom l’indique avoir autorité et sanctionner en cas de manquement. A l’heure actuelle plus d’une dizaine de personnes y seront rattachés pour veiller à ce que les organismes publics et les entreprises respectent le règlement avec des ordres de priorités comme par exemple le premier : informer et conseiller les individus… sur la thématique. Peut-être seront-t-ils un jour rattachés à l’AFSCA qui va ouvrir un département spécial : « Contrôle de qualité sécuritaires des données » afin de permettre d’engranger plus d’argent dans les caisses de l’état ? À la vue du niveau de maturité des entreprises, des TPE/PME, des administrations et mêmes des communes en passant par les Asbl, c’est un bon filon (Humour). Blague à part, depuis quelque mois, la Belgique est en émois !

C’est le branlebas de combat et dans le saint des saints de la commission de la vie privée : on dit que l’on n’est pas prêt et que les services publics eux-mêmes ne respecteront pas toutes les nouvelles dispositions tout de suite ! Pas de panique, on est en Belgique, Pays de Magritte et du surréalisme : la loi n’est pas prête et tout ce qui tourne autour également (aspect sectoriel, droit pénal, organe de contrôle, etc.). Cela dit, nous aurions dû être prévenus avec fracas par nos institutions aux vues des enjeux bien avant le 24 mai 2016, date de rentrée en vigueur de ce règlement pour avoir réellement deux ans pour nous préparer à ce 25 mai 2018. A qui la faute ? A Damoclès ! On rappellera juste que la protection de ses données, c’est un droit fondamental : L'article 8, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne… Mais cela c’est une autre histoire.

Le deuxième monde est celui des entreprises fraîchement informées par les call center en tout genre de type « Proximou » disposant d’une solution qui me rappelle la vente d’abonnement téléphonique (triste monde). Une suite interminable de conférences en tout genre sur la question, où le défilé de consultants, juristes, avocats, assureurs, cowboys reconvertis et fraîchement informés de pouvoir faire des affaires sur la thématique augmentent leur chiffre d’affaire significativement sans réellement aider les entreprises (Business is Business). Pas de panique, dirais-je au chef d’entreprise : si vous gérez bien la sécurité de l’information au sein de votre « boîte », vous respectez déjà 80 à 90% du RGPD. La mise en place d’un système de management de la sécurité de l’information (SMSI), règle le problème Ssi il est réellement en action et constant.

Attention, ce n’est pas une sinécure ! C’est une stratégie de petites victoires avec un management par objectifs et de contrôles. On peut assimiler l’idée à une gestion comptable de ses actifs avec des rubriques et structurée autour d’un plan que l’on applique vraiment : Plan de Sécurité des Systèmes d’information (PSSI) similaire seulement dans l’idée au concept du Plan Comptable Minimum Normalisé (PCMN). Parce qu’entre des actifs comptables et des actifs informationnels, la frontière est mince puisque si vous perdez vos actifs, vous perdez éventuellement votre business. Certes, en tant qu’entreprise vous devez avoir le consentement licite de vos prospects/clients pour les inonder de vos newsletters ou produits. Plus encore vous devez disposer du consentement des parents si les enfants ont moins de 13 ou 16 ans en fonction du pays ! Pour vous rassurer du niveau de maturité belge, seuls 5,5% des entreprises répondantes à l’enquête de Datanews sur le RGPD se disent prêtes et seulement 15% des PME se disent à un stade avancé. Si certains auditeurs me lisent, je sens déjà leur rictus, on sait bien dans le secteur de la sécurité qu’il y a un « GAP Analysis » entre ce que les gens nous racontent et les contrôles que l’on met en place lors de nos audits. Il y a donc des réserves à émettre en termes d’état des lieux lorsque je lis ces sondages sans échantillonnage statistique et intervalle de confiance pour les puristes. Ils ont le mérite d’exister, mais restons prudents.

Enfin, toutes les entreprises ne doivent pas avoir UN DPO (Data Protection Officer) qui est le garant du traitement (pas le responsable) des données, de la gouvernance de celles-ci. Il a surtout pour objectif de sensibiliser et de former votre personnel aux différentes menaces comme celle du Social Engineering. Cette technique vise à utiliser la faille humaine pour pénétrer les systèmes d’information par la manipulation et la récolte de données pour pirater ses victimes. Le rôle du DPO est assez interprétable sauf dans les cas où l’entreprise traite des données en masse ou si l’entreprise traite des DACPS. Dans ce cas c’est obligatoire, et on pense tout de suite à des données médicales ou syndicales par exemple. L’idéal est de suivre le plan d’intégration que propose la CNIL française en 6 étapes et de passer en revue les lignes directrices proposé par l’excellent Groupe 29. Vous pouvez aussi vous procurer sur le site de la Vie Privée Belge, l’excellent fichier de traitement des données.

Le troisième monde : les institutions publiques sont un peu dans le même état que les entreprises avec des différences significatives : elles doivent déjà avoir un Conseiller en Sécurité de l’Information (CSI) via l’arrêté royal du 17 mars 2013 et elles doivent désormais avoir en plus un Délégué à la Protection des Données. Elles peuvent éventuellement grâce à la recommandation du 04 mai 2017 donner la possibilité au CSI de cumuler la fonction, dans le pays du cumul c’est normal ! Les administrations publiques gérant les données des citoyens doivent directement réaliser le fameux Data Privacy Impact Assessment (DPIA) qui n’est autre qu’une analyse de risques axées sur les données. Ce n’est pas nouveau pour ceux qui connaissent les analyses de risques et c’est positif en termes de réflexion. Il est même conseillé de réaliser une analyse de risques globale (sécurité et données) si vous ne l’avez jamais fait pour la simple raison que les risques sont devenus innombrables autant physiquement que virtuellement et que tout est lié avec les nouvelles technologies, vos données peuvent être partout.

Parce que, ces administrations ou institutions publiques, voire même certaines ASBL copieusement arrosées par l’état ont un conseiller en sécurité de l’information depuis 2013, elles ne devraient pas trop s’alarmer et tout devrait être en place depuis longtemps. Logiquement le conseiller en sécurité de l’information qui ne doit pas être confondu avec le SIPP, à notamment l’obligation de sécuriser les données des citoyens, certes pas avec les conditions du RGPD à la base, ce qui complique les choses si vous avez des applications web à profusion dans votre périmètre. Toutefois, c’est loin d’être le cas à la vue de nos expériences personnelles d’auditeurs en sécurité de l’information et des collègues conseillers en sécurité fonctionnaires qui s’arrachent les cheveux pour amener le Security by Design au sein des projets depuis des années, rajoutez le Privacy by Design et vous aurez compris la difficulté du métier. Vis ma vie de RSSI.

Le quatrième monde : les avocats et des juristes, la belle aubaine ! Ils ont directement été sur la balle captant une grande partie du marché pour se rendre compte que le « Blabla » juridique c’est bien et que les actions techniques de sécurité c’est mieux. IIs sont toutefois nécessaires parce que les actes législatifs du règlement de 88 pages comportant 173 raisons, 99 articles sont interprétables comme des évangiles apocryphes que l’on lie au contexte administratif ou business de l’organisation. Il faut se rendre compte que cela a été écrit en grande partie par des juristes de l’Union Européenne qui dans leur grande bonté ont laissé des portes ouvertes à la nuance. La part du travail d’un juriste dans un projet est généralement de maximum 10%, si certains endossent en plus le rôle de la Gouvernance : Il y a danger car ils ne sont pas formés à la sécurité de l’information et encore moins au projet de développement d’application (Il y a toujours des exceptions, mais elles sont rares). Cependant ils forment une très belle équipe avec des experts en sécurité et manager de projet dans les domaines de la protection des données. Ils seront d’une aide importante pour la réflexion et la légitimité de l’utilisation des données, ils réviseront vos conditions générales, vos rubriques vie privée, vos contrats d’employés, vos pages web, votre charte éthique et surtout vous aiderons à remplir le fameux fichier de registre de traitement des données à envoyer par la suite à la commission de la vie privée. Logiquement vous l’avez déjà fait, puisque votre avocat vous a sûrement parlé de la Loi vie privée de 1992.

Le cinquième monde : les consultants en tout genre qui ont fleuri dès ce printemps 2018 tel du muguet. Première chose à analyser : On t’ils une expérience en sécurité de l’information de minimum 3-5 ans ? Attention, il faut différencier la sécurité informatique de la sécurité de l’information. La première étant lié à la technique qui sera nécessaire après et avant les audits ou le DPIA. La deuxième est la gestion globale qui vous permet d’avoir une vue générale de votre sécurité physique, organisationnelle et informatique en incluant de facto la confidentialité, l’Intégrité, la disponibilité, la traçabilité et « l’auditabilité » de données. Le RGPD étant est assez nouveau, entourez-vous de personnes ayant une expérience réelle en sécurité et certifiées au maximum. Plusieurs organismes sont assez probants dans le secteur : www.iapp.org avec les certifications CIPM, CIPP, CIPT, www.pecb.com avec les certifications Data Protection Officer, ISO 27001, 27002, ISO 27005, ISO 27032, …), www.isaca.org avec CISM, CISA, CISSP délivrant ces certifications en fonction de l’expérience professionnelle. Il vous faut leur demander le niveau de certification qui est corrélé avec l’expérience et la preuve par document. En effet, comme je vous l’ai rappelé le RGPD c’est avant tout la protection des données ! Des conseillers ou consultants en sécurité et de l’information sont probants, surtout s’ils sont couplés à un homme de loi, votre Juriste ou avocat peut faire l’affaire. Un juriste ou avocat spécialiste est recommandé si vous traitez des DACPS, son rôle sera de se renseigner pour le compte de l’expert en sécurité et le responsable du traitement. Ces experts sécurité feront 30 à 60% du projet et créeront la documentation adéquate qui est une des conditions « sine qua non » de respect appelée « compliance RGPD ». Une chose importante, contrairement au Bug de l’an 2000 qui est uniquement lié à un bug informatique dans certains cas ayant affolé la planète et finalement assez identique à la frénésie RGPD actuelle. Une fois l’échéance faite, il faut continuer à monitorer votre projet qualitativement chaque année avec des experts et documenter, c’est aussi un des grands principes ! Bref, la roue de Deming va tourner.

Le sixième monde : les informaticiens et développeurs, malheurs à eux ! Ils ont déjà tellement de travail qu’ils vont devoir subir en plus des audits et des analyses concluant généralement par une série de mitigations sécuritaires techniques à mettre en place. Généralement, ils vous diront sûrs d’eux que tout va bien. Mon conseil en PME : Il y a 38 métiers en informatique, il est donc impossible de tout savoir et de tout maîtriser en informatique et encore moins en sécurité de l’information. Petit conseil, évitez le mot audit et privilégiez le mot « analyse de risques » et réalisez un audit « déguisé » ayant comme but de les aider ou de découvrir « les morts dans vos placards ». Vérifiez ou intégrez directement avec eux et les managers de projets liés aux données : le fameux « Privacy by Design » qui induit également le Security by Design : dans vos projets et documentation pour prouver que vous avez pensé à la sécurité des données. Laisse-les en paix en termes de management de projet et de responsabilité RGPD/GDPR, ils ont déjà assez de chose à gérer. 5 choses fondamentales à surveiller : l’infrastructure IT, le réseau informatique, les entrées et sorties internet, les applications, les données papiers et/ou virtuelles qui sont l’ADN de votre entreprise ou institution. En fonction du projet on estime que 40% du travail devra être réalisé par eux en vous rappelant que ce sont avant tout des gestionnaires IT. Pas des experts en sécurité, ayez donc comme philosophie avec eux : les écrits restent et les paroles s’envolent.

Le septième monde : les clients, les citoyens, les enfants vous et nous.

Nous sommes tous concernés dès que nous donnons et confions nos données, qu’elles soient papiers ou numériques. Les organisations doivent nous demander explicitement notre permission pour les manipuler et encore plus si elle utilise le profiling, elles veillent à indiquer dans leurs conditions avec qui elles travaillent.

Nous avons la possibilité de demander la « portabilité » de nos données dans un format simple et lisible, c’est à dire pouvoir les exporter dans un format standard connu. En fonction des secteurs il y a toujours une limitation de la conservation qui suit la finalité. Exemple : pour les comptables on est entre 7 à 10 ans (loi anti-blanchiment), pour les médecins secteur de la santé on passe à 20 ans, pour les banques à la fermeture d’un compte, c’est 10 ans et pour les administrations c’est en fonction de leur besoin et de la loi. Ceux qui traitent nos données devront mettre également en place une vraie destruction de celles-ci avec la preuve en cas d’audit que les données ont été correctement détruites. Une procédure du cycle de vie des données est donc une condition de compliance et elles devront s’y conformer.

La bonne nouvelle également concerne les textes juridiques liés aux petites cases à cocher sur les sites web seront au préalablement décochées et le texte devra être « loyal » et facilement compréhensible ! Les organisations ne pourront plus vous demander de remplir des formulaires à rallonge sauf si c’est justifié. Qui plus est ces formulaires devront être sécurisés lors de l’envoi des données. Nous avons d’autre droits également comme : l’accès à nos données, la rectification et l’opposition de celle-ci et le fameux « droit à l’oubli » en fonction du contexte légal. Nous pouvons même contacter le responsable du traitement et lui poser des questions sur ce qu’ils font avec nos données et qui les consulte. Pour information, on peut déjà la faire avec le registre national, c’est un droit de pouvoir savoir qui a consulté votre fiche sur 5 ans en arrière.

Conclusions

Hasard du calendrier l’affaire de Facebook et de la société Cambridge Analytica a fait grand bruit récemment. Pour donner suite à cette fuite de données des citoyens, la société incriminée à fait tout simplement faillite manque de clients et ayant explosé ses frais d’avocat. Un exemple qui devrait faire réfléchir toutes les sociétés et organisations qui traitent des données en masse. Imaginez l’épée de Damoclès qui peut en fonction de l’article 5 réclamer la bagatelle de 20.000.000 euros voire 4% du chiffre d’affaires mondial à ces sociétés qui ne respectent pas la protection des données des citoyens européens. Même si les amendes peuvent être moindres, on peut passer à 2% ou 10.000.000 euros en fonction des articles non respectés. Certes un processus en escalade est prévu, mais dans ce cas précis pour les finances de l’Europe et de ses citoyens, nous aurait plu que l’affaire arrive après le 25 mai. Hasard du calendrier, vous avez dit hasard.

Tout cela pour vous écrire que ce règlement est une bonne chose finalement, parce qu’il nous protège des dérives potentielles de l’utilisation de nos données par des firmes peu scrupuleuses. Même si fondamentalement, le trafic de données existant déjà, il pourrait simplement se développer encore plus. En espérant que l’organe de protection des données dispose de moyens et surtout de gens compétents. Si on prend le cas similaire des RCCU et FCCU de la Police, elles ont les moyens, elles ont le matériel mais manquent clairement de personnel qualifié !

Autre point positif, le remue-ménage a eu comme effet, une très grande sensibilisation à la sécurité de l’information, des centaines de conférences, d’articles, d’interviews et de réflexions sur le sujet. Des projets sont en route avec empressement un peu partout et il s’agit finalement de protéger les données avec résilience de tout une série de menaces dans le respect des droits des citoyens, plus que d’appliquer des textes de loi à la lettre. Si les gens ont compris cela alors nous avons gagné vers une meilleure gouvernance et plus de sécurité. Mais pour combien de temps ? On peut rajouter également un autre effet de bord : la mise en route de projet qui rassemble des équipes multidisciplinaires ayant un objectif commun, garantir la confidentialité, l’intégrité et la disponibilité des données des Citoyens Européens sur la planète. Plaudite, cives !