L’entreprise doit protéger les données personnelles

Dossier : Économie numérique : Les succèsMagazine N°675 Mai 2012
Par Jean-Marc GOETZ

L’Union euro­péenne applique une poli­tique de pro­tec­tion des don­nées des plus rigoureuses

Nous sommes à tout moment ame­nés à four­nir des don­nées per­son­nelles, par­fois confi­den­tielles, que ce soit volon­tai­re­ment ou non. Or, l’actualité pré­sente de plus en plus de cas de socié­tés confron­tées à des pertes de don­nées, ou encore à des trans­ferts d’informations per­son­nelles mal contrô­lés ; par ailleurs, des réseaux sociaux invitent leurs abon­nés à four­nir des don­nées sans néces­sai­re­ment leur don­ner les moyens de les reti­rer ou, au mini­mum, de les suivre. Face à cette situa­tion, quelle est la bonne réponse indi­vi­duelle et col­lec­tive ? Faut-il adop­ter la posi­tion du « lais­ser faire » pour la plus grande satis­fac­tion d’un Big Bro­ther ? Faut-il être sus­pi­cieux à la limite de la para­noïa et ne rien four­nir ? Dans cette chaîne de res­pon­sa­bi­li­tés, qui doit faire quoi, quelles sont les res­pon­sa­bi­li­tés res­pec­tives de l’individu et de l’entreprise ?

REPÈRES
La régle­men­ta­tion pro­té­geant les don­nées per­son­nelles se met en place et se ren­force dans de nom­breux pays. Les auto­ri­tés de contrôle et notam­ment la CNIL (Com­mis­sion natio­nale Infor­ma­tique et Liber­tés) en France se montrent de plus en plus actives et les par­ti­cu­liers font davan­tage valoir leurs droits. Dans ce pay­sage, l’entreprise joue un rôle essentiel.

Une situation contrastée

Le pay­sage inter­na­tio­nal est pour le moins contrasté.

Un arse­nal complexe
La Direc­tive euro­péenne 95/46/CE consti­tue le cadre juri­dique de la pro­tec­tion des don­nées per­son­nelles et limite for­te­ment l’accès à ces don­nées en dehors du péri­mètre de l’Union euro­péenne, en inter­di­sant les trans­ferts de ces don­nées hors de l’Union. Les évo­lu­tions pres­sen­ties de ce texte visent à enca­drer plus stric­te­ment le trai­te­ment de don­nées per­son­nelles : obli­ga­tion de dési­gna­tion d’un cor­res­pon­dant Infor­ma­tique et Liber­tés, alour­dis­se­ment des sanc­tions, etc.

L’Union euro­péenne applique une poli­tique de pro­tec­tion des don­nées consi­dé­rée comme une des plus rigou­reuses, or les entre­prises, notam­ment les mul­ti­na­tio­nales, vivent constam­ment des situa­tions incom­pa­tibles avec ces obli­ga­tions régle­men­taires : com­ment accé­der, à par­tir des États-Unis, à un annuaire élec­tro­nique de per­sonnes d’un groupe d’origine alle­mande dans le res­pect de ces obli­ga­tions ? Aus­si existe-t-il un sys­tème déro­ga­toire admis par les auto­ri­tés de contrôle si un arse­nal juri­dique ad hoc est ins­tau­ré au sein de l’entreprise : les Bin­ding Cor­po­rate Rules pour l’Union euro­péenne, le Safe Har­bor pour les États-Unis. La régle­men­ta­tion inter­na­tio­nale évo­lue éga­le­ment avec des ini­tia­tives qui rap­prochent dif­fé­rentes zones géo­gra­phiques de la posi­tion européenne.

Cloud computing et dématérialisation

Si les don­nées sont sou­mises à la régle­men­ta­tion en vigueur sur le lieu et le pays d’hébergement, le cloud com­pu­ting vient brouiller les cartes en don­nant peu ou pas d’indications sur la loca­li­sa­tion de l’hébergement des don­nées et, qui plus est, sur la nature de l’hébergement : s’agit-il d’un héber­ge­ment per­ma­nent ou pro­vi­soire ? Sommes-nous dans une situa­tion où il n’existe qu’une seule source de pro­duc­tion de la don­née, avec un seul héber­ge­ment ? Quel est le sta­tut des don­nées de sau­ve­garde ? Mais le cloud non maî­tri­sé n’est pas une fata­li­té : les entre­prises peuvent conti­nuer à inter­na­li­ser leurs res­sources d’hébergement de don­nées sen­sibles, quitte à mettre en place un envi­ron­ne­ment de cloud com­pu­ting privé.

Règles inter­na­tio­nales
Les Bin­ding Cor­po­rate Rules (BCR) consti­tuent un code de conduite défi­nis­sant la poli­tique d’une entre­prise en matière de trans­ferts de don­nées. Elles offrent une pro­tec­tion adé­quate aux don­nées trans­fé­rées depuis l’Union euro­péenne vers des pays tiers à l’Union euro­péenne au sein d’une même entre­prise ou d’un même groupe. Le Safe Har­bor est un ensemble de prin­cipes de pro­tec­tion des don­nées per­son­nelles, négo­ciés entre les auto­ri­tés amé­ri­caines et la Com­mis­sion euro­péenne en 2001. Les entre­prises éta­blies aux États- Unis adhèrent à ces prin­cipes auprès du Dépar­te­ment du Com­merce amé­ri­cain. Cette adhé­sion les auto­rise à rece­voir des don­nées en pro­ve­nance de l’Union européenne.

L’entreprise, acteur clé

Nous sommes encore loin d’un accord mon­dial pour la ges­tion et la cir­cu­la­tion des don­nées per­son­nelles ; d’autre part, l’individu ne peut pas éter­nel­le­ment faire de la résis­tance quant à la four­ni­ture de ses don­nées. L’entreprise a donc un rôle majeur à jouer car ses acti­vi­tés impliquent le trai­te­ment de don­nées per­son­nelles de col­la­bo­ra­teurs, de clients, de four­nis­seurs et autres tiers. Son rôle se révèle déter­mi­nant pour dif­fé­rentes rai­sons. Elle col­lecte et gère des don­nées per­son­nelles, elle peut être à même de trans­fé­rer ces don­nées au-delà des fron­tières ; elle doit donc pré­sen­ter toutes les garan­ties de confor­mi­té à la régle­men­ta­tion du pays. Elle doit aus­si maî­tri­ser la chaîne de trai­te­ment des don­nées per­son­nelles : s’assurer de la fina­li­té des don­nées, garan­tir l’usage pré­vu sans détour­ne­ment, gérer la sécu­ri­té des don­nées per­son­nelles avec les règles de confi­den­tia­li­té appro­priées, ain­si que leur durée de conser­va­tion. Enfin, elle doit assu­rer la meilleure trans­pa­rence en infor­mant les per­sonnes, en leur pro­po­sant des droits d’accès, de modi­fi­ca­tion, voire d’opposition sur les infor­ma­tions per­son­nelles communiquées.

Impact large

Opa­ci­té
Si l’entreprise garde la maî­trise de ses don­nées, en revanche l’individu a de moins en moins le choix : une situa­tion de recherche d’emploi l’invite à four­nir sans réserve des don­nées pri­vées ; les e‑services et télé­pro­cé­dures viennent l’encourager à for­mu­ler ses demandes bien four­nies en don­nées per­son­nelles via Inter­net par­fois sans indi­ca­tion sur la loca­li­sa­tion ni le sort de ces informations.

Un pro­gramme de pro­tec­tion des don­nées per­son­nelles a un impact sur un large ensemble de pro­ces­sus de l’entreprise : les res­sources humaines, le juri­dique, mais aus­si les achats, la sûre­té, les sys­tèmes d’informations, etc. Son appli­ca­tion peut prendre diverses formes. D’abord, assu­rer des for­ma­tions, des actions de sen­si­bi­li­sa­tion auprès des col­la­bo­ra­teurs ame­nés à trai­ter régu­liè­re­ment des don­nées per­son­nelles. Ensuite, défi­nir des clauses et des men­tions types concer­nant la pro­tec­tion des don­nées per­son­nelles à inté­grer dans les contrats. Enfin, défi­nir un cadre métho­do­lo­gique pour la concep­tion des pro­ces­sus et appli­ca­tions d’entreprise, avec l’application de règles pour le res­pect de la vie pri­vée dès la phase de concep­tion des pro­ces­sus et appli­ca­tions d’entreprise.

Is Big Brother still watching you1 ?

Certes, ce type de pro­gramme, mis en place par de plus en plus d’entreprises, per­met de don­ner une réponse aux enjeux régle­men­taires de la pro­tec­tion des don­nées per­son­nelles, mais il consti­tue aus­si une oppor­tu­ni­té inté­res­sante pour l’analyse du sys­tème d’information exis­tant et de ses don­nées. Il offre éga­le­ment un cadre métho­do­lo­gique de ges­tion de la tra­ça­bi­li­té, en per­met­tant de répondre au mieux aux ques­tions posées sur le sto­ckage et l’historique des don­nées per­son­nelles. Il per­met enfin une poli­tique de com­mu­ni­ca­tion interne et externe axée sur la trans­pa­rence et la confiance.

L’in­di­vi­du ne peut pas éter­nel­le­ment refu­ser de four­nir ses données

Ain­si, avec ce type de pro­gramme, l’entreprise assure plei­ne­ment son rôle dans cette chaîne de res­pon­sa­bi­li­tés, dans un contexte où les auto­ri­tés de contrôle montent en puis­sance et où les régle­men­ta­tions se durcissent.

Si Big Bro­ther nous regarde, peut-être com­men­ce­ra- t‑il cepen­dant à craindre ces dis­po­si­tifs de sui­vi et de mar­quage des don­nées qui apportent une meilleure traçabilité.

1. « Big Bro­ther vous regarde-t-il toujours ?»

Poster un commentaire