Quelle est l'importance de la Protection des Données dans les entreprises ?

La 4ème révolution industrielle
Nous vivons ce que certains appellent la 4ème révolution industrielle, basée, selon eux, sur 4 piliers ou lois, parmi lesquels se trouvent :

1. La Loi de Moore: La puissance de traitement double tous les 18 mois.
2. La Loi de Butter : La vitesse de communication double tous les 9 mois.
3. La Loi de Kryder : La capacité de stockage double tous les 13 mois, ce qui entraîne également une grande diminution du coût de stockage par unité d'information.
4. La Loi de Kurzweil : L'être humain a une vision linéaire du progrès, tandis que la technologie avance de manière doublement exponentielle. Autrement dit, le moment où un ordinateur atteindra la puissance du cerveau humain est proche, et il est même possible de prédire quand un ensemble d'ordinateurs pourrait surpasser la capacité de tous les cerveaux humains.

Nous vivons dans un environnement de plus en plus axé sur les données, en partie parce que la capture et le stockage d'informations coûtent beaucoup moins cher qu'il y a à peine quelques décennies et parce que nous pouvons stocker une plus grande variété et profondeur d'informations en moins de temps.

Antécédents (Loi sur la Protection des Données à Caractère Personnel)

En Espagne, la première loi qui régulait la protection de l'information était la Loi Organique 5/1992, du 29 octobre, de Régulation du Traitement Automatisé des Données à caractère personnel (L.O.R.T.A.D.). Cependant, en quelques années, son contenu est devenu "obsolète", c'est pourquoi elle a été mise à jour avec la célèbre Loi Organique 15/1999, de Protection des Données à Caractère Personnel, initialement développée dans le Décret Royal 994/1999 (Règlement des Mesures de Sécurité) et, par la suite, en raison non seulement de l'évolution technologique mais aussi des "lacunes opérationnelles" de la précédente, dans le Décret Royal 1720/2007 - Règlement de développement de la Loi Organique 15/1999.

Ce développement a été suivi d'une manière ou d'une autre dans tous les pays industrialisés, de sorte que chacun a légiféré au cours des 30 ou 40 dernières années en générant des lois et des règlements d'application nationale.

Cependant, dans un monde de plus en plus globalisé, avec la croissance des groupes d'entreprises internationaux, de nouveaux besoins apparaissent principalement dus à :

• Groupes d'entreprises présents dans des pays où les niveaux de législation en matière de protection des données sont inégaux ou très déséquilibrés.
• Groupes d'entreprises qui ont positionné dans des géographies avec une législation moins développée des centres opérationnels où sont traitées les données des matrices.
• Données traitées dans diverses géographies, ce qui implique également les transferts d'informations et leurs éventuelles interceptions.

Ainsi ces dernières années, des efforts ont été déployés pour élaborer une législation supranationale ou internationale, principalement depuis les États-Unis et l'Union européenne.

Dans tous les cas, les équipes de travail des deux initiatives ont été en étroite collaboration. Par conséquent, on peut dire que le résultat obtenu dans les deux cas coïncide dans un pourcentage élevé de leur contenu, garantissant ainsi que nos données bénéficient du même niveau de protection juridique tant aux États-Unis qu'en Europe.

En outre, ces nouvelles législations prévoient non seulement la réglementation pour le transfert international de données, mais elles légifèrent également sur les mesures et traitements qui doivent être assurés afin que les données propres à une géographie puissent ensuite être traitées dans une autre.

C'est-à-dire, une donnée d'origine française est garantie d'un traitement homogène dans toute l'Union européenne. Mais en plus, si cette donnée était traitée, par exemple au Maroc, l'entité de traitement devra assurer dans ce territoire tiers les mêmes mesures de protection et de sécurité que si la donnée se trouvait dans son pays d'origine.

En Europe, la législation résultante est le RGPD (Règlement Général sur la Protection des Données; Règlement UE 2016-679) ou GDPR en anglais. Avec notre rapport GDPR à l'espagnole, tu comprendras clairement ce que c'est. Si tu veux plus d'informations sur cette législation, tu as le trailhead European Union Privacy Law Basics, que tu peux également compléter avec le Learn Privacy and Data Protection Law.

Contributions historiques à la protection des données

Comme nous l'avons mentionné précédemment, la législation actuelle n'est qu'une évolution de celle élaborée au cours des dernières décennies. Nous nous concentrerons néanmoins, pour mener quelques réflexions, sur certaines définitions, principes et droits déjà énoncés en 1999.

Définitions

Depuis la loi 15/1999 sur la protection des données à caractère personnel, les définitions "de base" suivantes sont proposées :

• Donnée à Caractère Personnel : Toute information concernant des personnes physiques identifiées ou identifiables.
• Fichier : Tout ensemble organisé de données à caractère personnel, quelle que soit la forme ou la modalité de création, de stockage, d'organisation et d'accès.
• Traitement des données : Opérations et procédures techniques automatisées ou non, permettant la collecte, l'enregistrement, la conservation, l'élaboration, la modification, le blocage et l'annulation, ainsi que les cessions de données résultant de communications, consultations, interconnexions et transferts.
• Procédure de dissociation : Tout traitement de données personnelles de manière à ce que les informations obtenues ne puissent pas être associées à une personne identifiée ou identifiable.
• Consentement de la personne concernée : Toute manifestation de volonté, libre, sans équivoque, spécifique et informée, par laquelle la personne concernée consent au traitement des données personnelles la concernant.

Ces définitions, avec quelques nuances, restent valables à ce jour et, en fait, elles sont reprises, avec plus de précision et d'enrichissement, dans le RGPD.

Principes et Droits

Depuis 1999 également, un ensemble de principes relatifs aux informations personnelles a été établi, mettant en avant les principes de qualité des données, qui se résument par les axiomes suivants :

• Les données seront exactes et mises à jour de manière à refléter fidèlement la situation de la personne concernée.
• Les données personnelles enregistrées inexactes, en tout ou en partie, ou incomplètes, seront annulées et remplacées d'office par les données rectifiées ou complétées correspondantes.
• Les données à caractère personnel seront annulées lorsqu'elles ne seront plus nécessaires ou pertinentes pour la finalité pour laquelle elles auront été collectées ou enregistrées.

Dans la section des droits, et pour les réflexions que nous proposons plus loin, se distingue de manière indubitable le Droit à l'information lors de la collecte de données par lequel, les intéressés doivent être préalablement informés :

• De l'existence d'un fichier ou d'un traitement de données à caractère personnel, finalité et destinataires.
• Du caractère obligatoire ou facultatif de votre réponse.
• Des conséquences de l'obtention des données ou du refus de les fournir.
• De la possibilité d'exercer les droits d'accès, de rectification, d'annulation et d'opposition
• De l'identité et de l'adresse du responsable du traitement ou, le cas échéant, de son représentant

Réflexions

Jusqu'à présent, nous avons parlé de législation, de concepts, de principes, de droits... Il reste à parler de leur mise en pratique; car la législation fournit un cadre d'action à partir duquel opérationnaliser et mettre en pratique, au quotidien, chacun dans son rôle, ce qui lui est applicable.

Comme nous l'avons dit au début, nous vivons dans un monde où nous voulons enregistrer, et de fait nous enregistrons, tout ce qui est possible. Données personnelles, données de transactions, données de notre activité quotidienne grâce à l'IoT… mais… les systèmes (et leurs responsables) appliquent-ils correctement la législation ?

Avons-nous des procédures pour vérifier que l'information est correcte, exacte et mise à jour ? Supprimons-nous les informations qui ne sont plus nécessaires pour l'objectif pour lequel elles ont été collectées (ou lorsque cet objectif disparaît) ? Supprimons-nous les informations personnelles des candidats à un poste de travail lorsque celui-ci est pourvu, si ces informations ont été collectées pour pourvoir ce poste spécifique ?

Nous nous assurons que nos employés et/ou collaborateurs ou même nous-mêmes ne partageons pas de mots de passe ? Lorsque nous provoquons des changements de mots de passe ou que nous sommes obligés de les changer... allons-nous au-delà du simple incrément d'une unité du dernier chiffre de notre mot de passe ? Sommes-nous conscients que ces habitudes peuvent favoriser notre usurpation dans les systèmes ?

RGPD

Comme nous l'avons mentionné précédemment, le RGPD est le cadre législatif européen commun en matière de protection des données à caractère personnel. Comme vous pourrez le voir dans les Principes de Traitement suivants, les piliers sur lesquels il est construit sont ceux déjà mentionnés, développés avec plus de rigueur et de précision :

• Licéité : Loyauté et transparence avec la personne concernée.
• Limitation des finalités : Collectées à des fins déterminées, explicites et légitimes et non traitées ultérieurement de manière incompatible avec ces finalités.
• Minimisation des données : Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
• Exactitude : Mis à jour sans délai par rapport aux fins pour lesquelles ils sont traités.
• Limitation de la durée de conservation : Conservés de manière à permettre l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux fins pour lesquelles ils sont traités.
• Intégrité et confidentialité : Mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données contre les traitements non autorisés ou illicites et leur perte, destruction ou dommage accidentels.
• Responsabilité proactive : Être responsable et capable de démontrer la conformité à tous les principes de traitement.

Violations fréquentes de la sécurité de l'information

Comme grande nouveauté, le RGPD introduit l'obligation, pour toute entité physique ou juridique qui subit une violation de données, de notifier celle-ci non seulement à l'autorité de contrôle mais aussi à chacun des intéressés concernés dans un délai maximum de 72 heures.

Les violations les plus fréquentes sont résumées dans la liste suivante :

• Accès à des données non autorisées :
• Responsable du traitement sans le contrat correspondant
• Accès indiscriminé aux imprimantes, photocopieuses, etc.
• Accès à des informations confidentielles non autorisées : fiches de paie, CV, etc.
• Accès non autorisé aux systèmes informatiques
• Communication de données non autorisée :
• Transmission illicite de données à un ou plusieurs destinataires.
• Violation du secret professionnel.
• Publication d'images sans l'autorisation de la personne concernée.
• Envoi de courriels en masse sans masquer les destinataires (copie cachée).
• Altération des données :
• Modification malveillante des données.
• Falsification de données.
• Récupération inefficace des copies de sauvegarde.
• Perte d'informations :
• Perte ou oubli de supports.
• Vol ou soustraction d'informations.
• Désinstallation des applications.
• Pour des raisons de transport.
• Destruction de données :
• Ne pas utiliser de destructeurs de papier ou de supports numériques.
• Incendie, inondation ou autres causes indépendantes de l'entreprise.

Conclusion

Et c'est ici que s'arrête le cadre législatif et d'application en matière de protection des données à caractère personnel. Comme nous l'avons souligné, le cadre doit être opérationnalisé dans les systèmes, dans notre quotidien et dans chaque rôle que nous jouons.

En tant que citoyens utilisateurs intensifs de cartes de fidélité ou de points, nous devons être conscients que chaque fois que nous passons la carte, nous enregistrons une opération avec des détails sur les montants, les moments, etc.

Et lorsque nous opérons avec des systèmes d'information, appliquons-nous les mécanismes pour supprimer les données dont nous ne pouvons garantir qu'elles sont correctes et/ou à jour ? Si nous avons une base de données de clients, supprimons-nous les données de ceux qui cessent de l'être ? Si ce n'est pas le cas, avons-nous des arguments pour, en cas d'inspection, pouvoir le justifier ?

Et ainsi une multitude de situations dans lesquelles, comme recommandation finale, en particulier pour ceux d'entre nous qui conçoivent et exploitent des systèmes de stockage d'informations, nous devons prendre notre temps pour décider comment opérationnaliser et respecter la législation en ayant, dans chaque cas, le soutien juridique pour notre façon d'agir.