Le nouveau règlement européen 2016/679 sur la protection des données personnelles vient d’être adopté. Sa mise en application directe et de manière harmonisée dans l’ensemble des Etats membres sera obligatoire dès mai 2018 et remplacera la Directive 95/46/CE. Voici les atouts des normes dans la mise en application de ce nouveau règlement
Parmi les principales évolutions de ce nouveau réglement, la responsabilisation des organisations à travers l’exigence d’« accountability » impose de se mettre en conformité et de pouvoir le démontrer. L’obligation de mettre en œuvre la protection des données personnelles par défaut ou dès la conception, selon les principes de « privacy by default » ou « privacy by design », doit se traduire par des solutions de protection adaptées selon chaque contexte. Les normes joueront un rôle incontournable dans l’objectif de renforcement de la sécurité, couplé à des sanctions considérablement alourdies en cas de non-respect..
Le règlement 2016/679
Le nouveau règlement impose aux organisations d’adopter de nouveaux processus et des mesures contrôlables pour assurer le respect des droits des personnes et la protection des données personnelles. Des preuves de conformité doivent désormais être apportées pour tous les traitements de données personnelles. Les mesures à prendre sont techniques et organisationnelles et ce dès la conception des offres de produits ou de services.
La garantie des droits fondamentaux (consentement, information, accès, rectification,…) des personnes dont les données sont traitées est l’objectif numéro un. Les mesures adaptées nécessitent d’être mises en œuvre par les responsables de traitement et les sous-traitants afin d’empêcher toute atteinte aux dits droits. La sécurité de l’information et la protection de la vie privée deviennent de plus en plus imbriquées. L’élaboration de ces processus de mise en conformité et des mesures de protection impliquent des actions concrètes qui touchent l’ensemble des acteurs de la chaîne de traitement. La transversalité de la démarche est nécessaire. Pour atteindre cet objectif, les juristes et les ingénieurs doivent travailler ensemble.
Les différentes compétences qui interviennent sur les traitements s’appuient sur des codes de conduite harmonisés. Or, il n’est jamais facile pour une organisation, quelle que soit sa taille, de déterminer les modalités pour être en conformité et au niveau de l’état de l’art. C’est précisément l’objet des normes que de guider les organisations et de fixer les critères afin de mieux protéger les données personnelles et les droits des personnes concernées. Souvent réservées aux techniciens informatiques et aux ingénieurs, les normes deviennent désormais des référentiels incontournables pour tous les métiers et ce afin d’appréhender au mieux des environnements informatiques de plus en plus complexes (informatique en nuage ou cloud computing, internet des objets ou internet of things, données massives ou big data, etc.).
En vue de favoriser la transparence, le règlement incite les autorités publiques à participer à l’élaboration de codes de conduite, de mécanismes de certification, ainsi que de labels et de marques en matière de protection des données. Et ce pour permettre aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les produits et services en question. L’objectif est aussi de redonner confiance aux utilisateurs de plus en plus inquiets des traitements de leurs données faits à leur insu alors que la collecte et le partage de données personnelles a augmenté de manière importante.
Comme le souligne le règlement, en introduction, « il importe de susciter la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché intérieur. Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant. La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les opérateurs économiques et les autorités publiques ».
Les initiatives pour créer des bonnes pratiques normalisées existent déjà. La CNIL participe activement aux travaux de l’ISO tout comme le Groupe de l’Article 29. La préparation des outils normalisés pour la mise en application du nouveau règlement a donc déjà démarré. C’est dans ce contexte que le Groupe Orange s’est impliqué concrètement depuis plusieurs années dans la construction des normes.
Les normes ISO
L’organisation internationale de normalisation (ISO) joue un rôle déterminant pour créer des normes de protection des données personnelles. En tant que plus grand producteur de normes internationales, l’ISO possède avec la Commission électrotechnique internationale (IEC) un comité technique commun pour la sécurité des technologies de l'information dénommé JTC 1 / SC 27. Le groupe de travail WG 5 du SC 27 est dédié à la protection des données personnelles. L’un des objectifs du WG 5 est de faire en sorte que les normes puissent efficacement contribuer à la mise en œuvre de solutions.
Les normes produites par l’ISO ont plusieurs objectifs. À la base, un cadre définit la terminologie et les principes en adéquation avec le cadre légal et réglementaire européen. Des méthodologies spécifient la mise en place d’analyse d’impact sur la vie privée. Des catalogues de points de contrôle classifient les bonnes pratiques de façon générale ou sectorielle. Il existe également des mesures techniques de protection à mettre en œuvre. Certaines normes sont déjà publiées, d’autres sont actuellement en cours d’élaboration. Nous citerons ici quelques exemples significatifs. Un guide de l’AFNOR en publication prochaine permettra d’approfondir cette description.
La norme ISO/IEC 29100 (Privacy Framework) définit les principes et la terminologie relatifs à la protection de la vie privée. Elle constitue le socle des autres normes du WG 5 en tant que cadre sur le sujet.
L’ISO/IEC 29134 (Privacy impact assessment — Guidelines) a pour objectif de fournir un cadre pour mener des analyses d’impact sur la vie privée. Cette norme doit aider à l’application du règlement 2016/679 qui fixe pour 2018 qu’«une analyse d'impact relative à la protection des données devrait être effectuée par le responsable du traitement, préalablement au traitement, en vue d'évaluer la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de la portée, du contexte et des finalités du traitement et des sources du risque. Cette analyse d'impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement ».
En matière de bonnes pratiques, une norme dédiée au Cloud Computing existe déjà. C’est la norme ISO/IEC 27018 (Code of practice for protection of personally identifiable information (PII) in public clouds), publiée en 2014. Elle concerne les sous-traitants chargés des traitements de données personnelles pour le compte d’un responsable de traitements.
Les mesures techniques normalisées au SC 27 reposent, elles, essentiellement sur la cryptographie dont le rôle est central dans la mise en place de solutions respectueuses de la vie privée. Ainsi, des primitives cryptographiques ont été créées et sont regroupées dans ce que l’on désigne couramment aujourd’hui sous l’appellation anglaise de Privacy Enhancing Technologies (PETs). On peut citer les signatures de groupe, objet de la norme ISO/IEC 29191 publiée en 2012 par le WG 5, ou les signatures aveugles dont les spécifications sont en cours de normalisation (ISO/IEC 18370).
Aussi, le projet de norme ISO/IEC 20889 (Privacy enhancing data de-identification techniques) fournit une description des techniques d’anonymisation et de pseudonymisation encouragées par le nouveau règlement.
Conclusion
Les normes relatives à la protection de la vie privée apportent des outils de co-régulation très utiles pour répondre aux exigences de responsabilisation et de renforcement de la sécurité dès la conception imposées par le nouveau cadre légal et réglementaire européen. Elles permettent de renforcer les garanties de protection comme dans le domaine du Cloud Computing avec la norme 27018.
A l’avenir, la priorité des autorités de contrôle européennes sera d’établir une norme d’exigences quant à la réalisation des certifications de systèmes de management intégrant la protection de la vie privée. Face aux enjeux du développement des pratiques numériques basées sur la confiance, les acteurs (privés ou publics, juristes ou ingénieurs, responsables de la sécurité ou fournisseurs de services, autorités de contrôle…) sont de plus en plus nombreux à participer aux travaux. Orange en fait partie de longue date en tant qu’opérateur de référence engagé à protéger les données personnelles. Avec l’entrée en vigueur en 2018 du nouveau règlement européen, de nouvelles pratiques de mise en conformité se développent de façon transversale entre droits des utilisateurs et sécurité des systèmes d’informations grâce aux normes présentes et à venir.
Stéphane, en collaboration avec Jamil Chawki
Expert Sécurité chez Orange Labs, passionné par le domaine « Informatique et Libertés », j’interviens sur les travaux de normalisation au niveau international et en particulier au sein de l’ISO/CEI JTC1/SC27.
Depuis 10 ans, mes activités dans le Département Sécurité portent sur la recherche et l’anticipation sur les technologies et les bonnes pratiques de respect de la vie privée. Mes travaux contribuent à renforcer l’expertise technique sur la protection des données à caractère personnel, à travers les analyses des risques, la sensibilisation et la prospective.