La protection des données personnelles : une cible pour les entreprises

Il s’agit du même thème que celui abordé très  récemment dans le cadre du Cloud, mais cette fois-ci lors d’une conférence organisée par des ingénieurs de l’organisation et des projets, l’occasion de souligner d’autres aspects de cette question et d’en confirmer d’autres.

Quelques rappels utiles

Se souvient-on que c’est un fichier créé à l’initiative de l’État, le fichier Safari qui entendait organiser en 1974 « une chasse aux Français », qui avait donné lieu à la loi Informatique et libertés du 6 janvier 1978 ? En 2009, le répertoire national commun de la sécurité sociale (RNCPS) est passé « inaperçu », tout comme, ajouterai-je, une proposition de loi sur la protection de l’identité qui entend ficher 60 millions de Français, examinée en ce moment même par le Parlement dans une indifférence totale, ou presque.

Il a été rappelé aussi que la loi Informatique et libertés est organisée autour de cinq principes que sont la finalité (un usage déterminé et légitime), la proportionnalité (des informations pertinentes et nécessaires), la durée de conservation (fixée en fonction de la finalité du fichier), la sécurité et la confidentialité des données, ainsi que le respect des droits des personnes qui leur reconnaît un droit d’information, d’accès, de rectification et, pour des motifs légitimes, un droit d’opposition.

Tout aussi opportun fut de souligner que la loi 2004 (pdf) qui a transposé une directive européenne sur la protection des données personnelles de 1995, allégeait les obligations de l’État, auparavant toujours soumis au principe de la déclaration préalable et que, depuis 2004, la CNIL dispose d’un pouvoir de sanction administrative et financière.

« La sécurité informatique, çà n’existe pas ! »

C’est ce qui a été démontré, exemples éclairants à l’appui : toutes les données en ligne restent accessibles, quelles que soient les promesses qui sont faites. Les fuites de données personnelles sont donc légions, celles qui sont médiatisées …. et d’autres, bien plus nombreuses, dont on parle moins.  Et dire qu’il y a aussi des intrusions silencieuses qui permettent à des hackers de s’installer pour épier ce qui se passe à tout moment dans vos ordinateurs !

Par ailleurs, les sanctions pénales de la CNIL se comptent sur les doigts des deux mains, et les entreprises rechignent à s’encombrer de règles contraignantes, mais aussi coûteuses bien que, paradoxalement – la « logique assurantielle » étant entrée dans les mœurs – elles n’hésitent pas à s’assurer contre d’autres risques. Pourtant la sécurité des données n’est pas qu’un poste de coût.

Le poids de la réputation

Au-delà de la conformité aux règles édictées par la CNIL, les pertes de données confidentielles ont  des impacts non négligeables pour une entreprise sur le plan économique, tout comme la  publicité négative des dérives en matière de gestion des données personnelles pointées çà et là, comme le fait, par exemple, d’être épinglé lors des Big Brother awards. 

Est-ce un facteur de différenciation concurrentielle ? Il suffit d’évoquer dans l’économie industrielle le succès qu’ont, en dépit leur coût, les voitures propres et, dans l’économie numérique, les opérations menées par  Microsoft pour se distinguer de Google, puis celles de Google pour se distinguer de Facebook.

Mais la question ne se résume pas en une simple opération de marketing visant à se donner bonne conscience.

Focus sur la sécurité

Aborder la question dans une entreprise revient à dresser un tableau des risques en fonction de deux  critères : l’occurrence et la criticité. Sans surprise, les risques maximum sont encourus pour les opérations mettant en œuvre la biométrie, la géolocalisation ou des  transferts internationaux des données, bien moins pour les œuvres sociales et culturelles de l’entreprise.  Présenté ainsi, ce résultat paraît caricatural. Mais, première étape d’un projet de sécurisation interne qui implique aussi une veille active, des audits de conformité et une action transversale sur les processus métiers, ce tableau n’en reste pas moins indispensable.

N’a-t-on pas rappelé que la plupart des fuites de données ne sont pas dues à des hackers mais à des négligences du personnel et qu’une bonne gestion des droits d’accès règle bien des questions ?  La sensibilisation à ces questions, à tout niveau, prend tout son poids.

Un label pour une discrimination positive

Les premiers labels CNIL seront délivrés au cours de ce  premier trimestre 2012. C’est l’occasion de saluer cette initiative, mais aussi de s’interroger sur la signification des labels accordés ou retirés à un candidat en fonction de la conformité à un cahier des charges, en l’occurrence ici de deux référentiels adoptés en octobre 2011.

Les labels ne permettant d’envisager qu’une diminution des risques et non leur éradication,  ne sont pas une panacée, surtout si, comme TRUSTe aux États-Unis, ils sont  délivrés par un organisme financé par les entreprises qu’il va labelliser. Mais il convient aussi de ne pas édicter des règles trop contraignantes, comme celles du label européen EuroPriSe qui n’a pu être accordé à aucune  entreprise à ce jour, afin  qu’une boucle vertueuse puisse s’engager.

Voir aussi : Cookies et failles de sécurité : la loi « informatique et libertés » est modifiée, 14 octobre 2011

A suivre …