Les entreprises du monde entier détiennent une quantité énorme de données informatiques concernant leurs clients, leurs partenaires, leurs prestataires. Il est parfois difficile de savoir comment toutes ces informations, qui ont pour certaines un haut degré de confidentialité, peuvent être utilisées. Et que l’on soit en Europe ou aux États-Unis peut tout changer quant au cadre légal et aux obligations concernant ces données.
Données informatiques : mais de quoi s’agit-il vraiment ?
163 zettaoctets (soit 163 milliards de téraoctets), c’est le volume de données informatiques que la population mondiale sera amenée à stocker d’ici 2025. Il existe plusieurs types de données informatiques, comme les données personnelles par exemple. D’après l’article 2 de la loi « Informatique et libertés », constitue une donnée à caractère personnel, toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Une personne est identifiable, par exemple, lorsqu’un fichier comporte des informations permettant de la reconnaître (ex : nom, prénom, n° de téléphone, photographie, n° d’immatriculation, adresse IP, éléments biométriques comme l’empreinte digitale etc). Au sein d’une entreprise, la création et le traitement de ces données sont théoriquement soumis à des obligations destinées à protéger la vie privée des personnes et les libertés individuelles.
La protection des données informatiques : un point central de la relation client
Le développement massif du digital a rendu cette problématique encore plus complexe. Les technologies de l’information et de la communication sont à l’origine d’un grand nombre de données personnelles et de données sensibles ainsi que de « traces informatiques » exploitables grâce aux progrès des logiciels, notamment les moteurs de recherche. Les entreprises doivent garder à l’esprit que les vols de données sont difficiles à éviter.
De nombreux citoyens estiment que leurs données personnelles n’ont pas été traitées comme elles le devraient. Pour preuve, en 2015, la CNIL (Commission Nationale de l’informatique et des libertés) a enregistré 7908 plaintes (dont 36% concernent l’e-réputation), soit 2000 de plus qu’en 2014. « L’opposition à figurer dans un fichier, tous secteurs confondus, constitue le principal motif de plaintes, ainsi que l’exercice du droit d’accès », note la CNIL.
Aujourd’hui, la fidélité à une marque dépend notamment de sa capacité à pouvoir assurer la sécurité des données numériques de ses clients. Il est absolument nécessaire pour les entreprises de mettre en place des stratégies limitant les intrusions dans leur système.
Une législation de plus en plus stricte en Europe pour la protection des données informatiques
En avril 2016, le Parlement européen a adopté plusieurs textes liés à cette problématique dont le règlement de protection des données qui entrera en vigueur d’ici 2018. Opposable y compris aux entreprises basées hors de l’Union Européenne mais qui ciblent des consommateurs européens, le texte détermine le socle minimum de droits et de devoirs applicables au traitement de données personnelles, en particulier sur internet.
Parmi les mesures importantes, pour la plupart déjà prévues par le droit français, figurent :
- L’obligation de recueillir un consentement « clair et explicite» avant tout traitement de données personnelles
- Le droit à la portabilité des données. Cette mesure permet aux utilisateurs d’un service en ligne de récupérer leurs données pour les importer vers un service concurrent.
- Le droit d’être informé en cas de piratage des données.
- Des sanctions pouvant aller jusqu’à 4% du CA mondial d’une entreprise lorsque celle-ci viole le droit à la protection des données.
Renforcement des obligations pour les entreprises
La sécurité des données sensibles est de plus en plus réglementée. Le règlement sur les données personnelles, publié au Journal Officiel de l’Union Européenne le 4 mai 2016, intègre des éléments comme l’obligation de « Privacy by design » (protection des données dès la conception) et celle de « Privacy by default » (protection des données par défaut). Désormais, les entreprises ont l’obligation de proposer des produits et des services collectant le moins de données personnelles possible, dès la conception et par défaut. Elles doivent offrir à leurs clients le plus haut niveau possible de protection à leurs données personnelles.
Au sein d’une entreprise, le responsable du traitement des données devra impérativement mettre en œuvre les mesures nécessaires pour assurer le plus haut degré de sécurité aux données récoltées. Il devra en outre réaliser des études d’impact lorsque l’utilisation de nouvelles technologies présente un risque pour les droits et libertés des individus concernés. Les nouveaux textes obligent également les entreprises à tenir des registres internes recensant les traitements de données personnelles.
La CNIL pourra en outre effectuer des contrôles inopinés auprès des responsables de traitement des données informatiques pour s’assurer de la mise en place des bonnes mesures de sécurité.
Choisir son prestataire pour la protection des données informatiques : une décision stratégique
Lorsqu’une entreprise décide de faire héberger par un tiers, tout ou partie de ses données (dont certaines sensibles et confidentielles), elle doit bien en mesurer l’impact. Le choix du prestataire est capital.
Jusqu’à fin 2015, l’accord Safe Harbor entre le département du Commerce américain et la Commission européenne autorisait les sociétés américaines à exporter les données personnelles des citoyens européens vers les États-Unis, même si la législation européenne l’interdit. Une entreprise qui choisissait un prestataire américain, même si ses données étaient hébergées en Europe, prenait le risque de voir toutes ses informations sensibles traverser l’océan sans qu’elle puisse y changer quoi que ce soit.
Cet accord a été invalidé par la Cour de justice de l’Union européenne et remplacé par un nouveau texte baptisé « Privacy Shield » ou bouclier pour la protection de la vie privée. Mais ce texte a certaines limites. Il ne peut, par exemple, pas garantir de ce qu’il advient aux données confiées à des entreprises américaines.
Aux États-Unis, le Freedom Act, loi promulguée en juin 2015, autorise le gouvernement américain à accéder à toutes les données traitées par les entreprises américaines, que celles-ci soient basées aux États-Unis ou pas. Si un prestataire de Cloud américain possède des bureaux et des serveurs en Europe, il est soumis à ce texte. D’où l’importance pour les entreprises européennes de privilégier des prestataires locaux. En Europe, la loi est bien plus stricte. La collecte des données personnelles est très encadrée. Il faut le consentement de la personne visée, préciser dans quel but on recueille les données et lui permettre de les modifier ou de les supprimer. Et surtout, il est formellement interdit de faire sortir ces données du territoire européen.