Le forum ATENA, en partenariat avec la Cloud Week Paris 2016 et l’AFDCP (Association Française des Correspondants aux Données Personnelles), ont organisé le 5 juillet dernier une conférence sur les conséquences du nouveau règlement européen sur la protection des données personnelles.
Laurent Caron, avocat en droit du numérique, et Nicolas Samarcq, juriste au sein du cabinet Lexagone, tous deux administrateurs de l’AFCDP, ont rappelé l’objectif global de ce nouveau règlement européen : rétablir la confiance des consommateurs dans le commerce électronique en assurant la protection des données à caractère personnel, de manière uniforme en Europe. Pour combattre une défiance généralisée, « le nouveau règlement européen modifie profondément une législation qui datait de 1978 », a rappelé Laurent Caron. Les enjeux de cette modification règlementaire sont tels qu’ « on n’avait pas vu depuis très longtemps un texte, tous secteurs d’activité confondus, mobiliser autant de lobbyistes, notamment ceux des entreprises nord-américaines ».
Publié en juillet 2016, ce nouveau règlement entrera en vigueur le 25 mai 2018, ce qui ne laisse que 22 mois pour se mettre en conformité. Or, « en commençant à se pencher dessus, on se rend compte qu’il est indispensable de définir rapidement une feuille de route avec un budget de mise en conformité validé par la direction de l’entreprise », a expliqué Nicolas Samarq. Comment convaincre le COMEX qu’il est nécessaire d’allouer des ressources ? Notamment en expliquant que « mêmes les données techniques, comme les métadonnées, peuvent être qualifiées de données à caractère personnel », selon Laurent Caron.
Pour Nicolas Samarq, la notion la plus importante à retenir est « l’accountability » : « vous devrez d’ici 22 mois pouvoir démontrer, grâce à la documentation assemblée, que vous avez bien cartographié vos traitements, que vous avez bien mis en place les procédures organisationnelles et techniques nécessaires pour être conformes et que vous maintenez toute cette gouvernance quasi en temps réel ». La première étape est donc de faire un inventaire en interne des outils pour centraliser le registre et la documentation liée au registre.
Le nouveau règlement intègre également une autre nouvelle obligation : l’analyse de risque systématique ou étude d’impact sur la vie privée, dont le chef d’orchestre sera le DPO ou délégué à la protection des données à caractère personnel. « C’est une fonction interne qui a la capacité professionnelle de maîtriser tous les enjeux, qui accompagne et qui diligente des audits, mais n’a pas pour rôle de certifier la conformité », a détaillé Nicolas Samarq.
Le cloud computing particulièrement impacté
Les administrateurs de l’AFDCP ont tous les deux estimé que l’économie des prestations informatiques allait être particulièrement bouleversée : pour Laurent Caron, « un sous-traitant ne pourra plus vendre des prestations informatiques à des acheteurs si la prestation n’est pas conforme, et réciproquement, l’acheteur, responsable de traitement dans le langage du règlement peut se voir reprocher d’avoir signé avec un prestataire si celui-ci n’est pas au niveau ». Ainsi, dans l’économie cloud, « quand le sous-traitant prend la main sur la gouvernance des traitements parce qu’il mutualise et capitalise sur ses savoir-faire technologiques, il devient aux yeux du règlement un co-responsable du traitement des données ».
Les prestataires cloud vont donc devoir consolider leur position de partenaire, à travers notamment la mise en place de ponts de communication entre co-responsables de traitement : en effet, « tous les acteurs doivent avoir la même vision à un moment donné », a détaillé Nicolas Samarq. « Dès lors qu’il y a une faille révélée chez un sous-traitant, il doit en informer le responsable de traitement, qui dispose à son tour de 72h pour informer le régulateur et les consommateurs concernés ».
Enfin, Laurent Caron a expliqué que, si il y a 3 ans, « la Commission européenne s’est un peu cassé les dents dans la définition de clauses contractuelles type pour le cloud computing, on passe enfin à l’action : les autorités européennes vont les adopter et les acteurs du cloud computing auront l’obligation de les incorporer dans les contrats. Ils devront également vérifier que leurs niveaux de service et de sécurité sont bien conformes à des standards européens ».