Actualité

[Retour sur] Les rendez-vous CYGAL : le Règlement Général de la Protection des Données (RGPD)

Publié le 5 octobre 2017

Illustration actualite CYGAL Q3

Le 22 septembre 2017 s’est tenu la troisième conférence CYGAL. Retour sur le dernier rendez-vous du cycle de conférences du GT Confiance Numérique et Sécurité de l’année, organisé par Systematic Paris-Region en partenariat avec ACN, BDVA, CEA LIST et ECSO sur le Règlement Général de la Protection des Données (RGPD).

Introduction

Johanna CARVAIS PALUT introduit la séance en soulignant que si la nouvelle loi européenne ne modifie pas les grands principes de protection des données qui prévalent depuis 1978, la plus grande sévérité des sanctions induites par le RGPD astreint les entreprises à se responsabiliser sur le sujet. Malakoff Médéric a ainsi lancé en février 2017 un projet articulé autour de plusieurs chantiers dont la gouvernance, l’information et le droit des personnes, les relations avec les tiers, ou la responsabilisation et la violation des données à caractère personnel.

Rodrigue GERMANY, responsable du groupe thématique « Confiance Numérique & Sécurité », notamment de la techno clé « Big Data et Intelligence Artificielle » au sein du pôle de compétitivité SYSTEMATIC Paris-Région, introduit les partenaires, puis procède à une brève présentation de l’écosystème de SYSTEMATIC Paris-Région, qui soutient l’innovation, accélère la croissance des entreprises innovantes et promeut l’attractivité et le développement économique du territoire et de l’écosystème.

Hervé DEBAR, vice-président du groupe thématique « Confiance Numérique et Sécurité », explique que ce comité de pilotage représentatif de l’écosystème du pôle a vocation à faire émerger des projets de R&D dans le domaine de la cyber sécurité et de la confiance numérique.

Keynote & Présentation 

Version française du RGPD

Geoffrey DELCROIX, de la Direction des technologies et de l’Innovation de la CNIL (https://linc.cnil.fr/), explique en préambule qu’il n’existe pas de version française du règlement, lequel a justement vocation à être harmonisé au niveau européen, et est d’application directe. Il estime en outre qu’un raisonnement uniquement fondé sur le risque de sanction pécuniaire ne saurait répondre de manière pérenne aux différents défis qui émergent avec le RGPD.

L’objectif du législateur européen, dont le texte sera pleinement applicable dès mai 2018, était d’apporter plus de cohérence à l’édifice européen de protection des données en adaptant la réglementation aux réalités d’internet / du numérique, en simplifiant les procédures et en mettant en avant le principe de responsabilité. Pour faciliter la préparation des entreprises au RGPD et la mise en place des procédures de conformité, la CNIL a publié une méthodologie constituée de 6 étapes – désigner un pilote, cartographier les traitements, établir des priorités en fonction des risques que les traitements font peser sur les droits et la liberté des personnes etc. – qui est à disposition sur son site internet.

Aspects applicatifs de la directive

Julie BELLESORT, avocat en droit des nouvelles technologies, confirme que cette méthode en 6 étapes définie par la CNIL permet aux entreprises d’aborder le sujet avec une certaine sérénité mais que toutes les étapes doivent être menées de front. Par rapport à la loi française, la nouvelle réglementation oblige la société à prouver à tout moment qu’elle est en règle, ce qui nécessite une mise à jour systématisée des documentations.

Julie BELLESORT montre, en particulier, comment les mentions d’information des personnes dont les données sont collectées doivent changer sur les formulaires de collecte directe sur internet. Elle insiste également sur la mise en place de procédures internes afin de pouvoir répondre rapidement (car les délais de réponse sont écourtés) aux personnes concernées qui exerceraient leur droit (droit d’accès par exemple).

Enfin, si l’entreprise a recours à un prestataire extérieur ou exploite des données pour un tiers, elle devra s’assurer de la mise à niveau de ses contrats portant sur des données personnelles au regard des nouvelles exigences imposées par la Règlement.
 

RGPD : Application au Big Data

Le Dr ANDERSON SANTANA DE OLIVEIRA explique que le RGPD s’applique pleinement au Big Data, même si le sujet n’est pas spécifiquement mentionné dans les textes. Le Big Data vise à obtenir un avantage compétitif notamment en automatisant les processus de décisions prises sur la base de données personnelles. Cependant, il doit être encadré, dans la mesure où la démarche est parfois difficilement compatible avec les fondements de la réglementation ; par exemple, le principe du volume de données – impliquant un long délai de conservation, peut apparaître contradictoire avec l’objectif du RGPD consistant à limiter la durée du traitement. Par ailleurs, une difficulté naît de l’utilisation de l’intelligence artificielle, puisque le modèle de prise de décision automatique dans ce cas repose sur le traitement de données massives (big data). La bonne nouvelle est que le RGPD ne s’applique pas aux données dès lors que celles-ci sont rendues anonymes, d’où l’intérêt des techniques d’anonymisation.

Geoffrey DELCROIX précise que l’anonymisation est souvent vue comme une solution magique, car elle permet de s’affranchir du règlement. C’est pourquoi elle suscite autant d’intérêt auprès des entreprises. Pour autant, ça n’est pas une solution magique : elle sera peu adaptée à certains cas d’usages. Il vaudra en fait alors mieux respecter le RGPD plutôt que de détruire la valeur d’usage des données juste pour s’en affranchir.

Table ronde : Mise en place de la RGPD pour les entreprises

Isabelle HIRAYAMA, analyste stratégie & droit à l’IRT-SystemX, introduit la table ronde en proposant d’articuler les débats autour de plusieurs grandes questions : la conformité interne (SSI et RGPD), la mise à niveau des acteurs proposant des produits et des services, la déclinaison de la conformité à travers la supply chain de sous-traitants, et enfin le risque de contentieux.

Alban SCHMUTZ, en charge des développements stratégiques et des affaires publiques chez OVH, David OFFER, Vice-Président de ITrust, Laurent CELLIER, DPO de Deveryware, Lionel DE SOUZA, DPO d’Atos Group et Morgane BASQUE du Cabinet Harlay Avocats, avocat à la cour, débattent de la manière dont leurs structures respectives mettent en œuvre le RGPD pour accompagner leurs clients / fournisseurs.

Isabelle HYRAYAMA indique que les entreprises doivent également veiller, en plus du RGPD, au respect des réglementations sectorielles qui s’appliquent à leurs services et infrastructures en matière de cyber sécurité, puis fait valoir que le RGPD requiert une solide connaissance de son environnement juridique et technologique, dans un souci d’efficacité et d’exhaustivité.

Photo table-ronde CYGAL Q3

Morgane BASQUE fait observer que la problématique est à dimension variable en fonction des entreprises, eu égard notamment à la sensibilité des données traitées et à l’existence ou non d’un CIL – Correspondant Informatique et Libertés – au sein de la société.

Lionel DE SOUZA affirme par ailleurs que le risque de contentieux est susceptible d’augmenter du fait de la possibilité accordée aux individus d’agir directement contre le responsable de traitement ou le sous-traitant, même ce risque reste difficile à matérialiser à ce stade. Laurent CELLIER ajoute que cet enjeu se traduira en particulier dans les choix des sous-traitants, qui se porteront naturellement vers les entreprises qui offrent les meilleures garanties en la matière (qualification, certification).

Morgane BASQUE estime pour sa part que la réglementation ne devrait pas avoir pour effet d’accroître le nombre de sanctions, car l’ampleur des sanctions financières basées sur le chiffre d’affaires annuel mondial consolidé est susceptible de pousser les sociétés à se mettre à niveau et à se prévaloir d’un niveau de maturité en termes de sécurité et de conformité des traitements de données à caractère personnel, tant au niveau européen qu’international.

Alban SCHMUTZ mentionne le “CISPE Data Protection Code of Conduct”, plus d’information sur  https://cispe.cloud/code-of-conduct/, un code qui anticipe l’application du RGPD.

Présentation académique

Thibaud ANTIGNAC, chercheur au CEA List, aborde en premier lieu l’analyse d’impact relative à la protection des données, qui intervient en cas de risque élevé pour les droits et libertés des personnes physiques. Il consiste en une description systématique des opérations de traitement envisagées, une évaluation de la nécessité et de la proportionnalité des opérations, une évaluation des risques pour les droits et libertés, et enfin l’élaboration de mesures envisagées (techniques et opérationnelles) pour réduire les risques. Il décrit ensuite les stratégies de conception – la protection des données peut passer par la minimisation des données collectées et traitées, la séparation des endroits de stockage de données et des traitements, l’agrégation des données entre elles pour éliminer le détail, le chiffrement… –  et enfin sur les taxonomies de techniques de mesure de protection des données avec d’une part des techniques proactives mises en œuvre en amont et d’autres part des techniques dites réactives ; il évoque en particulier la pseudonymisation, l’anonymisation, la signature de groupe ou la recherche chiffrée.

 

Figure 1 : Population évènement CYGAL (source Systematic Paris-Region)

 

Les présentations sont disponibles au téléchargement :

Télécharger

Vos retours comptent, n’hésitez pas à répondre à notre questionnaire de satisfaction !

Questionnaire de satisfaction

 


A propos de CYGAL

CYGAL s’organise autour d’un cycle de conférences du GT Confiance Numérique et Sécurité, acteur transverse de la transformation digitale, dont l’objectif est d’animer de manière proactive la technologie clef « Confiance Numérique dont la Cyber Sécurité » du Pôle Systematic-Paris-Region.

CYGAL c’est :

  • Q1 ANNEE – N : CONFIANCE NUMERIQUE ET APPLICATIONS VERTICALES
  • Q2 ANNEE – N : CONFIANCE NUMERIQUE ET DOMAINES STRATEGIQUES
  • Q3 ANNEE – N : CONFIANCE NUMERIQUE ET RECHECHE SCIENTIFIQUE DONT LES SHS[1]
  • Q4 ANNEE – N : CONFIANCE NUMERIQUE ET TECHNOLOGIES DE RUPTURES

CYGAL est l’acronyme de « CYber response to diGitAL world », un clin d’œil à la cigale dont seule la dernière métamorphose est complète « Mise à jour continuelle des connaissances pour rester en vie ».

« Aucune transformation digitale n’est possible sans une gouvernance efficace de la cyber sécurité » Guillaume Poupard, DG ANSSI

 


Document rédigé par la société Ubiqus – Tél : 01.44.14.15.16 – http://www.ubiqus.fr – infofrance@ubiqus.com
Document révisé par Rodrigue Germany (Systematic Paris-Region) et Isabelle Hirayama (IRT-SystemX)

[1] SHS : Sciences Humaines et Sociales