Un sérieux tour de vis pour les entreprises traitant les données des citoyens du Vieux Continent.
Ces dernières voient leurs responsabilités renforcées, avec l’introduction de trois principes clefs : le ‘privacy by design’ (autrement dit l’intégration des principes de protection de la vie privée des clients et employés dès la conception d’un service ou produit), le ‘security by default’ (soit des garanties sur le niveau de sécurité offert par les systèmes d’information mis en oeuvre) et ‘l’accountability’. « C’est probablement le changement le plus marquant, explique Julien Muller, le directeur technique de Matooma, société française spécialisée dans la connectivité des objets. L’accountability débouche sur une logique de responsabilisation de tous les acteurs de la chaîne dans la protection des données. Elle vient supplanter les processus déclaratifs et d’autorisation auprès de la CNIL. »
Outre ces trois principes fondateurs, le RGPD s’illustre aussi par la lourdeur des sanctions prévues par le législateur : les amendes en cas de non-conformité peuvent atteindre 4 % du chiffre d’affaires mondial d’une entreprise !
Mais, pour Julien Muller, ces nouvelles exigences apparaissent davantage comme la continuité de pratiques déjà en place chez Matooma : « dans le secteur des télécoms, nous étions déjà très suivis par la CNIL. Nous avons ainsi déjà impliqué contractuellement nos fournisseurs et sous-traitants dans la protection des données, en les responsabilisant sur la sécurité et l’encadrement de la finalité des traitements, assure le CTO de la société montpelliéraine. Et, techniquement, les mesures prévues par le règlement sont déjà en place ». Y compris sur des processus sur lesquels peinent encore de nombreuses sociétés, comme l’effacement total des données personnelles d’un utilisateur sur simple demande ou la notification d’éventuels incidents de sécurité.
« Nous avons effectué un audit pour vérifier que nous respectons bien les préconisations du règlement ; et c’est bien le cas. »
En plus de son RSSI, qui se focalise sur la sécurité des accès, Matooma a nommé un responsable des bases et traitements de données, qui hérite du dossier RGPD. « Mais la création de ce poste est davantage liée à notre croissance et aux besoins de nos clients qu’au règlement à proprement parler », assure le CTO.
Malgré l’entrée en vigueur du texte, Julien Muller ne s’attend pas à voir la sécurité des objets connectés s’améliorer brutalement. « Seule une normalisation permettrait de changer réellement les choses, explique le CTO. Aujourd’hui, avant d’être commercialisés en Europe, les smartphones doivent, par exemple, recevoir une certification. Rien de tel, pour l’instant, avec les objets connectés. »
Néanmoins, pour cet expert, la sécurisation des couches de transport et la protection des emplacements de stockage de données permettent déjà d’écarter la plupart des risques, hormis le blocage du service à proprement parler. « Par exemple, si on prend le cas d’un bracelet de géorepérage (qui signale l’entrée ou la sortie d’une zone géographique donnée, NDLR), tout le volet interprétation des données s’effectue sur le serveur, relié à l’objet par un protocole de transport hautement sécurisé. Et les actions qui découlent de ces analyses sont effectuées à partir de systèmes tiers. L’objet connecté n’est, en réalité, qu’un simple élément passif dans cette chaîne », illustre Julien Muller.