Malgré une législation européenne sur la protection des données existant depuis 1995, toutes les organisations privées et publiques n’ont pas forcément pris les choses en main. Le nouveau Règlement Général sur la Protection des Données (RGPD) ne laissera plus le choix.

Le Règlement Général sur la Protection des Données (RGPD), « relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données » sera d’application dès le 25 mai 2018. Ces 200 pages remplacent la Directive 95/46/CE sans en révolutionner fondamentalement les principes. A ceci près qu’il tape sur le clou de la responsabilité des organisations qui ont à traiter des données à caractère privé, ainsi que sur les risques encourus en cas de non respect de la législation. Car il faut bien le constater, jusqu’à présent, trop d’organisations ne se sont senties que moyennement concernées par cette thématique…

Des menaces qui n’épargnent personne
Mais voilà, au vu des attaques, pertes de données et fraudes dont font régulièrement l’objet même les plus grands, personne ne peut plus prétendre être à l’abri de toute menace en provenance du net. Les conséquences se paient cash : financièrement, mais aussi en termes de réputation. « Certaines attaques chiffrent par exemple vos données et menacent de les publier sur Internet si une rançon n’est pas payée. Il y a entre 60.000 et 150.000 infections de ce type par mois dans le monde. Au Royaume-Uni, une personne sur trente a été attaquée par un crypto ransomware (logiciel de rançon à chiffrement), et 40% ont été obligées de payer car elles n’étaient pas préparées », explique Frédéric Gelissen, co-fondateur de la société Procsima. Celle-ci est spécialisée dans les services de sécurité défensive, préventive et offensive. Procsima reçoit régulièrement des appels au secours de sociétés dont les données ont été encryptées et à qui il est réclamé une rançon. « C’est alors trop tard et elles n’ont pas d’autre choix que de payer. »

Des données pour une finalité précise
Le secteur public étant un gros « consommateur » de données privées, il n’est pas étonnant que la sécurité de l’information et la protection de la vie privée y soient particulièrement cadrés. L’Arrêté royal du 17 mars 2013, par exemple, oblige tout service public à avoir en son sein un conseiller en sécurité de l’information, qui doit entre autre contrôler si l’organisation a mis en œuvre une politique et des bonnes pratiques en fonction des réglementations en vigueur.
Le RGPR a repris pas mal des principes définis par la Directive de 1995. Citons par exemple le fait que pour pouvoir traiter des données à caractère personnel, une organisation doit collecter celles-ci pour des finalités déterminées, explicites et légitimes. On ne peut donc récolter n’importe quelles informations : les données recueillies doivent être adéquates, pertinentes et limitées à ce qui est nécessaire pour la finalité. Ultérieurement, il est interdit de les traiter d'une manière incompatible avec ces finalités et de les conserver ad vitam aeternam. Elles doivent par ailleurs faire l’objet d’une sécurisation proportionnelle à leur aspect sensible.

Négligence humaine
Si tous ces principes paraissent évidents, sur le terrain les problèmes de sécurité des données et des informations sont courants. Et selon les experts, ils sont souvent dus à de la négligence humaine, entre autres de collaborateurs de l’organisation. C’est pourquoi Frédéric Gelissen insiste : ce qui compte avant tout, c’est la prévention. « Malgré un cadre très clair en matière de protection des données, nous constatons que dans beaucoup d’organisations, quand sécurité il y a, elle est souvent rudimentaire et se limite à une solution technique. On met un pare-feu et on pense que ça suffira. Or, se protéger implique aussi des aspects organisationnels, dont un des axes primordiaux est la sensibilisation des utilisateurs aux bons comportements à avoir. Il n’y a souvent pas de politique de gouvernance en matière de sécurité. Si bien que trop de logiciels malveillants se déploient tout simplement parce qu’un utilisateur a ouvert un fichier qu’il ne fallait pas. ». Selon Philippe Laurent, avocat spécialiste de la protection des données, le RGPD devrait servir « d’électrochoc » à ceux qui n’avaient pas encore conscience des dangers et de leur propre responsabilité. « Nous sommes à l’ère du Big Data et de l’intelligence artificielle. Les outils informatiques sont devenus tellement puissants qu’il est de plus en plus facile d’identifier des individus, en croisant les bases de données. Il est donc essentiel de bien cloisonner et protéger les données. »

© Frédéric Gelissen, Procsima

« On met un pare-feu et on pense que ça suffira »