Le RGPD protège les personnes physiques (c’est-à-dire les êtres humains vivants) [1] dans le cadre du traitement de leurs données à caractère personnel et de la libre circulation de ces données au sein de l’UE.
Cette protection est consacrée dans le RGPD par l’obligation de traiter en toute sécurité des données à caractère personnel au sens de l’article 32, qui est étayée par six considérants (75, 76, 78, 79 et 83).
Ces dispositions ont pour objet de fournir des indications sur la mise en œuvre des règles de sécurité et des mesures organisationnelles appropriées au traitement des données à caractère personnel entreprises.

La question est donc de savoir comment atteindre cet objectif de sécurité dans le cadre du RGPD ?

Premièrement, le considérant 75 énumère les risques pouvant affecter les droits et libertés des personnes physiques et qui trouvent leur source dans le traitement de données à caractère personnel :
 qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier : lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important ;
 lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel ;
 lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes ;
 lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels ;
 lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants ;
 ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

Deuxièmement, le considérant 76 fournit des instructions sur l’évaluation de ces risques :

La probabilité et la gravité du risque pour les droits et libertés de la personne concernée doivent être déterminées :
 en fonction de la nature, de la portée, du contexte et des finalités du traitement ;
 d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

Troisièmement, le considérant 77 fait référence aux lignes directrices qui pourraient être utilisées pour soutenir les mesures de sécurité prises par un contrôleur ou un processeur dans la mise en œuvre de son programme de sécurité :

Des directives relatives à la mise en œuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l’identification du risque lié au traitement, leur évaluation en termes d’origine, de nature, de probabilité et de gravité, et l’identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment :
 au moyen de codes de conduite approuvés,
 de certifications approuvées et de lignes directrices données par le comité (Article 68 du RGPD), relatives aux opérations de traitement considérées comme étant peu susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque,
 d’indications données par un délégué à la protection des données.

Quatrièmement, le considérant 78 met l’accent sur le respect du RGPD en soulignant l’importance des politiques internes et de la mise en œuvre des mesures correspondantes pour respecter les principes de protection des données dès la conception et de protection des données par défaut :
 Afin d’être en mesure de démontrer qu’il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer.

Ensuite, le même considérant 78, après s’être concentré sur des obligations relevant du responsable du traitement, se tourne vers le développeur, le concepteur (à mon sens, cela signifie également une organisation de standardisation) et les producteurs (par exemple, les fabricants ‘OEM’) de produits, de services et d’applications dont l’activité repose sur le traitement de données à caractère personnel ou traite des données à caractère personnel pour remplir leur tâche, en les encourageant.
 à prendre en compte le droit à la protection des données à caractère personnel lors du développement et de la conception de tels produits, services et applications ;
 en tenant dûment compte de l’état de la technique (pour en savoir plus sur le concept d’état de la technique ci-dessous), veiller à ce que les responsables du traitement et les processeurs puissent remplir leurs obligations en matière de protection des données.

Cinquièmement, le considérant 79 préconise une délimitation claire des responsabilités entre le responsable du traitement et le sous-traitant :
 La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d’autres responsables du traitement, ou lorsqu’une opération de traitement est effectuée pour le compte d’un responsable du traitement.

Sixièmement, le très important considérant 83 qui résume les principes promus par les considérants 75 à 79 :
 le responsable du traitement et le sous-traitant doivent évaluer les risques inhérents au traitement ;
 à la lumière de cette évaluation, le responsable du traitement et le sous-traitant doivent définir des mesures d’atténuation ;
 Le responsable du traitement et le sous-traitant doivent mettre en œuvre les mesures d’atténuation.

Les mesures d’atténuation choisies doivent assurer un niveau de sécurité approprié. En fonction des données personnelles à traiter, différentes techniques de sécurité sont disponibles [2].

La pseudonymisation vise à protéger les données à caractère personnel en masquant l’identité d’individus dans un ensemble de données, en remplaçant un ou plusieurs identifiants de données à caractère personnel par des pseudonymes et en protégeant de manière appropriée le lien entre les pseudonymes et les identificateurs initiaux. Un identifiant est une information spécifique, entretenant une relation privilégiée et proche avec un individu, qui permet l’identification, directe ou indirecte, de cet individu (par exemple, son nom, son adresse électronique, une photo d’un individu, son adresse MAC, son adresse IP, etc.). Ce qui est important à comprendre, c’est que la pseudonymisation sépare en fait le jeu de données original en deux parties, chacune d’elles ayant une signification pour des individus spécifiques uniquement en combinaison avec l’autre.

Voici des exemples de techniques de pseudonymisation :
 Hachage sans clé : une fonction de hachage cryptographique h est une fonction avec des propriétés spécifiques qui transforme tout message d’entrée m de longueur arbitraire en une sortie de taille fixe h (m) (par exemple, de taille 256 bits, soit 32 caractères). appelé valeur de hachage ou résumé du message.
 Hachage avec clé : une approche robuste pour générer des pseudonymes basés sur l’utilisation de fonctions de hachage avec clé - c’est-à-dire des fonctions de hachage dont la sortie dépend non seulement de l’entrée, mais également d’une clé secrète ; en cryptographie, ces primitives sont appelées codes d’authentification de message. Le responsable du traitement doit conserver la clé secrète en lieu sûr, séparément des autres données, car elle constitue l’information additionnelle, c’est-à-dire qu’elle fournit le moyen d’associer les individus - c’est-à-dire les identifiants originaux - aux pseudonymes dérivés.
 Hachage avec clé et ‘salt’ : l’entrée de la fonction de hachage est complétée par l’ajout de données auxiliaires d’apparence aléatoire appelées ‘salt’.
 Chiffrement symétrique ou asymétrique (c’est-à-dire utilisation de clés publiques) : vise à garantir, par le biais d’une utilisation correcte des techniques mathématiques, que l’ensemble du jeu de données crypté est inintelligible pour quiconque, à l’exception des utilisateurs autorisés qui sont autorisés à inverser / déchiffrer le jeu de données. À cette fin, le cryptage est un instrument essentiel pour assurer la confidentialité des données à caractère personnel en masquant l’ensemble du jeu de données et en le rendant incompréhensible pour toute partie non autorisée (tant que des algorithmes et des longueurs de clé de pointe sont utilisés et que la clé de cryptage est utilisée). convenablement protégé).
 Tokenisation : il s’agit du processus consistant à remplacer les identifiants des personnes concernées par des valeurs générées aléatoirement, appelées jetons, sans relation mathématique avec les identifiants d’origine. Par conséquent, la connaissance d’un jeton n’a aucune utilité pour un tiers autre que le responsable du traitement ou le processeur. Autres techniques bien connues, telles que le masquage, le brouillage et le flou. Tous se concentrent principalement sur la pseudonymisation des données en repos (c’est-à-dire les données stockées dans un fichier / base de données).

Je dois souligner qu’en vertu du RGPD, le responsable du traitement est l’entité responsable de la sécurité à mettre en œuvre (c’est-à-dire le principe de responsabilité du RGPD).
Le processeur agissant sous les instructions du responsable du traitement doit mettre en œuvre les techniques de sécurité sélectionnées ou validées par le responsable du traitement. Par conséquent, un accord de confidentialité des données comportant de très larges dispositions de sécurité génériques, qui sont une copie de l’article 32 du RGPD, devrait constituer une préoccupation majeure pour le responsable du traitement et le sous-traitant, car ce type de conditions de sécurité contractuelles ne démontre souvent pas une compréhension claire de l’objectif du traitement et l’évaluation correspondante des risques qui définissent finalement la technique de pseudonymisation appropriée [3].
Cette compréhension et cette évaluation sont au cœur d’un programme efficace de protection de la vie privée, car elles permettent à une organisation d’évaluer les ressources qui seraient nécessaires (dotation en personnel, financement, etc.) pour atteindre les objectifs de protection de la vie privée et constituent le fondement de son plan de réduction rentable, de manière prioritaire.

C’est exactement ce que recommande la dernière partie du considérant 83 :
 Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l’état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des données à caractère personnel à protéger. Dans le cadre de l’évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte ou l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d’entraîner des dommages physiques, matériels ou un préjudice moral.

Enfin, l’article 32 définit les obligations légales requises par les contrôles de sécurité en plus de la pseudonymisation : contrôle d’accès, authentification (forte), autorisation (forte), enregistrement des activités d’utilisateur et d’administrateur, protection des données en transit à l’aide de connexions réseau PGP, TLS) et données inactives utilisant le stockage et les sauvegardes, résilience face aux défaillances du système, mécanisme de sauvegarde et de récupération permettant la reprise après sinistre, alerte en temps réel, audit (par exemple, maintenance des traces d’audit).

Les mesures techniques et organisationnelles à mettre en œuvre pour assurer un niveau de sécurité approprié au risque tiennent compte de l’état de la technique, qui est un seuil très élevé, puisqu’il fait référence, dans le cas du traitement de données, à la technologie de sécurité disponible sur le marché au moment où le produit a été conçu et au cours de sa vie. Cela crée un fardeau énorme pour le responsable du traitement et le sous-traitant en termes de surveillance de la sécurité, de connaissance des risques pouvant augmenter avec les nouvelles techniques de piratage, de nouvelles vulnérabilités identifiées, les coûts de mise en œuvre (qui en supporte les coûts, comment les récupérer) obligations statutaires. Chacun de ces éléments doit figurer dans un contrat. Plus la durée du contrat est longue, plus la rédaction est difficile, car nous sommes confrontés à des situations dynamiques qui évoluent rapidement avec le temps.

En ce qui concerne les mesures techniques et organisationnelles, il convient de citer un bon exemple à travers le ‘Safe Guard Rule’ publiée en 2003 par la ‘Federal Trade Commission’ (FTC) dans le cadre de la mise en œuvre du ‘GLB Act’ [4] . Le ‘Safe Guard Rule ’ [5] exige que les entreprises élaborent un plan de sécurité des informations écrit décrivant leur programme de protection des informations des clients (une proposition visant à modifier ces règles est en cours de diffusion par la FTC). Le plan doit être adapté à la taille et à la complexité de la société, à la nature et à la portée de ses activités et à la sensibilité des informations clients traitées.

Dans le cadre de son plan, chaque entreprise doit :
 désigner un ou plusieurs employés pour coordonner son programme de sécurité de l’information ;
 identifier et évaluer les risques que courent les informations sur les clients dans chaque domaine d’activité de la société et évaluer l’efficacité des mesures de protection actuelles pour maîtriser ces risques ;
 concevoir et mettre en œuvre un programme de garanties et le surveiller et le tester régulièrement ;
 choisir des fournisseurs de services capables de gérer les mesures de protection appropriées, s’assurer-vous que le contrat les y oblige, et veiller au traitement des informations client ; et
 évaluer et adapter le programme à la lumière des circonstances, notamment des modifications des activités ou des activités de l’entreprise ou des résultats des tests et du contrôle de la sécurité.

En conclusion, le RGPD impose au responsable du traitement et au sous-traitant une obligation forte d’assurer la sécurité des données, en exigeant l’évaluation des risques sécuritaires et la mise en œuvre d’une politique de sécurité tenant compte de manière appropriée les risques identifiés. Le programme de sécurité qui en résulte doit être correctement contrôlé, appliqué contractuellement en termes de contrôle des coûts et de limitation des responsabilités, et cohérent avec une analyse ‘business’ risques-avantages.

Jean-Pierre Mistral, Director Global Data Privacy.