Accueil EIDAS, RGPD, NIS, même combat ?

EIDAS, RGPD, NIS, même combat ?

Toutes ces évolutions légales et réglementaires traduisent ainsi une véritable prise de conscience, extrêmement importante de la part des institutions, des enjeux liés à la sécurité numérique dans son ensemble, en ajustant le cadre juridique européen aux changements radicaux qu’elle introduit et en mettant en œuvre les mesures adaptées pour une transition numérique réussie.

 


EIDAS

Depuis sa mise en application au 1er juillet 2016, le règlement eIDAS sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur se met en place progressivement. Le 1er juillet 2017 a ainsi marqué la fin de la période de transition pour les prestataires de services de certification électronique délivrant des certificats au titre de la directive de 1999, abrogée par ledit règlement. Ce dernier vise en outre à instaurer un mécanisme de reconnaissance mutuelle des schémas d’identification électronique notifiés à la Commission européenne par les États membres pour l’accès aux services en ligne offerts par les organismes du secteur public des autres États membres. Une dernière échéance importante aura lieu en septembre 2018, date à laquelle cette reconnaissance des schémas d’identification électronique deviendra obligatoire dans toute l’union.

En matière de traitement des données à caractère personnel et compte tenu de l’importance de ces données, le règlement eIDAS fait plusieurs fois référence à la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 :

– Article 5 – Protection et traitement des données à caractère personnel.
Le traitement de données à caractère personnel est effectué conformément à la directive 95/46/CE.

– Article 12 – Coopération et interopérabilité.
Le cadre d’interopérabilité satisfait aux critères suivants :
../.. il garantit que les données à caractère personnel sont traitées conformément à la directive 95/46/CE.

– Article 24 – Exigences applicables aux prestataires de services de confiance qualifiés
../.. Un prestataire de services de confiance qualifié qui fournit des services de confiance qualifiés :
../.. assure le traitement licite de données à caractère personnel conformément à la directive 95/46/CE ;

Or cette directive 95/46/CE a été abrogée depuis par le règlement général sur la protection des données (RGPD ou en anglais GDPR pour General Data Protection Regulation) du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dont la mise en application a été fixée au 25 mai 2018.

eIDAS a clairement innové et défini entre autres le statut de PSCO précisant à l’article 24 les exigences auxquelles il doit satisfaire quel que soit le service de confiance proposé. Il a également clairement identifié certains services de confiance (création, vérification et validation de signatures électroniques, de cachets électroniques ou d’horodatages électroniques, de services d’envoi recommandé électronique et de certificats relatifs à ces services; ou création, vérification et validation de certificats pour l’authentification de site internet; ou conservation de signatures électroniques, de cachets électroniques ou des certificats relatifs à ces services) et les exigences correspondantes. Enfin il a instauré une

véritable interopérabilité des services dans la mesure où il précise bien à l’Article 4 – Principe du marché intérieur : « Il n’y a pas de restriction à la fourniture de services de confiance, sur le territoire d’un État membre, par un prestataire de services de confiance établi dans un autre État membre pour des raisons qui relèvent des domaines couverts par le présent règlement. »

RGPD

Le RGPD quant à lui constitue plutôt une évolution naturelle de l’existant comme en France la Loi informatique et libertés de 1978 et l’adaptation de la Directive européenne de 1995 qu’il abroge au passage. Le RGPD vise ainsi principalement à unifier la protection des données personnelles dans les pays membres, en renforçant les droits des personnes et la responsabilisation des acteurs traitant des données, et en favorisant la coopération entre les autorités compétentes tout en renforçant les sanctions pouvant atteindre jusqu’à 4% du chiffre d’affaires mondial.

Pratiquement toutes les organisations sont concernées. En effet, toute entreprise traite a minima des données “ressources humaines” (recrutement, gestion de carrière, exécution et résiliation du contrat de travail, santé et sécurité au travail, prélèvement de l’impôt à la source, etc.), qui par essence sont des données à caractère personnel.

Le règlement serait-il vu comme une exigence de plus, difficile et longue à mettre en œuvre donc coûteuse alors que l’objectif sous-jacent du RGPD est ambitieux et se veut de rééquilibrer l’écosystème, humain et technique, des données personnelles. Il devrait plutôt être interprété par toutes les organisations comme une opportunité de réussir, grâce à une méthodologie adaptée, leur transformation numérique dans sa globalité. Pourquoi dès lors se limiter à la fonction de DPO qui prend déjà plus d’ampleur que celle des précédents CIL. L’objectif est bien de mettre en œuvre une véritable gouvernance de l’information qui par construction ne doit pas se limiter aux seules données personnelles. L’on évoquera dès lors la fonction de CDO à la fois Chief Digital Officer, Chief Data Officer et Chief Disruption Officer.

Sachant que de nos jours les données représentent un atout essentiel pour toute organisation, nous insisterons plus particulièrement sur la compréhension du CDO en tant que Chief Data Officer, chargé de la gouvernance des données qui alimentent de plus en plus les prises de décisions dans beaucoup de domaines dont la stratégie globale de l’organisation grâce également à la partie analytique liée au traitement de ces précieuses données. Mais qui dit traitement de données dit également respect des données personnelles.

Ainsi dans son contenu, le RGPD confirme cinq concepts clés, à garantir tout au long du cycle de vie des données personnelles, à savoir :

  1. Réaliser une collecte loyale et transparente des données
  2. Avoir un objectif légitime, explicite et spécifique pour une telle collecte
  3. Opérer une proportionnalité des données collectée au regard des finalités définies
  4. Définir une durée de conservation limitée
  5. Disposer d’une sécurité des données appropriée aux risques encourus

 

Au-delà, ce règlement amène en fait deux nouveautés importantes. D’abord, il supprime la quasi-totalité des déclarations actuelles sachant que les entreprises et organisations devront néanmoins pouvoir prouver en toute circonstance qu’elles sont conformes. Cela impliquera entre autres de tenir un registre des traitements des données personnelles et d’effectuer une analyse de risques des données les plus sensibles pour en mesurer l’impact en cas de perte de leur confidentialité, et de lister les mesures adaptées pour y remédier le cas échéant. Ensuite, il étend la notion de responsabilité à toute la chaîne : une entreprise ne pourra plus se réfugier derrière un sous-traitant, elle devra s’assurer de la conformité de ses fournisseurs et surtout prouver qu’elle l’a fait, entrainant par là une modification substantielle de ses conditions contractuelles.

NIS

Enfin l’année 2018 voit également la mise en application de la Directive NIS (Network and Information Security) relative à la sécurité des réseaux et des systèmes d’information, destinée à renforcer la lutte contre la cybercriminalité, en bénéficiant entre autres des travaux réalisés dans ce sens par les Opérateurs d’Importance Vitale. Adoptée le 6 juillet 2016 par le Parlement européen, les États membres devront la transposer dans leur droit national d’ici le 9 mai 2018. La loi française transposant la directive européenne a été publiée le mardi 27 février au journal officiel.

Qu’il s’agisse du règlement eIDAS avec l’instauration d’un environnement de confiance auquel la sécurité est directement rattachée, du RGPD précisant les conditions à respecter en ce qui concerne les données à caractère personnel ou de la directive NIS, tous les trois contribuent ainsi à la création d’un environnement aussi sécuritaire que possible dans un monde où le numérique est de plus en plus omniprésent. Sachons en faire une source d’opportunités certes financières mais pas seulement car c’est la société toute entière qui est en train d’évoluer avec les réseaux sociaux, les voitures autonomes, les objets connectés, l’intelligence artificielle, … devenons acteurs de ce changement et non plus seulement spectateurs.