Article réservé aux abonnés Archimag.com

Données personnelles : ce qui va changer

  • mobile_surf.jpg

    smartphone
    Les entreprises ne sont pas les seules à être préoccupées par la gestion de leurs données personnelles. se via Visualhunt / CC BY-SA)
  • Sommaire du dossier :

    La sensibilité aux problématiques des données personnelles s’est aujourd’hui généralisée : maîtrise de sa réputation, protection de sa vie privée, propriété sur ses propres données. Le cadre juridique s’est récemment précisé au niveau européen, avec un nouveau règlement et un calendrier contraignant. Impossible pour les entreprises de faire l’impasse sur une gestion conforme, comme le rappelle un expert. Méthodes et outils sont à disposition. Un prestataire décrit sa démarche.

    C'est un chiffre qui en dit long sur les entreprises : 96 % d'entre elles ne comprennent pas clairement le nouveau règlement européen de protection des données personnelles. Adopté au mois d'avril dernier, ce règlement (RGPD) n'entrera en vigueur qu'au printemps 2018 mais son adoption risque de poser de sérieux problèmes aux entrepreneurs.

    Selon une étude menée dans trois pays européens (France, Royaume-Uni et Allemagne) par la société de protection informatique Symantec, 92 % des décideurs informatiques et dirigeants d'entreprises français craignent de ne pas être en conformité avec le nouveau règlement. Et peut-être pire : seulement 25 % d'entre eux estiment qu'il s'agit d'une priorité.

    "Il y a une déconnexion évidente et significative entre l'importance que revêt la confidentialité et la sécurité des données pour les consommateurs et la priorité des entreprises, explique Laurent Lecroq, directeur général de Symantec France ; il reste certes quelques mois pour se préparer, mais le passage à l'action doit être rapide".

    Le Crédit Agricole ne vendra plus les données personnelles de ses clients

    En attendant l'entrée en application de ce nouveau règlement européen prévue pour le 25 mai 2018, certaines entreprises ont pris les devants en se dotant de codes de bonne conduite. C'est par exemple le cas du Crédit Agricole qui applique depuis le 1er janvier 2017 une "charte des données". Particularité : ce document a été coproduit avec ses clients autour de cinq principes. Notamment la sécurité des données que la banque place en tête de ses préoccupations :

    "Les solutions que nous utilisons pour conserver les données de nos clients font l'objet de nos procédures rigoureuses de validation et de certification". 

    Le Crédit Agricole s'engage par ailleurs à ne pas vendre des données personnelles de ses clients. Celles-ci ne seront utilisées qu'au sein de l'établissement pour proposer des services personnalisés :

    "Nous nous engageons à ne jamais collecter ni traiter les données de nos clients à leur insu et à respecter l'exercice de leur droit d'opposition", précise la banque.

    Cette charte a été diffusée auprès de tous les collaborateurs du Crédit Agricole qui annonce également la création d'un espace client sécurisé dédié à la gestion des données.

    TES, le mégafichier controversé

    Les entreprises ne sont pas les seules à être préoccupées par la gestion de leurs données personnelles. Le gouvernement est confronté depuis plusieurs semaines à une fronde après la publication d'un décret instituant une base de données biométriques baptisée fichier TES (Titres électroniques sécurisés). La "création d'un traitement de données à caractère personnel commun aux passeports et aux cartes d'identité" devrait rassembler de multiples informations : empreintes digitales, couleur des yeux, image numérisée du visage, taille...

    Objectifs : "Prévenir et détecter la falsification et la contrefaçon de ces documents", explique le gouvernement. Ces données seront conservées 15 ans pour un passeport et 20 ans pour une carte nationale d'identité (10 et 15 ans pour un mineur). Environ 60 millions de Français sont concernés par le fichier TES.

    Mais du côté des opposants, on préfère parler de "mégafichier" voir de "monstre" ! Egalement réservée, l'Association des archivistes français (AAF) "s'interroge sur les options technique retenues et réclame l'ouverture d'une concertation pour concilier sécurité et traçabilité de l'action administrative et protection des données personnelles des citoyens".

    Habitués à conserver des documents contenant des données personnelles, les archivistes sont donc "particulièrement sensibles et attentifs aux conditions de collecte, de conservation et d'utilisation des informations à caractère personnel, dans le respect de la vie privée des citoyens", souligne l'AAF. De leur côté, la Cnil et le Conseil national du numérique ont apporté des propositions techniques alternatives pour améliorer la sécurité des titres d'identité et assurer la protection des données personnelles des citoyens. 

    Ces critiques semblent avoir été entendues par le gouvernement. Bernard Cazeneuve et Axelle Lemaire ont annoncé le 10 novembre dernier une évolution du fichier : le versement des empreintes digitales du demandeur d'une carte nationale d'identité dans une base de donnée sera soumis à son "consentement exprès et éclairé". Concrètement, le refus de ce transfèrement d'empreintes digitales n'empêchera pas la délivrance d'une carte d'identité. Pas sûr que cela ne convainque les associations. Pas sûr non plus que les polémiques liées au traitement des données personnelles ne soient éteintes un jour.


    + repère

    La Cnil adresse une mise en demeure à Cdiscount et épingle le Parti socialiste

    Le ton du communiqué est impitoyable : "La formation restreinte de la Cnil a prononcé un avertissement public à l'encontre de la société Cdiscount en raison de manquements graves portant notamment sur la sécurité des données. Par ailleurs, la Présidente de la Cnil a mis en demeure la société pour de nombreux autres manquements constatés lors de contrôles".

    Depuis 2015, le distributeur a fait l'objet de 80 plaintes relatives, entre autres, à des défaillances techniques ayant entraîné la divulgation de données à des tiers non autorisés. Cdiscount se voit reprocher une inquiétante série de manquements notamment la conservation en base de données de plusieurs millions de comptes d'anciens clients et prospects sans aucune suppression ni limitation de durée. Autre grief : la conservation de plus de 4 000 données bancaires associées pour certaines à des cryptogrammes visuels, de manière non sécurisée... Les contrôles de la Cnil ont également mis en lumière des "commentaires non pertinents" du type "client avec maladie chronique" ou bien "client raciste"... sans oublier l'absence de consentement des personnes à la conservation de leurs données bancaires.

    Pour sa défense, le distributeur fait valoir qu'aucune faille de sécurité n'a été relevée dans ses systèmes. Et assure que ces pratique "demeurent isolées et sont contraires aux valeurs de Cdiscount qui les juge inadmissibles". Cdiscount dispose de trois mois renouvelables une fois pour se conformer à la loi.


    + repère

    Nom, prénom et montant de la cotisation au PS

    La Cnil a également épinglé le Parti socialiste : "Les contrôleurs de la Cnil ont pu accéder librement, par la saisie d'une URL, à la plateforme de suivi des primo-adhésions au Parti socialiste effectués en ligne. Ils ont notamment pu prendre connaissance des éléments suivants : nom, prénom, adresses électronique et postale, numéros de téléphone fixe et mobile, date de naissance, moyen de paiement et montant de la cotisation de certains adhérents". Ce contrôle a permis de constater que le PS conservait des données personnelles sans limitation de durée. C'est le cas de demandes d'adhésion de 2010 "qui auraient dû a minima être stockées en archive". 

    En raison du caractère particulièrement sensible des données à caractère politique, la Cnil a décidé de rendre public son avertissement lancé au Parti socialiste. 

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !

    La sensibilité aux problématiques des données personnelles s’est aujourd’hui généralisée : maîtrise de sa réputation, protection de sa vie privée, propriété sur ses propres données. Mais un nouveau règlement européen vient d'être pris. + Numéro 300 ! Pour fêter cet événement, Archimag vous livre ses secrets de fabrication et dévoile les coulisses de la rédaction !
    Acheter ce numéro  ou  Abonnez-vous

    À lire sur Archimag

    Le Mag

    Tout Archimag, à partir de 9,50 €
    tous les mois.

    Le chiffre du jour

    30 000 euros, c'est l'amende infligée par la Cnil à l'OPH de Rennes Métropole

    Recevez l'essentiel de l'actu !