Tout a commencé il y a fort fort longtemps, avec le projet SAFARI (SystèmeAutomatisé pour les Fichiers Administratifs et le Répertoire des Individus) au début des années 70. L’objectif de l’Etat français était de collecter des données sur tous ses citoyens et d’interconnecter les administrations entre-elles.
«Que nenni!» ont dit les français, suite à un article paru dans Le Monde («SAFARI, ou la chasse aux Français») en 1974.
Les enjeux de liberté publique étaient grands. Il fallait mettre en place des règles de protection garantissant qu’une administration ne fichait pas des pathologies, des ethnies, des religions... et ne mixe ses données entre-elles. Des libertés fondamentales comme la liberté du culte par exemple, pouvaient être menacées.
Le gouvernement a dû prendre des décisions: exit SAFARI, transformé en RNIPP (Répertoire National d’Identification des Personnes Physiques) et publication rapport du Conseiller d’Etat Bernard TRICOT qui mènera à la création de la première autorité administrative indépendantede la France – la CNIL – et à la publication de la loi informatique et libertés le 6 janvier 1978.
La CNIL avait alors, dès sa création, la mission de veiller à ce que «"l’informatique ne porte atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques".
D’autres textes sont venus compléter la protection des personnes physiques, tant au niveau national qu’européen : notamment la directive européenne de 1995, transposée en droit français par la loi du 6/08/2004, qui modifie alors la loi informatique et libertés.
Le RGPD, en 2016, abroge cette directive et modifie surtout le système de gestion de la conformité.
Aujourd’hui c’est du RGPD dont on parle beaucoup, dont on s’inquiète. Mais nous avons tendance à oublier que les principes fondamentaux de la protection des données personnelles étaient déjà bien présents en France, et qu’ils devaient déjà être respectés sous peine de sanction.
Mais alors… qu’est-ce qui a changé ? Pourquoi tant d’engouement et d’inquiétude ?
C’est que désormais, nous sommes RESPONSABLES.
Auparavant, tout le système de gestion de la conformité reposait sur des déclarations à la CNIL, des avis ou des autorisations. Nous envoyions toutes nos informations à cet organe de contrôle et ensuite... nous étions rassurés d’avoir fait notre devoir, sans pour autant nous poser la question de la sécurité de nos données au début des projets.
Aujourd’hui, disais-je, nous sommes responsables. De nos traitements. De leur sécurité. Sans attendre qu’un organe de contrôle ne nous dise « il faut revoir votre projet, les conditions de sécurité ne sont pas suffisantes ».
Les termes clés du RGPD :
PRIVACY BY DESIGN1: nous devons penser sécurité dès la phase de conception de nos projets, l’intégrer dès le départ, ce qui implique de former nos chefs de projets.
Et PRIVACY BY DEFAULT2: les systèmes, les applications que nous développons doivent par essence protéger les données personnelles et permettre aux utilisateurs finaux de verrouiller les paramètres qu’il souhaite (comme la géolocalisation3par exemple).
Désormais, nous devons gérer notre conformité, rédiger nos procédures, valider nos choix, être transparents, et démontrer notre respect de la réglementation. C’est ce que l’on appelle le principe d’Accountability4.
En cela, nous devenons plus matures.
Le RGPD nous grandit !
Avec la montée du nombre de cyberattaques, il est important que les entreprises puissent savoir si elles sont bien protégées, et sinon, comment le...
La mise au point d'une offre SD WAN reposant sur l'offre de la société CLAVISTER est un élément fondamental pour faciliter la connexion des...
La solution de sauvegarde VEEAM Cloud Connect permet de stocker ses données en externe tout en pouvant les restaurer très rapidement en cas de perte.