British Chamber of Commerce in Belgium
Transcription
British Chamber of Commerce in Belgium
Chambre de commerce britannique en Belgique Comité sur les TIC 1 – Table ronde du petit-déjeuner: «Prévention de la perte de données – Les données sensibles quittent-elles votre organisation?» Bruxelles, le 9 mars 2010 _____________________________________________________________________ «Renforcer la protection des données: défis et opportunités» Peter Hustinx Contrôleur européen de la protection des données Mesdames et Messieurs, C'est avec grand plaisir que je prends la parole lors de cette table-ronde autour d'un petit-déjeuner matinal. Je suis partisan d'une prise en main précoce qui conduit souvent à de meilleures solutions. C'est essentiellement la raison pour laquelle j'aimerais avoir une approche proactive sur les questions de protection des données. Le thème de ce jour est un bon exemple: quelles mesures peut-on et doit-on prendre pour améliorer la gestion des données dans les organisations? The Economist a publié la semaine dernière un rapport spécial intéressant: il couvrait les divers aspects de ce que l'on a appelé «le déluge de données». Voici une citation de l'article principal (page 11): «Le déluge de données peut avoir un impact positif – si les consommateurs, les sociétés et les gouvernements choisissent le bon moment où il est opportun de restreindre le flux de données, et celui où il faut, au contraire, l'encourager». 1 Technologies de l'information et de la communication (TIC) «Mais le déluge de données est également un facteur de risques. Nous ne manquons pas d'exemples sur le vol de bases de données: disparition de disques remplis de données sur la sécurité sociale, oubli d'ordinateurs portables contenant des dossiers fiscaux dans des taxis, vol de numéros de cartes de crédit sur les sites de détaillants en ligne. Il en résulte des violations de la vie privée, des vols d'identité et des fraudes à l'identité». «Paradoxalement, la meilleure façon de traiter les inconvénients de ce déluge de données consiste à rendre les informations disponibles de façon appropriée, en exigeant une plus grande transparence et ce, dans plusieurs domaines. En premier lieu, les utilisateurs devraient avoir davantage accès aux informations qui les concernent ainsi qu'à leur contrôle, y compris l'accès aux personnes avec lesquelles ils les partagent. (…….) Deuxièmement, les organisations devraient avoir l'obligation de divulguer des renseignements sur les violations de la vie privée, comme c'est déjà le cas dans certaines parties du monde, afin d'encourager les décideurs à prendre plus au sérieux la sécurité des informations. Troisièmement, les organisations devraient être soumises à un audit de sécurité annuel, avec publication des résultats (……). Les sociétés seraient ainsi incitées à mettre à jour leurs mesures de sécurité». Cet article est intéressant à plusieurs titres: il décrit un problème croissant en quelques termes qui parleront à beaucoup et suggère trois éléments de solution qui reposent sur plus de transparence. Le premier – donner plus d'accès aux utilisateurs – est fondé sur le cadre juridique actuel pour la protection des données. Le second – divulgation des violations de la vie privée – a été récemment adopté en principe et sera prochainement développé plus en détail. Le troisième – audits de sécurité annuels et publication des résultats – pourrait très bien faire partie des dispositions futures visant à une meilleure obligation de rendre compte dans ce domaine. Dépendance TIC Prenons du recul et regardons ces questions d'un point de vue général; les technologies de l'information et des communications (TIC) sont de plus en plus omniprésentes et nos sociétés dépendent de plus en plus de leur utilisation généralisée et de leur fonctionnement correct. Les avantages sont énormes, mais il y a également des revers considérables et ces derniers sont récemment devenus plus visibles. Parmi eux, on note une vulnérabilité accrue de nos sociétés aux problèmes liés à ces technologies et à leur impact sur nos vies personnelles et notre bien-être social. 2 Certains y voient l'émergence d'une «société de surveillance» où les individus sont observés de façon permanente et évalués par des outils technologiques. On peut se demander si une «société de surveillance» est un phénomène à éviter ou – dans le cas où elle existe déjà – à prendre en compte. Dans les deux cas, la protection des données devient de plus en plus pertinente au lieu du contraire. Il semble approprié de mentionner ici le discours récent de Hillary Clinton sur la nécessité de garantir que la façon dont l'internet – et la société de l'information dans son ensemble – fonctionne est en accord avec nos valeurs de base. Notre intérêt est donc de garantir que la protection des données devienne en pratique de plus en plus efficace, que les personnes concernées soient mieux habilitées à réagir, et que nous assistions à une meilleure «gouvernance des données». En bref: la façon dont nous avons jusqu'à présent géré ces questions en tant que société n'est plus désormais assez bonne pour les défis qui nous attendent. Les sondages d'opinion, Eurobaromètre 2008 par exemple, confirment cette conclusion: 64 % en moyenne des citoyens de l'UE sont préoccupés ou très préoccupés par la protection de leurs données personnelles. Dans certains pays, comme l'Allemagne et l'Autriche, ce pourcentage est encore plus élevé et avoisine 90 %. 48 % seulement des citoyens de l'UE pensent que leurs données sont correctement protégées. Une large majorité (77 %) pense que la raison en est aussi une prise de conscience limitée de ces aspects. Le point de vue des organisations a nettement évolué depuis les années 1990. Une très large majorité (91 %) pense désormais que les conditions d'une loi sur la protection des données sont nécessaires et utiles, mais une majorité (63 %) pense que des améliorations sont nécessaires dans la mise en œuvre de ces conditions. Violation des données Une partie importante de cette question concerne le problème de la violation des données ou de la sécurité, qui est essentiel dans cette réunion. Certains se demandent si le nombre de violations augmente ou tout simplement si celles-ci deviennent plus visibles. Selon moi, les deux affirmations sont sans doute vraies. Au Royaume-Uni, cette question de la violation des données est devenue un problème très embarrassant avec plus de 300 cas graves de violation de données signalé chaque année, dans tous les secteurs, à la fois publics et privés. Il y a eu également de sérieux scandales en Allemagne et dans d'autres états membres de l'UE. 3 J'ai le sentiment que nous sommes en présence d'un problème structurel d'une société de l'information, auquel il faut s'attaquer de façon urgente. Il faut améliorer l'obligation de rendre compte de l'e-Environnement. Si nous n'agissons pas correctement, ce problème risque de nuire gravement à la confiance dans ce nouveau monde et ses interfaces avec la e-Health, le e-Government, etc. Des termes tels que «gouvernance des données» et «obligation de rendre compte» aident à souligner qu'il ne s'agit pas uniquement d'une affaire de conformité aux règles juridiques mais que cela va bien au-delà de ce qu'un service juridique, quel qu'il soit, peut gérer. Il ne suffit pas non plus d'améliorer les TIC ou la formation du personnel. C'est uniquement lorsque tous ces éléments seront pris ensemble et considérés comme un tout qu'il sera possible de développer une approche efficace. C'est le constat qui émerge clairement de toutes les preuves en cas de violation de données. La gouvernance des données et l'obligation de rendre compte sont des problèmes essentiels qui doivent être traités comme des questions stratégiques au niveau du Conseil. Opportunités À ce stade, permettez-moi de mentionner qu'il existe également des opportunités intéressantes qui pourraient être utilisées efficacement. L'une d'entre elles est l'entrée en vigueur du Traité de Lisbonne fin 2009, qui a accentué la question des droits fondamentaux – et entre autres de la protection des données et de la vie privée – dans les prises de décision de l'UE. Le Traité de Lisbonne a également introduit une base juridique qui permet une approche plus horizontale et plus cohérente de la protection des données dans tous les différents secteurs. Cette entrée en vigueur a coïncidé avec une consultation publique par la Commission européenne qui visait à comprendre comment le cadre juridique de la protection des données pourrait répondre au mieux aux défis de la globalisation et des changements technologiques. Vous trouverez la plupart des réactions à cette consultation sur le site de la Commission. Il en ressort essentiellement qu'il faut rendre les principes actuels sur la protection des données plus efficaces en pratique. En troisième lieu, la nouvelle Commission portera toute son attention sur le citoyen et ceci concernera également son agenda numérique ainsi que d'autres « e-initiatives ». Mme Reding qui, comme vous le savez, est le Commissaire responsable de la Justice, des Droits fondamentaux et de la Citoyenneté, a fait de la protection des données sa 4 priorité essentielle. Mme Kroes, qui lui succède à la Société de l'information, se penchera également sur le volet de la «confiance dans les TIC». Bien sûr, des évolutions récentes au Parlement ont souligné de façon différente l'importance de porter une attention adéquate aux questions de protection des données. Tendances pertinentes Dans ce contexte, je m'attends à l'avènement de certaines initiatives prépondérantes qui iront dans le sens de mesures de protection des données plus horizontales et plus globales. Les distinctions entre les précédents «premier» et «troisième» piliers sont devenues beaucoup moins pertinentes qu'auparavant. Quoi qu'il en soit, un cadre commun de principes, plus ou moins les mêmes principes que nous avons à l'heure actuelle, mais avec une mise en œuvre plus efficace, s'avère nécessaire. Le nouvel élément sera probablement un recadrage sur les garanties technologiques permettant d'assurer la conformité à la protection des données. La «prise en compte du respect de la vie privée dès la conception»2 sera probablement introduite comme un nouveau principe, non seulement applicable aux responsables du traitement, mais aussi aux fournisseurs et aux développeurs. Les paramètres du concept de «prise en compte du respect de la vie privée dès la conception» seront également applicables dans des domaines spécifiques tels que les applications d'identification par radiofréquence (RFID), les sites de réseaux sociaux ou l'informatique en nuages. Autre élément nouveau, les responsables devront disposer de plus de contrôle sur les systèmes dont ils sont responsables. Le principe «d'obligation de prise en compte» signifie qu'ils doivent non seulement assurer la conformité aux règles et principes de protection des données mais aussi démontrer qu'ils ont pris les mesures nécessaires pour garantir cette conformité. Il faudra prouver le respect de cette obligation et développer tous sortes de services d'assurance, y compris des évaluations des facteurs relatifs à la vie privée, des audits sur la vie privée, etc. L'introduction d'une disposition générale sur les notifications de violation de sécurité, comme cela a déjà été annoncé par la Commission, n'est de ce point de vue qu'un 2 Le concept de "Privacy by Design" 5 exemple d'une incitation «a posteriori» à une meilleure sécurité des données et par conséquent à une meilleure obligation de rendre compte. Le terme «incitation» revêt une grande importance. Nous devons attribuer des «incitations» à une protection plus efficace des données de façon à ce qu'une conformité régulière soit plus atteignable en pratique. Nous devons également renforcer les autres acteurs principaux. Les personnes concernées devraient pouvoir exercer leurs droits plus facilement et plus efficacement. Il faut attribuer aux autorités de protection des données des pouvoirs de mise en application plus solides; elles doivent être capables de définir des priorités et d'opérer de meilleurs choix pour être plus efficaces dans leurs tâches de supervision et de mise en application. Remarques de clôture Permettez-moi de récapituler brièvement quelques points fondamentaux. - Premièrement: la pertinence de la protection des données et de la vie privée s'accroît – et non le contraire comme certains acteurs continuent à le prétendre sur l'internet. Au niveau de l'UE, il est très clair que la vie privée est devenue un «sujet brûlant». - Deuxièmement: la vie privée et la sécurité doivent être prises en compte et élaborées à partir de processus pertinents afin de garantir les meilleurs résultats possibles et d'éviter des changements de dernière minute. En d'autres termes: la «prise en compte du respect de la vie privée dès la conception», c'est aussi une bonne pratique et une politique intelligente. - Troisièmement: de bonnes règles juridiques sont nécessaires mais pas suffisantes. Il faut toujours mettre l'accent sur une protection efficace des données en pratique. Enfin: des défis importants nous attendent, mais nous avons aussi des opportunités très importantes à ne pas laisser passer. Si nous les utilisons bien, nous pouvons faire face aux défis et rendre la protection des données suffisamment efficace pour garantir la confiance dans la société de l'information. Merci beaucoup. 6