samedi 21 septembre 2019    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


Le souffle européen de la directive

Mais le souffle européen de la directive ne s’arrête pas là : droit européen il doit y avoir, droit européen il y aura. Il est en effet impensable que, dans un ensemble des démocraties parmi les plus avancées de la planète, il n’y ait pas de protection des données personnelles dignes de ce nom. En témoignent aussi les articles suivants de la directive 95/46/CE qui énoncent que : « [Le Parlement Européen et le Conseil de l’Europe]…[, considérant que l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et des libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la Convention Européenne de sauvegarde des droits de l’Homme, et des libertés fondamentales, et dans les principes généraux du droit communautaire ; que, pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection des données qu’elles assurent, mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la communauté. » Le principe est posé du respect de la protection des données personnelles par l’Europe, les instances communautaires, et les Etats membres. Qu’en est-il dans les faits ?

Certes, les textes ne sont pas parfaits, et peuvent être améliorés selon la sensibilité que possèdent les Etats membres sur un point particulier : Florence Raynal, chef du service des affaires européennes et internationales de la Cnil, déplore ainsi que, dans le cadre du futur Règlement européen, « le critère de l’établissement principal retenu pour déterminer l’autorité compétente aura pour effet d’éloigner le citoyen de son autorité nationale naturelle et de créer du “data dumping” en fonction des capacités effectives des autorités et de leur interprétation plus ou moins contraignante du règlement. Par ailleurs, ce critère n’épouse pas nécessairement toutes les structures d’entreprises notamment en vertu du principe d’indépendance des filiales et ne sera donc pas concrètement applicable pour les entreprises », précise- t-elle. Donnons un exemple : pour Google, dont on connaît la philosophie concernant la protection des données personnelles, dans un pays plus laxiste que la France en matière de droits des données personnelles, ce seront les règles de l’Autorité de ce pays qui s’appliqueront.

Florence Raynal partage la nécessité de réformer le cadre législatif : l’essor du numérique, la perte de maîtrise des données personnelles par les citoyens, la qualité d’actifs financiers que sont devenues les données personnelles en particulier pour les opérateurs de l’Internet , nécessitent d’instaurer un cadre de plus grande confiance dans la protection des données personnelles.

Telle a été en tous cas la volonté de la Commission Européenne (cf. interview de Mina Andreeva, porte-parole à la Commission Européenne pour la Justice, les Droits Fondamentaux et la Citoyenneté), sur la protection des données personnelles. Le texte du règlement est un véritable schéma directeur qui couvre les aspects liés à la protection des données personnelles. L’Europe, notamment l’Allemagne, (NDLR : qui a rendu le CIL obligatoire pour les entreprises de plus de 50 salariés), est en pointe dans ce domaine. Il s’agit véritablement, pour les entreprises, de se mettre en conformité, selon le concept d’« accountability », (cf. p. 29 la chronique juridique d’Eric Caprioli et Isabelle Cantero). Mais la situation diffère selon les pays de l’Union Européenne (cf. carte des CIL). « L’autorité espagnole est une des autorités les plus actives notamment en matière de contrôle et reconnue au niveau européen et mondial pour ses actions et son expertise », précise Florence Raynal.

Le futur règlement européen imposera au responsable du traitement de déclarer dans les 24h une faille de sécurité, faute de quoi les sanctions dissuasives (1 000 000 d’euros ou 2 % du chiffre d’affaires mondial de l’entreprise concernée) pourront être prélevées en guise d’amendes.

Une organisation internationale pour la protection des données personnelles

Quatre autorités de quatre pays européens (l’Association Française des Correspondants à la Protection des Données à Caractère Personnel (AFCDP) pour la France, la Gesellschaft für Datenschutz und DatenSicherheit (GDD) pour l’Allemagne, la Nederlands Genootschap van Functionarrissen vor de Gegenvensbescherming pour les Pays-Bas, l’Asociacion Profesional Espanola de Privacedad pour l’Espagne) ont créé en septembre 2011 la CEDPO (Confederation of European Data Protection Organisations) , afin de promouvoir le rôle des DPO à l’échelle européenne, et d’aboutir à une meilleure harmonisation des lois et des pratiques membres de l’Union Européenne sur la protection des données personnelles. Ce rapprochement des pays, encore embryonnaire, augure bien d’une future coopération européenne sur ce sujet sensible.

]
Autres Dossiers Protection des données