ENQUÊTE Mag-Securs, magazine spécialisé sur la sécurité de l information édité par le Groupe PC Presse, réalise une enquête sur les enjeux de conformité et de sécurité pour les données à caractère personnel que manipulent les entreprises. Cette enquête : s inscrit dans la préparation du futur règlement européen sur la protection des données personnelles ; prend en compte le conflit actuel entre la Cnil et Google ; s intéresse aux dernières recommandations de la CNIL relatives à la gestion des cookies des sites web des entreprises ; essaie de définir ce que ce sont les meilleures solutions de sécurité pour protéger les données à caractère personnel ; s intéresse aux besoins d innovation pour les systèmes d information des entreprises. Les réponses doivent nous parvenir pour le lundi 24 février au plus tard à l adresse suivante : sylvaine.luckx@mag-securs.com. Si vous le souhaitez, elles seront traitées de manière anonyme. Nom Prénom Fonction Société Adresse Téléphone Courriel Accepte d être recontacté dans le cadre de cette enquête : Souhaite que ce questionnaire soit traité de manière anonyme (cochez la case correspondante) 1
I. LE FUTUR RÈGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES PERSONNELLES 1. Connaissez-vous déjà les principales dispositions du futur règlement européen concernant la protection des données personnelles? (cf. chronique juridique de Maître Eric Caprioli dans Mag-Securs n 36)? 2. Dans le cadre de la simplification des procédures voulue par le Règlement, le principe dit du «guichet unique» (une seule autorité de contrôle du pays de l établissement principal du responsable de traitement ou du sous-traitant serait compétente pour contrôler les activités de traitement pour l ensemble des entités, ce qui peut conduire au «forum shopping» -les entreprises seraient tentées de s établir dans le pays où le contrôle est le moins restrictif, et la Cnil se montre réservée sur le sujet, cf.mag-securs n 36-) vous paraît-il une bonne chose?. 2
3. L article 22 du Règlement Européen prévoit notamment d inscrire dans ses fondements le principe d «accountability» obligeant le responsable de traitement à garantir et démontrer sa conformité au Règlement, notamment via la tenue d une documentation spécifique. Cette mesure vous paraît-elle réaliste? 4. Liée à l «accountability», l obligation de réaliser une analyse d impact préalablement à la mise en œuvre de traitement de données vous parait-elle une alternative intéressante à l accomplissement des formalités auprès de la Cnil (obligation actuelle)?. 5. Dans le cadre de ce règlement, la notification des failles de sécurité (violation des données personnelles) aux autorités de régulation dans les 24 heures vous paraît-elle une bonne chose? 3
6. Toujours dans le cadre de ce règlement, l obligation de désigner un Délégué à la Protection des Données (DPO Data Privacy Officer) pour les entreprises d une certaine taille vous parait-elle une bonne chose?. 7. Dans le cadre de la Proposition de Règlement, les conditions relatives à cette désignation vous paraissent-elles pertinentes (secteur public, taille entreprise, «suivi régulier et systématiques des personnes concernées»)? 8. Devrait-il être une profession protégée? 9. A qui, dans l idéal, devrait-il être rattaché? (plusieurs réponses possibles) DSI RSSI Direction juridique DRH Direction des Risques Direction Audit et Conformité Direction Générale 4
10. Si vous êtes Correspondant Informatique et Libertés, à qui êtes-vous rattaché? (plusieurs réponses possibles) DSI RSSI Direction Juridique DRH Direction des Risques Direction Audit et Conformité Direction générale Autre, précisez? 11. Etes-vous RSSI et Correspondant Informatique et Libertés? Commentaires sur ce positionnement 12. Le Règlement prévoir une sanction pouvant aller jusqu à 1 000 000 euros, ou, dans le cadre d une entreprise, 2% du chiffre d affaire annuel mondial en cas de manquement à certaines dispositions du Règlement. Cette sanction vous paraît-elle appropriée à la réalité économique des entreprises?. Plutôt adaptée Trop lourde et peu adaptée au quotidien des entreprises? Ne sait pas Commentaires 5
II. LE CONFLIT ENTRE LA CNIL ET GOOGLE 13. Etes-vous au courant de l affaire qui oppose la Cnil à Google? 14. La sanction prononcée par la Cnil en formation restreinte (150.000 euros d amende) vous paraît-elle adaptée dans le cas de Google? Pourquoi? 15. La Cnil se fonde dans sa décision sur le fait que les données relatives aux utilisateurs de Google en France sont des données à caractère personnel. De même, selon les termes d un communiqué de la Cnil, «elle retient également que, contrairement à ce que soutient la société Google, la loi française s applique aux traitements par celle-ci, des données personnelles des internautes résidant en France», même si, précise la Cnil, «sur le fond, la formation restreinte ne conteste pas la légitimité de l objectif de simplification poursuivi par la société en fusionnant les politiques de confidentialité». Ce jugement vous paraît-il réaliste?. 6
16. En ce qui concerne le droit applicable, et suite à l affaire Google, peut-on obliger un petit éditeur en dehors de l Union Européenne, utilisant une authentification par «Google Apps», à se conformer au droit européen, même si celui-ci est australien? 17. Les conditions générales d utilisation des services gratuites ou les conditions générales de vente des services d un éditeur international doivent-elles avoir un traitement spécifique en France ou dans l Union Européenne par rapport au reste du monde? (cochez la case correspondante ) 18. Comment pourrait-on faciliter simplement le recueil du consentement d un utilisateur pour accéder à un service gratuit en acceptant les conditions générales d utilisation de l éditeur? 7
III. LA RÉGLEMENTATION SUR L UTILISATION DES COOKIES («TRACEURS») PAR LES SITES WEB 19. De manière générale, les recommandations de la Cnil concernant l utilisation des cookies (Art 32-II de la loi du 6 janvier 1978, modifiée par l ordonnance n 2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE) reprenant le principe du consentement préalable de l utilisateur vous parait-il applicable dans le cadre d une politique de simplification de consultation des sites (mécanismes de Single Sign On) adopté par de nombreux sites comme Amazon ou Google pour l identification commune entre différents éditeurs? (l utilisateur s identifie et s authentifie une fois pour toutes et accède ensuite à tous les services (SSO). (Cochez la case correspondante) 20. Les recommandations de la Cnil sur les cookies de vos sites web vous paraissent-elles lisibles? (Cochez la case correspondante) Pourquoi? 21. Vos sites web sont-ils conformes aux recommandations de la Cnil? Pourquoi? 8
22. Si les questions posées sur un site Web sont incompréhensibles pour les utilisateurs, ceux-ci vont-ils être enclins à cliquer sur le bouton «OK», sans réfléchir pour accéder aux services et bénéficier de la prestation proposée. Cela vous parait-il compatible avec les recommandations de la Cnil? (Cochez la case correspondante) 23. Peut-on appliquer les mesures sur la protection des données personnelles à la mesure des trafics de site, comme pour Google Analytics qui permet d analyser finement le trafic d un site web sur de très nombreuses années? (cochez la case correspondante ) 24. Que fait votre entreprise sur ces questions? IV. LES SOLUTIONS DE SÉCURITÉ POUR LES ENTREPRISES 25. En ce qui concerne le chiffrement des données stockées par votre entreprise, ou dans le cloud, faut-il se soucier de l authentification des individus, en plus du chiffrement de leurs données? Précisez la solution 9
26. Les possibilités d authentification forte de type dual factor (authentification à deux facteurs) en SSO pour les services d entreprise (smartphones ou token) protègent-t-elles suffisamment les utilisateurs? 27. Les avez-vous mises en œuvre? 28. Si oui, comment? 29. En ce qui concerne le chiffrement des données échangées via Internet, quel est votre niveau de sécurité : échange clés pour chiffrement asymétrique : RSA 1024, RSA 2048 ou RSA 4096 pour les liens SSL ; chiffrement symétrique AES 128, 192 ou 256 pour le stockage de données ; autres moyens? Précisez les solutions choisies et éventuellement d autres moyens 30. Faut-il se soucier de l authentification, en plus du chiffrement? 10
31. Quelle est votre politique de gestion des certificats d authentification? 32. Comment peut-on garantir à l internaute que ses données personnelles sont traitées à des fins de statistiques en lui garantissant un total anonymat? 33. Doit-on conserver des données de trafic sur de nombreuses années pour l exploitation d un site, de façon anonyme?. V. LA PLACE DE L INNOVATION 34. Peut-on appliquer les mesures sur la protection des données personnelles à la mesure des trafics de site, comme pour Google Analytics? Commentaires 11
35. Peut-on considérer que l utilisateur peut accepter la mise en place de services gratuits sur Internet, quitte à accepter les conditions de ciblage d une régie publicitaire, pour bénéficier d un service de qualité sans rien payer? Commentaires 36. Est-il réaliste d envisager des services gratuits intrusifs et des services payants non intrusifs, au choix de l utilisateur? Commentaires 37. Est-il possible de stocker toutes les données en France et en Europe dans le cadre d une économie mondialisée, pour une entreprise qui se développe avec des clients en Amérique et en Asie? 38. Les temps de latence (délais de transmission) pour des applications industrielles n imposent-elles pas de disposer de centres d hébergement sur toute la planète, et non pas seulement en France? 12
39. L information sur la localisation des données a-t-elle un sens alors que depuis des dizaines d années personne ne se pose la question de savoir si un appel téléphonique entre la France et le Japon passe par les Etats-Unis ou par l Océan Indien? Commentaires 40. Le pouvoir politique doit-il revoir, et redéfinir, le rôle des institutions de régulations (en France et en Europe) pour favoriser le développement de l innovation et de l économie numérique en France et dans l espace économique européen, en modernisant l approche de la protection des données à caractère personnel? Commentaires 13