RGPD : Avez-vous le goût du risque ?

Si vous avez l’esprit d’entreprise, vous avez nécessairement le goût du risque.

Vous consacrez une large partie de votre temps, consciemment ou non, à évaluer les opportunités qui s’offrent à vous et les risques qui y sont intimement liés. Vous vous efforcez de maximiser les opportunités et d’atténuer les risques. Vous êtes responsable de la gestion des risques.

Ce sont les mêmes principes de responsabilité et de gestion des risques qui ont présidé à l’adoption du Règlement général sur la protection des données (RGPD).

« Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement [des données personnelles]. Le risque devrait faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque. » (Considérant 76, RGPD)

La gestion des risques consiste à continuellement identifier et évaluer les risques, et à les réduire à un niveau acceptable pour votre entreprise. Ce niveau de tolérance au risque relève de votre décision, et donc de votre responsabilité. Le RGPD ne vous interdit pas de prendre une décision qui implique des risques pour les données personnelles que vous traitez. Il requiert simplement que vous preniez cette décision de manière éclairée, après avoir analysé les risques et tenté de les atténuer.

En matière de sécurité des données personnelles, les risques (dommages financiers ou commerciaux, atteinte à votre réputation, perte de confiance de vos clients, amendes, …) sont fonction des menaces (concurrents malhonnêtes, clients insatisfaits, employés mécontents, hackers, …) qui exploitent les vulnérabilités de votre entreprise (bugs logiciels, procédures internes déficientes, erreurs humaines, …).

RISQUES = MENACES X VULNÉRABILITÉS

Il y a donc lieu de d’abord bien comprendre les menaces et les vulnérabilités qui affectent votre entreprise. Ensuite, les risques que vous avez identifiés doivent être catégorisés en fonction de leur gravité et de la probabilité de leur survenance. Un risque sérieux mais très improbable ne doit pas obligatoirement vous inquiéter ; A l’inverse, un risque mineur mais qui a une très forte probabilité de se réaliser devrait peut-être vous donner à réfléchir. Tout est cas d’espèce.

Une fois les risques identifiés dans leur gravité et leur probabilité, vous allez tenter de les gérer, en mettant l’accent sur ceux qui présentent les plus hauts degrés de gravité et de probabilité. Les techniques de gestion des risques sont bien connues :
–  atténuer le risque pour en diminuer la fréquence ou la gravité (par exemple en utilisant la        pseudonymisation ou l’anonymisation des données personnelles),
 partager le risque (avec votre assureur ?), ou le transférer (à un sous-traitant ?),
 – accepter le risque (ce qui est très différent de l’ignorer) ; ou
 éviter le risque, ce qui implique en général d’abandonner l’activité génératrice du risque.

Quelle que soit la décision de gestion des risques que vous preniez, elle relève de votre responsabilité. Le RGPD est limpide à cet égard. A l’inverse de la législation antérieure qui prévoyait une intervention plus intensive de l’ex-Commission de Protection de la Vie Privée, le RGPD vise à vous responsabiliser en tant que chef d’entreprise. Par exemple, en cas de violation de données, il vous appartient d’évaluer si cette violation est susceptible d’engendrer un risque pour les personnes dont vous traitez des données personnelles. Si vous concluez qu’il n’y a pas de risque, vous n’avez aucune obligation de notifier l’incident à la nouvelle Autorité de Protection des Données, ni d’ailleurs aux personnes concernées par la fuite de données !

De même, en matière de sécurité du traitement de données, le RGPD stipule que :
« Compte tenu de l’état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement [met] en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. » (article 32.1 RGPD)

Une fois encore, le RGPD ne vous impose aucune mesure précise en matière de sécurité des données. Il vous invite à gérer ce risque et à en prendre la responsabilité.

Au final, ne s’agit-il pas là d’une responsabilité que tout chef d’entreprise à l’habitude d’endosser pour tous les risques qui menacent son entreprise?