Le RGPD et le bon sens imposent aux organisations de mettre en place des mesures techniques et organisationnelles adaptées afin de garantir la sécurité des données personnelles.

Pare-feu, VPN, authentification multifacteur, gestion des habilitations, chiffrement, journalisation des accès ou encore sauvegardes régulières constituent aujourd'hui des mesures largement reconnues et recommandées.

Pour autant, une idée reçue persiste : plus une mesure de sécurité sophistiquée, plus elle garantirait la conformité de l'entreprise.

Or ce n'est pas ce que prévoit le RGPD.

L'article 32 impose la mise en place de mesures de sécurité appropriées au regard des risques. Le principe n'est donc pas de mettre en œuvre la sécurité maximale à n'importe quel prix, mais de choisir les mesures les plus adaptées au contexte, aux risques identifiés et aux données traitées.

Et c'est précisément là que certaines organisations commettent parfois des erreurs.

Jusqu'où peut-on aller pour sécuriser les données ?

• L'installation d'un dispositif biométrique pour accéder à des bureaux classiques alors qu'un badge ou un code d'accès permettrait d'atteindre le même objectif.

• L'inspection systématique de l'ensemble des flux HTTPS des salariés.

• L'exigence imposée par votre client de transmettre une copie de la pièce d'identité de vos collaborateurs afin de leur créer un accès à un portail ou à un intranet.

• Ou encore la mise en place d'un système de lecture automatique des plaques d'immatriculation impliquant la collecte préalable des numéros d'immatriculation de l'ensemble des véhicules personnels susceptibles d'être utilisés par les salariés pour se rendre sur leur lieu de travail.

Dans chacun de ces cas, l'objectif poursuivi est généralement légitime : sécuriser un accès, protéger un système d'information ou contrôler l'accès à un site.

Mais la question est la suivante : les données collectées et les moyens mis en œuvre sont-ils réellement nécessaires pour atteindre cet objectif ?

La proportionnalité : le principe souvent oublié

Le RGPD ne demande pas uniquement de protéger les données.

Il impose également de respecter plusieurs principes fondamentaux, parmi lesquels :

• la minimisation des données ;

• la limitation des finalités ;

• la proportionnalité des traitements ;

• la protection des droits et libertés des personnes concernées.

Une mesure de sécurité qui nécessite la collecte de données particulièrement sensibles ou intrusives doit donc pouvoir être justifiée par un besoin réel et démontrable.

Autrement dit, le fait qu'une mesure améliore la sécurité ne suffit pas à la considérer automatiquement conforme.

Certaines mesures méritent une analyse approfondie

Plus une mesure est intrusive, plus il devient nécessaire d'évaluer précisément ses impacts avant sa mise en œuvre.

Avant le déploiement de telles mesures de sécurité, plusieurs questions devraient être posées :

• l'objectif poursuivi peut-il être atteint par une mesure moins intrusive ?

• quelles données supplémentaires seront collectées ?

• quels nouveaux risques sont créés ?

• quels impacts pour les personnes concernées ?

• les bénéfices attendus sont-ils réellement proportionnés aux atteintes potentielles à la vie privée ?

Dans certains cas, une analyse de risques approfondie, voire une analyse d'impact relative à la protection des données (AIPD), pourra être nécessaire afin d'évaluer la conformité et la pertinence du dispositif envisagé.

Protéger les données sans créer de nouveaux risques

Une mesure de sécurité mal calibrée peut parfois produire l'effet inverse de celui recherché.

En cherchant à renforcer la protection des données ou du système d'information, une organisation peut se retrouver à collecter davantage de données personnelles qu'elle n'en protège, à accroître les risques pesant sur les personnes concernées ou à mettre en œuvre un traitement difficilement justifiable au regard des principes du RGPD.

La véritable question n'est donc pas de savoir quelle est la mesure la plus sécurisante. La question est de savoir quelle est la mesure la plus adaptée au regard des risques, des finalités poursuivies et des droits des personnes concernées.