Les questions relatives à la sécurité et la conservation des données au sein des entreprises sont au centre du débat dans la société. Impulsées par l’évolution des technologies de l’information et de la communication, elles jouent désormais un rôle majeur sur la crédibilité et le mode de fonctionnement des entreprises. Ainsi, quelles mesures les entreprises devraient-elles prendre face à cette nouvelle tendance ? Concrètement, quels sont les risques qu’elles courent en cas de défaillance dans la conservation des données ? Quelles sont les bonnes pratiques à mettre en place au niveau interne pour s’assurer de l’implication des tous les employés dans la protection des données ? Eléments de réponse dans cet entretien avec Jules Hervé Yimeumi, diplômé en Droit et technologies du numérique et fondateur de Africa data protection, une plateforme d’information sur la protection des données personnelles en Afrique.
Cio Mag : Quelle approche stratégique les entreprises doivent-elles adopter pour la durée de conservation des données ?
Jules Hervé Yimeumi : Une durée de conservation doit être déterminée par les organismes qui traitent des données personnelles en fonction de l’objectif ayant conduit à la collecte de ces données. Ce principe de conservation limitée des données personnelles est prévu par la plupart des lois africaines. Par exemple, au Sénégal, en vertu de la loi n°2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel, l’expression « limitation de la durée de conservation » signifie qu’un organisme ne peut conserver des données personnelles liées à un traitement automatisé ou non automatisé, de manière illimitée.
En termes de traitement et de durée de conservation, comment les organismes doivent s’y prendre ?
Pour un même traitement, les données personnelles poursuivent des phases successives. Les organismes devraient intégrer le « cycle de vie » de la donnée personnelle dans leurs processus. Ce cycle connaît trois phases : la conservation en base active, l’archivage intermédiaire et l’archivage définitif. La conservation en base active correspond à la durée nécessaire à la réalisation de l’objectif (finalité du traitement) ayant justifié la collecte/enregistrement des données. Par exemple, dans un organisme, les données du système de géolocalisation de ses véhicules seront conservées pendant 2 ans maximum par le service des ressources humaines. L’archivage intermédiaire, lui, correspond aux données personnelles qui ne sont plus utilisées pour atteindre l’objectif fixé (« dossiers clos ») mais présentent encore un intérêt administratif pour l’organisme (ex : gestion d’un éventuel contentieux, etc.). Enfin, l’archivage définitif concerne certaines informations archivées de manière définitive et pérenne. La définition de la durée de conservation relève de l’analyse de conformité que l’organisme doit mener pour son traitement.
Dans certains cas, la durée de conservation est fixée par les lois. Toutefois, pour de nombreux traitements de données, la durée de conservation n’est pas fixée par un texte. Il appartient alors à l’organisme de la déterminer en fonction de la finalité du traitement.
La protection des données a-t-elle un impact sur la réputation des organisations ?
Comme le montrent les exemples de Facebook ou Yahoo!, une fuite de données personnelles à un impact sur la réputation de l’organisme. Qu’il s’agisse des mots de passe des utilisateurs, des courriers électroniques des employés, des cartes bancaires des clients, une faute de gestion des données personnelles peut impacter la vie privée des individus au point de briser parfois des vies entières. La sécurisation des données constitue aujourd’hui un enjeu clef pour les organisations. Ces dernières ont aujourd’hui la responsabilité de garantir à l’ensemble des parties prenantes dont elles détiennent des données qu’elles mettent tout en œuvre pour les sécuriser. Les législations africaines sur la protection des données doivent donc mobiliser les plus hauts dirigeants tant sur l’impact de la réputation de leurs entreprises mais aussi, in fine, sur la gouvernance des données.
Quels sont les risques que court l’entreprise en cas de défaillance en matière de protection de ses données ?
Lorsque des manquements à la loi sur la protection des données sont constatés, les autorités de contrôle peuvent prononcer un rappel à l’ordre, une sanction financière mais aussi une sanction pénale. Cette année, en Angola, à la suite d’une enquête sur la divulgation des données personnelles, via les réseaux sociaux, d’une liste des employés qui avaient été licenciés, l’ « Agencia de Proteção de Dados » (autorité angolaise de protection des données) avait infligé une amende de 525 000 dollars à une banque angolaise. En effet, conformément à la loi n° 22/11 sur la protection des données personnelles, l’autorité angolaise de protection des données avait identifié les violations suivantes : la non-mise en œuvre des mesures techniques et organisationnelles (article 30 et 31) et le non-respect de la confidentialité en ce qui concerne l’accès et la divulgation abusive des données personnelles des employés (article 32).
Quelles sont les bonnes pratiques à mettre en place au niveau interne pour la protection des données ?
La protection des données personnelles nécessite de prendre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Il s’agit notamment de prendre des précautions élémentaires telles que : sensibiliser les collaborateurs aux enjeux en matière de sécurité et de vie privée ; gérer les habilitations en limitant les accès aux seules données dont un utilisateur a besoin ; tracer les accès au système d’information ; gérer les incidents ; sécuriser les postes de travail et les serveurs ; protéger le réseau informatique interne etc.
Comment amener tous les employés d’une entreprise à s’approprier les questions relatives à la protection des données ?
Lorsque les employés ne comprennent pas les menaces liées à sécurité et leur propre rôle dans la protection des systèmes et des données, ils peuvent, par inadvertance ou intentionnellement, prendre des mesures qui compromettent les mesures de sécurité. Les hackeurs peuvent ainsi détourner leurs comptes, ou installer des logiciels malveillants sur les systèmes, par exemple. Le phishing (hameçonnage) est l’une des principales menaces auxquelles peuvent être confrontés les employés d’une organisation, quelle qu’en soit la finalité – détournement de messagerie professionnelle, fraude au président, vol d’identifiants, ou installation d’un logiciel de prise de contrôle à distance. Le phishing est l’un des trois principaux vecteurs d’intrusion préalables à une attaque avec ransomware. Il suffit d’un seul employé mal informé pour déclencher par inadvertance une grave atteinte à la sécurité.
Pour amener les employés à s’approprier le sujet, il est recommandé de diffuser régulièrement des supports d’information faciles à lire, d’organiser des formations en interne et de tester régulièrement les collaborateurs, par exemple avec des campagnes de phishing.
