Faut-il être parano pour faire un bon PIA ?
Par Bruno RASLE, Expert RGPD - Formateur de DPO • 5 septembre 2022 •
Durant onze ans, la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi) a lutté contre le piratage sur Internet : Les fournisseurs d’accès à Internet avaient l'obligation de lui signaler les titulaires d’adresses IP à partir desquelles des faits de mise à disposition d’œuvres protégées étaient constatés (C'est l'Arcom - Autorité de régulation de la communication audiovisuelle et numérique - qui a pris le relais de l’Hadopi.). En 2013, dans le cadre de cette procédure, un fournisseur d’accès a communiqué à Hadopi à 1.531 reprises l’identité de l’un de ses clients. Sur la base de ces éléments, l’autorité a déposé plainte à l’encontre de cet abonné sur le fondement du délit de contrefaçon.
La Police perquisitionne son domicile à plusieurs reprises (sur une durée de deux ans) et saisit ses équipements informatiques. En effet, il a non seulement été mis en cause dans le cadre du dispositif de réponse graduée de la Hadopi mais également à l’occasion de plusieurs enquêtes pénales dont l’une concernait des faits de pédopornographie. L’enquête révélera finalement que cet abonné a été identifié à tort par le fournisseur d’accès à Internet, en raison d’un défaut de conception du logiciel chargé de transmettre à Hadopi de manière automatisée les adresses IP et les identités des clients associés. Dans certains cas, c'était toujours l'identité de ce client totalement innocent qui étaient signalées à Hadopi. Dans sa délibération 2016-053 du 1 mars 2016, la CNIL évoque un « préjudice important » pour la victime.
Si j’avais été DPO de cet opérateur et si j’avais été amené à piloter l’une de mes toutes premières analyses d’impact au sens de l’article 35 du RGPD sur le traitement concerné (le signalement à Hadopi de certains clients), il est fort probable que je serai passé totalement à côté de l’événement redouté mis en lumière par cette malheureuse histoire (volontairement, je n’aborde pas LA question primordiale : qui sait si le responsable de traitement aurait décidé qu’une analyse d’impact devait être réalisée si le RGPD avait alors été applicable ?).
Et même si l’une des parties prenantes au PIA avait évoqué un éventuel défaut logiciel, on imagine facilement les commentaires qu’une telle remarque aurait suscité : « Tu es vraiment parano ! Tu penses bien que tout cela sera vérifié au moment des tests d’intégration et de validation. Au pire, cela sera détecté et corrigé au moment de la recette. ». La note de vraisemblance aurait alors été très basse (négligeable ?) et personne n’aurait imaginé les conséquences pour le client innocent. Et pourtant. Qui dit qu’il n’a pas été obligé de déménager pour échapper aux regards suspicieux de son voisinage ? Son couple a-t-il tenu le coup ? A-t-il pu maintenir son autorité parentale ? Que dire de l’ambiance dans son milieu professionnel si la chose a été portée à la connaissance de sa hiérarchie et de ses collègues ? On peut aller jusqu’à imaginer le pire (Dépression ? Suicide ?) et affecter alors une note de gravité maximale (« Les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter » comme l’indique l’un des guides PIA de la CNIL).
Le PIA est sans doute l’un des leviers les plus puissants au service du DPO
Si l’obligation dans certains cas de réaliser une analyse d’impact (ou PIA, pour Privacy Impact Assessment) est à mon sens l’un des plus formidables leviers à la disposition d’un DPO pour mener son organisme sur le chemin de la conformité1, c’est l’un des exercices les plus complexes et délicats pour lesquels il faut être doté de qualités spécifiques et contradictoires. En effet, dans la phase d’identification des événements redoutés il convient d’être un parfait paranoïaque pour ne pas en oublier, puis reprendre une posture plus posée pour l’étude des mesures de traitement des menaces et l’évaluation des risques résiduels. En sorte, passer avec aisance de Docteur Jekill à Mister Hyde. Je ne me souviens pas, lors de mon entretien d’embauche en tant que DPO, avoir été challengé sur cette facette de ma personnalité.
Ainsi, savez-vous que le 9 octobre 2001, avec le soutien du Pentagone, l'Institute for Creative Technologies de l'Université de Californie du Sud a organisé une série de séminaires avec des scénaristes hollywoodiens ? Moins d’un mois après la tragédie du World Trade Center et du Pentagone, il était demandé à Steven E. De Souza (Die Hard, Piège de Cristal, 58 minutes pour vivre), David Engelbach (série télévisée MacGyver), Joseph Zito (Delta Force One, Invasion USA, Missing in Action) d’imaginer le pire des scénarios d'attaques terroristes et de mettre au point des mesures pour les contrer2.
Il m’a fallu de longs mois et plusieurs PIA menés sur des périmètres très divers, pour forger une méthode qui me convienne, qui ait une chance d’être appliquée avec succès au sein de mon organisme et qui soit susceptible de déboucher sur un « bon » résultat. Quelles étaient mes ambitions et par quelles étapes suis-je passé ?
Mon ambition première était de me saisir du PIA comme un outil puissant au service du DPO. Même si le RGPD indique clairement que sa réalisation repose sur le responsable de traitement, il m’a semblé illusoire de penser que celui-ci se transformerait du jour au lendemain en expert Privacy. Combien de fois les DPO ont-ils du serrer les dents en voyant leur dirigeant préférer écouter les bonnes âmes lui assurer que le projet ne présentait aucun risque et qu’il n’était pas nécessaire de perdre du temps à formaliser une analyse ? J’ai donc préféré prendre le taureau par les cornes dans une phase initiale, le temps de maîtriser le sujet et d’instiller quelques automatismes et bonnes pratiques au sein des parties prenantes. Une fois les objectifs atteints (formaliser une méthode qui convienne à l’organisme, former les acteurs impliqués, réaliser quelques PIA jugées comme pertinentes, habituer le responsable de traitement à l’exercice), le DPO peut alors prendre du champ tout en conservant un œil vigilant. A minima, il doit pouvoir continuer de conseiller au dirigeant la réalisation d’un PIA, de critiquer tout ou partie de l’analyse, d’exprimer son opinion et de vérifier son exécution.
Cette approche par étapes permet d’envisager dans un second temps de confier la réalisation des PIA à un sous-traitant, mais selon votre méthode et sous votre œil aguerri. Bien sûr, il est possible de se faire épauler par un expert externe durant la première phase pour bénéficier des conseils et de son expérience afin de gagner du temps.
Un PIA, à quoi ça sert ?
Pour un DPO débutant qui se lance dans l’exercice, il est crucial de commencer par chercher à répondre à la question primordiale : un PIA, à quoi ça sert ?
Compte-tenu du fait que la réalisation des premières analyses est généralement laborieuse et n’emporte pas spontanément l’adhésion et l’enthousiasme des collègues concernés, il est important de dégager les arguments qui vous permettront de motiver les troupes et de « vendre » les bienfaits de l’exercice (oublions pour un instant qu’il s’agit d’une obligation règlementaire).
Je vous livre ici mon inventaire : c’est un levier, un instrument (pour aller vers la conformité), c’est aussi un processus, c’est un système d’alerte précoce, c’est un « outil de démonstration » (d’Accountability), il permet de limiter réellement au strict minimum les risques pour les personnes, il amène les collègues à prendre conscience des impacts potentiels de leur projet – et donc de leurs choix -, il entraîne les collègues à intégrer de « bonnes » habitudes pour leurs futurs projets, il permet de révéler d’éventuelles insuffisances au niveau de la communication interne, il génère du débat, une compréhension partagée, il crée du commun, il améliore la prise de décision (par les parties prenantes, par le responsable de traitement), c’est un moyen tangible d’affirmer les valeurs de l’organisme, c’est l’indicateur concret d’une diligence raisonnable, il donne du poids au plan d’action (pour que les mesures de traitement des risques soient réellement mises en œuvre), c’est un facteur de réduction des coûts (en limitant les temps de gestion d’un éventuel événement redouté qui se serait réalisé, avec à la clé des frais juridiques, des difficultés publiques et médiatiques, voire une mise en demeure ou une sanction de la CNIL).
Il permet aussi de faire prendre conscience au Responsable de traitement de ses responsabilités (en termes de conformité) et du travail réalisé (piloté) par le DPO, il permet de soutenir une demande de moyens supplémentaires (pour le projet, pour le DPO), surtout si les moyens prévus ne permettent pas de mettre en œuvre toutes les mesures qui permettent de passer « sous le radar » de l’article 36 du RGPD, il donne confiance aux personnes concernées et à leurs représentants (par exemple le CSE s’il s’agit d’un traitement Ressources Humaines) en leur montrant le soin accordé à la conformité (seulement si elles ont été consultées et/ou si une synthèse du PIA est publiée), il permet de documenter les choix faits (ainsi que les non-choix) en constituant une base documentaire de qualité qui pourrait s’avérer utile dans le futur (aux auteurs du PIA, au DPO suivant). Enfin, cerise sur le gâteau, en décidant de faire un PIA sur le conseil avisé de son DPO, le responsable de traitement montre à ses employés et à ses sous-traitants qu’il attend d’eux qu’ils prennent la vie privée des personnes concernées au sérieux, bref de créer un « sens des responsabilité » pour faire bien et bien du premier coup (en cela, le PIA rejoint les objectifs Qualité).
Un PIA « alibi » ou un « bon » PIA ?
Je dois avouer que la plupart des PIA qu’il m’a été donné de lire me sont tombés des mains. Alors que l’humain devrait être au centre de l’exercice, je ne vois souvent que tableaux Excel de lecture fastidieuse, matrices cabalistiques, analyses désincarnées donnant l’impression que les seuls risques sont ceux liés aux cyber-attaquants, jargon technique réservé à une élite, événements redoutés omis, risques sous-estimés, efficacité des mesures surestimée, vision biaisée et volontairement optimiste pour échapper à l’obligation de consulter la CNIL au titre de l’article 36 du RGPD… Comment imaginer qu’un dirigeant puisse comprendre ce qu’on lui soumet pour signature, lui qui porte les risques résiduels ?
Un bon PIA doit donc éviter tous ces écueils. Je me suis donné comme objectif de produire des PIA passionnants, qui commencent par « Il était une fois » et que le dirigeant a envie de dévorer jusqu’au « Et ils eurent de nombreux enfants » final. Quelle fierté partagée avec tous les collègues qui ont pris part à l’exercice de voir revenir du bureau du Directeur général un parapheur dans lequel l’analyse est annotée jusqu’à la dernière page et de découvrir en marge du texte des « Il n’est pas question de laisser faire cela ! Veiller à l’application prioritaire de la mesure ». Naturellement, pour les dirigeants pressés, il faut toujours commencer par introduire son PIA par une synthèse managériale.
Je veille également à tirer le maximum de la boucle de rétroaction entre les violations de données et les PIA. En effet, à chaque incident, le réflexe ne devrait-il pas être de relire l’analyse d’impact (mais y-en-a-t-il eu une ?) pour vérifier si l’événement qui vient de se produire figure bien dans la liste de ceux qui étaient redoutés et, si oui, pour comprendre pourquoi la mesure de traitement du risque n’a pas été efficace. Cela permet également d’évaluer plus rapidement les impacts pour les victimes de la violation, puisqu’ils sont censés avoir été déterminés lors de l’analyse d’impact. Les retours sur expériences menés après chaque violation de données débouchent souvent sur des mises à jour des PIA réalisés et facilitent la conception des nouveaux PIA (en évitant d’oublier des événements, en facilitant l’évaluation de la vraisemblance et en jugeant mieux de ce que l’on peut espérer réellement des mesures de protection).
En conclusion, je reste persuadé qu’avec le traitement des violations de données, la réalisation des PIA est le plus beau cadeau que le RGPD pouvait faire aux DPO. Face à tant de bénéfices apportés par l’exercice et même si une éventuelle prochaine version du RGPD devait retirer l’obligation dans certains cas de faire un PIA, il est probable que l’exercice demeure en tant que bonne pratique pour tout professionnel de la Privacy !
(1) Voir le chapitre 4.2. des lignes directrices du G29 sur le DPO, intitulé « Rôle du DPD dans les analyses d’impact relatives à la protection des données »
(2) « Hollywood au service de l'armée américaine - Des spécialistes en films-catastrophe imaginent des attaques terroristes » par Thierry Jobin, publié le 12 octobre 2001 dans Le Temps.
Formation animée par B. Rasle en relation avec cet article :
