TRM et protection des données sensibles

Index de l'article

Statistiquement, en France, l’effectif moyen dans les entreprises de Transport Routier de Marchandises est de 7 personnes. Si les fonctions supports dans les PME et les Grandes Entreprises ne rencontrent guère de problème majeur ni de financement, ni d’effectif, il n’en est pas de même dans les petites entreprises de moins de 20 salariés. Où c’est souvent le conjoint du gérant ou un proche qui tient la comptabilité, la paie, voire même le planning. La protection des intérêts de l’entreprise en matière de protection des données sensibles est souvent le parent pauvre, laissée de côté, faute de temps et de moyens, voire de connaissances techniques. Ce qui suit devrait donc intéresser plus d’un gérant.

L'entreprise de Transport Routier de Machandises (TRM) brasse une multitude de types d'informations différentes

Tout d’abord, quelles sont les données sensibles d’une entreprise de transport :

  • sa comptabilité, qui renferme ses fournisseurs comme ses clients, en plus de l’état de santé de l’entreprise,
  • le stockage des données personnelles des salariés à des fins autant de fonctionnement interne que de relations avec les administrations,
  • sa correspondance avec les diverses administrations,
  • sa correspondance avec ses clients,
  • sa correspondance avec ses fournisseurs et partenaires,

Jusqu’à un passé récent, il était relativement aisé de gérer les deux premiers points sur une machine isolée / dédiée et non connectée à Internet en permanence pour limiter les risques.

Mais ces dernières années, la numérisation des différents services des Administrations change la règle : les logiciels de comptabilité doivent se connecter à Internet pour, à minima, la déclaration mensuelle de TVA.

Comme la protection des données personnelles est un combat qui n’a jamais été livré, ni par les particuliers, ni par les entreprises, ni par le monde associatif, ni par les associations de défense des consommateurs, la faute à une méconnaissance des textes et surtout une incapacité du législateur à pondre des textes applicables au quotidien, tout le monde fait n’importe quoi n’importe comment : clients comme fournisseurs ; patrons comme salariés.

Alors que le premier texte français sur la protection des données personnelles date de 1977 !!

Et que ce texte français (CNIL) a quasiment été transposé à la virgule près dans une loi française, loi 78-17 du 6 janvier 1978. Puis dans la Directive Européenne 95/46/CE, toujours à la virgule près, quasiment  en 1995 !

Le logo de la CNIL 

Donc, pour commencer par le début, c’est quoi une donnée personnelle ?

Une donnée personnelle est impérativement constituée de trois éléments : un couple nom + prénom et une information autre (numérique ou alphanumérique) qui ne peut désigner personne d’autre que le couple nom + prénom pré-mentionné. Exemples de données personnelles :

Nom + Prénom + numéro de Permis de Conduire,

Nom + Prénom + Date de Naissance

Nom + Prénom + adresse complète

Nom + Prénom + numéro de téléphone

Nom + Prénom + numéro de Sécurité Sociale

Nom + Prénom + identifiant du service truc….

Autant dire qu’avant le séisme décrit plus bas 99,9% des entreprises étaient hors la loi puisqu’elles transmettaient ces informations dans tous les sens sans les crypter. Ne faisant aucune différence entre le traitement réservé à leurs salariés et le traitement réservés au client.

Et comme notre vie est un peu plus numérique au fur et à mesure que les années passent, on se mettait de plus en plus danger inconsciemment car à cette époque le seul couple nom + prénom associé à une date de naissance pouvait ouvrir bien des portes numériques pour qui se penchait sur le problème.

Donc maintenant qu’on est conscient du problème, comment fait-on pour adapter nos manières de travailler sans perdre en productivité ?

Si le législateur a travaillé sur le sujet et a produit un texte inapplicable, cela ne signifie pas que son constat de départ était erroné. Loin s’en faut.

Nous avons un peu trop facilement tendance à tout jeter : le diagnostic, comme la solution adoptée par le législateur. Or souvent, c’est la solution qui pêche, pas le constat.

Dans le cas qui nous occupe, la PROTECTION des données personnelles. Et la protection des données personnelles véhiculées sur Internet ne peut être garantie par aucun autre moyen que par le cryptage.

Les données sensibles, personnelles, fiscales, comptables, etc... ne sont protégées que lorsqu'elles sont cryptées

En général, ce seul mot suffit à faire fuir, capituler ou abandonner la gestion du problème par les plus téméraires qui seraient encore entrain de lire ces lignes. Ceux qui se sont essayés à marier Kleopatra, GNUPG et Outlook dans les années qui ont suivies le séisme décrit ci-après savent mieux que personne à quel point on ne voulait pas voir l’utilisateur lambda y arriver.

Heureusement pour la nature humaine, il subsiste ici bas des personnes au tempérament et à l’intégrité suffisamment forte pour créer des électrochocs dans notre société et nous obliger à réagir face à nos propres dérives.

Edward SNOWDEN est l’un de cela. Suite à ses déclarations et à ses agissements courageux, il a obligé les GAFAM à prendre conscience (d’une partie seulement) de leur nocivité pour notre société. La généralisation des certificats SSL qui protègent la confidentialité de la conversation de votre navigateur avec le site Internet que vous êtes entrain de visiter est une lointaine conséquence de ces déclarations. Généralisation d’ailleurs devenue obligatoire pour pouvoir consulter des sites au travers du navigateur Chrome de Google, sous peine de ne pouvoir avoir accès à des sites qui n’ont pas mis en place ces certificats garantissant la confidentialité : initiative non sans ironie, car en matière de nocivité quant à notre vie privée, Google talonne de près le seul F de GAFAM. Et mettre en avant cette obligation n’est elle pas uniquement destinée à nous faire oublier que tous ceux qui utilisent Gmail quotidiennement n’ont pas droit à cette vie privée, que tous ceux qui ont un smartphone Android ne sont pas maîtres des accès au contenu de leur smartphone, etc… Mais ce qui est valable pour le G est valable pour le reste du sigle.

Donc, le cryptage des données pour communiquer par voie électronique est UNE EXIGENCE incontournable uniquement liée au fait que nous utilisons aujourd’hui POUR TOUT faire un système qui n’a pas été pensé au départ pour devenir la colonne vertébrale « gratuite » de notre société. Car il faut bien remettre les choses dans l’ordre. C’est parce que NOUS utilisons un support qui n’a pas été pensé pour cela que nous mettons en péril notre édifice sociétal.