b) L’entreprise doit identifier et classifier les risques objectifs

Il s’agit alors pour la PME de se demander qui, ou quoi, pourrait être à l’origine des risques dans le contexte particulier du traitement considéré. En l’espèce, les sources de danger peuvent être humaines (accès non-autorisé, hacking, « vol » de données sur un serveur exchange, usurpation d’identité, vol des login et password, etc.), technologiques (faille du logiciel d’analyse des messageries, virus, phishing, etc.), internes, externes si les serveurs de courriels et le logiciel sont hébergés et gérés par un fournisseur cloud, etc.

Il s’agit ensuite d’identifier les modes opératoires pouvant être utilisés, volontairement ou non, par les sources de risque, qui sont en mesure de provoquer des évènements redoutés : perte de données personnelles, intrusion dans l’active directory, détournement de correspondances, captation des pièces jointes, introduction d’un ransomware, etc.

L’identification des risques doit se doubler d’une estimation double : celle de leur gravité, et celle de leur probabilité. La PME doit donc identifier, dans l’AIPD, le taux de risque et donc de qualifier sur une échelle logique, la probabilité de survenance d’un risque (exceptionnel, occasionnel, fréquent, très fréquent), et sa potentielle gravité (faible, significative, importante, majeure).

Est-il possible que la technologie de scan des emails conduise à une divulgation publique des contenus envoyés par les salariés ? Est-il possible que la technologie de contrôle des messageries permette l’analyse des emails « personnels » du salarié, lesquels échappent au contrôle de l’employeur ? Est-il possible qu’un email soit intercepté et modifié dans le cadre d’une fraude ? Des tiers peuvent-ils accéder et lire les emails en se connectant sur tel ou tel tronçon du système d’information permettant l’acheminement des correspondances ?

La PME doit se prononcer, via son responsable informatique et son service juridique ou DPO, sur (i) la gravité du risque encouru, et sur (ii) la probabilité que la faille advienne. Il en résulte des « poids », combinant gravité de l’atteinte aux données et probabilité objective qu’une telle atteinte existe, afin de quantifier le risque et prioriser les mesures de remédiation.

Car en fonction de cette estimation de probabilité, des mesures de remédiation doivent être rappelées ou ajoutées dans l’AIPD, risque par risque : modalités de minimisation des données collectées aux fins de contrôle des messageries, contrôles d’accès logique des serveurs de la plateforme, superviseur 24h/24, restriction d’accès aux seuls administrateurs réseaux habilités munis de badges, traçabilité des logs d’accès à la plateforme, etc.

Le taux de risque peut être évalué soit en termes de pourcentage des flux de l’activité donnant lieu au risque, soit de fréquence temporelle avec laquelle le risque est susceptible d’intervenir, à l’horizon d’un an par exemple.

Cette évaluation dépend des conditions dans lesquels le traitement en cause est mis en œuvre, via un fournisseur cloud ou non, de la configuration du logiciel d’analyse, de la maitrise de l’entreprise sur cette configuration, de l’activité de l’entreprise, et de l’encadrement du comportement des personnes pouvant accéder aux résultats des analyses. En fonction de ces éléments, le taux de risque peut en l’espèce varier d’exceptionnel à très fréquent.

Une fois cette probabilité de survenance évaluée, reste à évaluer le degré d’impact préjudiciable pour les employés si le risque se réalisait, selon l’échelle suivante par exemple :

c) L’entreprise doit estimer les conséquences des risques identifiés

Enfin, s’ensuit l’analyse de l’impact potentiel sur les droits et libertés des personnes physiques faisant l’objet du traitement en cas de survenance de l’évènement redouté. Le DPO et le service juridique reprennent la main, pour mettre en face des risques techniques identifiés et de leur estimation de survenance, les risques encourus par les personnes concernées.

En l’espèce, il s’agit des correspondances électroniques des salariés, comportant de nombreuses données personnelles (identité, fonction dans l’entreprise, hiérarchie, interlocuteurs clients, interlocuteurs prospects, interlocuteurs fournisseurs, demandes de congés, alertes diverses, métadonnées, géolocalisation au moment de l’envoi d’un message, etc.).

L’enjeu est donc important puisqu’il s’agit de correspondances, certes professionnelles, mais qui peuvent aussi avoir un caractère purement privé compte tenu de la jurisprudence qui autorise les salariés à un usage résiduel des messageries professionnelles à des fins privées. Ainsi, les risques pour les personnes concernées sont renchéris du fait qu’ils peuvent voir l’intimité de leur vie privée, et notamment l’identité de leurs proches, révélés en cas de faille de sécurité de la plateforme d’analyse des messages électroniques. On peut aller jusqu’à imaginer les conséquences de la divulgation non autorisée d’un courrier entre un salarié et une relation adultérine.

La jurisprudence est abondante, s’agissant de ce qu’un salarié peut faire ou pas des outils de messageries professionnelles ; il est donc important que le responsable juridique de la PME soit associé à l’identification des conséquences possibles des risques techniques ou organisationnels identifiés, sur les droits, libertés et vies privées des salariés dont les correspondances seront scannées.

Cette estimation des impacts obéit à une classification :

  • Impact faible : même en cas de survenance du risque considéré, les salariés ne seront pas impactés ou pourraient connaître quelques désagréments, par exemple en cas de ralentissement de leur système informatique résultant du logiciel d’analyse, mais aucune atteinte à leurs droits, libertés ou vies privées ;

  • Impact significatif : les salariés pourraient connaître des désagréments significatifs, qu’ils pourront surmonter malgré quelques difficultés, par exemple en cas d’erreur du logiciel d’analyse dans les résultats reportés, qu’il conviendrait de corriger, ou de retard léger à la délivrance d’un email envoyé par un client ;

  • Impact important : les salariés pourraient connaître des conséquences significatives, qu’ils devraient pouvoir surmonter, mais avec de sérieuses difficultés, par exemple en cas d’accès non autorisé ou de procédures disciplinaires initiées en raison des résultats de l’analyse des courriels ;

  • Impact majeur : les salariés pourraient connaître des conséquences significatives, voire irrémédiables, qu’ils pourraient ne pas surmonter, en cas de licenciement consécutif à une analyse erronée par exemple, ou encore en cas de divulgation publique (ou simplement non autorisée au sein de l’entreprise) d’emails privés.

11. Comment procéder à la validation de l’AIPD ?

Le document d’AIPD doit s’achever sur une synthèse relative à la conformité RGPD des traitements considérés, dans leurs aspects juridiques et sécuritaires, en notant les constatations effectuées et en récapitulant les améliorations identifiées.

La combinaison du degré de probabilité de survenance d’une atteinte aux données, et du degré d’impact potentiel sur le salarié, doit conduire l’entreprise à déterminer le « risque brut » du traitement, c’est-à-dire le risque existant avant la mise en œuvre des mesures d’atténuation. Le risque brut sera faible lorsque, par exemple, la probabilité de survenance est exceptionnelle et que l’impact préjudiciable est faible ou significatif, ou lorsque la probabilité est occasionnelle mais l’impact faible. Dans tous les autres cas, l’entreprise fait face à un risque brut significatif, fort ou majeur, qu’il convient d’atténuer par des mesures spécifiques.

Une fois le risque brut évalué, à l’instar des mesures existantes ou initialement prévues, il s‘agit de déterminer l’ensemble des mesures organisationnelles, de sécurité logique, physique ou toute autre mesure technique qu’il est possible de mettre en œuvre de nature à réduire le risque brut.

Une fois les mesures d’atténuation appliquées, leur prise en considération permet une réévaluation du risque, conduisant à la mesure du « risque net », c’est-à-dire le risque brut corrigé des mesures prévues pour l’atténuer. Si son niveau est faible, l’AIPD est considérée comme terminée et le traitement peut être mis en œuvre dans les conditions d’application des mesures définies.

Si le risque net est significatif, majeur ou fort, l’entreprise doit alors (i) concevoir (ou le plus souvent commander auprès d’un prestataire, ou de son fournisseur cloud) des mesures de maîtrise ou d’élimination du risque net plus radicales, voire (ii) modifier les caractéristiques du traitement mentionnées (pouvant aller bien entendu jusqu’à l’abandon de celui-ci, ou au moins de certains de ses aspects, par exemple la collecte de certaines catégories de données qui, bien qu’utiles et nécessaires, exposent les salariés à de trop grands risques d’atteinte à la vie privée ou de traitement discriminant).

Si ces opérations ne permettent pas de parvenir à un risque net très faible ou résiduel, l’AIPD doit l’identifier, et la PME devra alors soumettre le résultat de cette AIPD, telle que menée après déploiement des mesures de renforcement de la sécurité et des arbitrages pris par la Direction Générale, à la CNIL qui rendra son avis dans le cadre de la procédure de consultation préalable conformément à l’article 36 du RGPD. En clair, si un risque irréductible est identifié, la CNIL statuera sur la légalité du traitement, et pourra notamment préconiser des mesures complémentaires de sécurité (chiffrement, anonymisation, etc.), voire préconiser l’abandon pur et simple du projet de traitement.

Il est bien évident que les fournisseurs cloud qui proposent des services et plateformes de traitement de données personnelles (contrôle des messageries, SIRH, CRM, géolocalisation, etc.) doivent également anticiper la nécessité pour leurs clients de dérouler des AIPD sur les périmètres techniques concernés. Certes, comme le rappellent certains prestataires, c’est bien au client qu’il incombe de déclencher ou non une AIPD ; mais il est à l’avantage du prestataire, et en particulier du fournisseur cloud, de savoir anticiper de telles AIPD, voire de les mener avant même que son client lui demande son assistance, afin d’être à la fois proactif et concurrentiel sur le marché.

La PME qui doit déclencher des AIPD, le fera d’autant plus aisément qu’elle s’appuiera sur des prestataires conscients des failles que leurs technologies peuvent comporter, conscients des conséquences sur les personnes physiques (et donc indirectement sur leurs clients), et soucieux de les résorber afin de proposer des services cloud efficients et intelligemment sécurisés.