RGPD en pratique : un règlement pour relancer la confiance ? (Nuageo)

Un petit rappel sur le vocabulaire du règlement :

  • Donnée personnelle : toute donnée permettant l’identification directe ou indirecte d’une personne physique (nom, prénom, âge, pseudonyme, matricule, ethnicité, religion,…).
  • Responsable de traitement : ce terme désigne l’entreprise utilisant les données personnelles.
  • Sous-traitant : toute personne mandatée par le responsable de traitement pour l’accomplissement d’un traitement.
  • Destinataire : personne physique ou morale qui reçoit des données, mais qui n’effectue pas de traitement (service SaaS par exemple).
  • Autorité de contrôle : autorité nationale en charge du respect des législations portant sur les données personnelles; en France, la CNIL.

Et un autre rappel sur la portée du règlement :

Ce règlement s’applique à tout responsable de traitement établi dans l’Union Européenne, et à l’ensemble de données qui sont relatives à un citoyen européen ou à un citoyen d’un autre pays dont les données ont été générées au sein de l’Union Européenne.

Ce règlement s’applique donc aussi aux sous-traitants établis en dehors de l’Union Européenne qui traitent des données de citoyens européens ou de citoyens d’un autre pays dont les données ont été générées au sein de l’Union Européenne.

Enfin, les sites Internet établis en dehors de l’UE, mais qui visent manifestement à adresser les citoyens européens sont aussi concernés : par exemple, il peut s’agir d’un site établi aux Etats-Unis, dont l’interface est disponible en français, italien, espagnol, allemand et dont les prix sont affichés en euro.

1 – Les données, en Europe…ou ailleurs

Le règlement n’impose pas, stricto sensu, la domiciliation des données au sein de l’Union Européenne. En revanche, il est demandé d’héberger les données personnelles au sein de pays proposant le même niveau de garantie que l’Union Européenne.

Pour cela, le règlement identifie trois cas :

  • L’hébergement des données personnelles au sein de l’Union Européenne : même si ce n’est pas imposé, il s’agit de la solution la plus naturelle.
  • L’hébergement des données au sein d’un pays reconnu par l’Union Européenne comme offrant le même niveau de garantie d’un point de vue sécurité/confidentialité : ce cas est particulièrement illustré par le traité avec les Etats-Unis, connu sous le nom du Privacy Shield.
  • L’hébergement des données au sein d’un pays tiers, avec un contrat spécifique (comprenant notamment les Binding Corporate Rules) : il est du ressort de l’entreprise d’encadrer la relation avec l’hébergeur de façon à proposer un cadre contractuel permettant la garantie du traitement des données personnelles selon le cadre imposé par le règlement.

Un commentaire sur ce point : il s’agit d’une excellente mesure pour ne pas bloquer les entreprises dans leur utilisation des outils Cloud. En revanche, une réflexion de fond doit être menée : quel est le cadre juridique réel en vigueur à l’endroit où mes données sont hébergées?

Un questionnement doit avoir lieu autour de cet enjeu, car l’actualité est riche d’enseignements : l’affaire Snowden, le programme américain PRISM, le Patriot Act, mais aussi l’actualité juridique de pays tels que la Russie (allégations d’espionnage envers Kaspersky, demandes d’ajout de backdoors dans des services grands publics comme Telegram,…), la Chine (liens capitalistiques des entreprises avec le gouvernement) ou, encore une fois, les Etats-Unis, sont autant d’éléments à interroger.

N’oublions pas non plus le cadre plus local, avec la Loi de Programmation Militaire en France par exemple.

2 – Une analyse d’impact préalable nécessaire

Le règlement établit clairement que l’utilisation de technologies avancées pour le traitement de données personnelles doit faire l’objet d’une analyse d’impact. Cette analyse d’impact doit permettre au responsable de traitement d’identifier les risques portant sur les traitements qu’il effectue, et donc les mesures de sécurisation à mettre en oeuvre pour sécuriser ces traitements.

Parmi ces technologies, on peut penser par exemple et de façon non exhaustive :

  • Au machine learning sur les données de comportement des internautes sur un site e-commerce par exemple (par l’agrégation des données, des profils de consommateurs sont établis sur la base des informations personnelles et de comportements de consommation).
  • A l’intelligence artificielle pour la reconnaissance de personnes.
  • Au big data pour le profilage des personnes.

D’une façon plus générale, il est entendu dans le règlement que ces analyses d’impact doivent être menées par le Délégué à la Protection des Données (le Data Privacy Officer pour les anglophones).

Cette analyse d’impact doit avoir lieu dès la conception du service ou, le cas échéant, dès l’étude du déploiement pour le responsable de traitement.

Il est à noter que cette analyse d’impact doit également être menée sur des services ou procédés existants, dès lors qu’ils font peser un risque sur les droits et libertés des personnes dont les données personnelles sont manipulées.

Par exemple, les procédés actuels quant au traitement de la paie doivent faire l’objet d’une telle analyse.

3 – Des bonnes pratiques à construire

Le règlement propose des pistes pour améliorer la confidentialité et la sécurité des traitements, mais ne propose pas de méthode “prête à l’emploi”.

Que ce soit pour le responsable du traitement, pour ses sous-traitants, ou pour les autorités nationales, la question des bonnes pratiques et des certifications est prégnante.

  • Le responsable du traitement doit, dans la mesure du possible, suivre les codes de conduite liés au traitement des données personnelles.
  • Pour un sous-traitant, le suivi de ces bonnes pratiques est un élément différenciant pour établir sa pertinence auprès d’un responsable de traitement.
  • L’autorité de contrôle doit valider ces codes de conduite, et certifier les entreprises quant au bon traitement des données personnelles.

Le véritable enjeu va cependant plus loin : en cas d’incident de sécurité lié aux données personnelles, le responsable de traitement doit être en capacité de prouver qu’il a mis en oeuvre les moyens adéquats pour sécuriser le traitement des données personnelles; le suivi de codes de conduite et les certifications participent à cette démarche.

Cela permet surtout de renforcer la confiance des utilisateurs : aujourd’hui, il existe une dérive profonde sur l’utilisation des données personnelles; demain, en mettant en avant le suivi de bonnes pratiques, librement consultables, les entreprises peuvent promouvoir une attitude responsable et ouverte avec leurs utilisateurs, ce qui offre un vrai vecteur de différenciation.

Pour autant, à ce jour, ces bonnes pratiques sont à construire. Il est essentiel qu’utilisateurs et éditeurs avancent en coopération pour identifier les bonnes pratiques et fédérer les acteurs autour de ces dernières.

En conclusion

Le RGPD est donc une opportunité qui doit fédérer les énergies et les efforts : la responsabilité première porte avant tout sur le responsable de traitement, qui doit identifier et sécuriser les traitements relatifs aux données personnelles.

Dans le cadre de cette démarche, le travail avec le partenaire est incontournable, et s’impose comme le vecteur le plus efficace pour atteindre ces objectifs. Ce travail en coopération est aussi une opportunité de faire émerger un ensemble de bonnes pratiques permettant de construire un cadre de confiance pour responsabiliser le traitement des données.

Enfin, il reste un acteur d’importance dans cette démarche : l’utilisateur final.

Qu’il soit interne ou externe, ce sont ses données qui sont manipulées, et il est donc pleinement concerné.

L’inclure dans cette construction permet de générer de la bienveillance, mais surtout de l’implication dans la gestion de cette ressource essentielle qu’est la donnée.

Ces efforts concertés permettront de faire émerger un cadre vertueux, gagnant pour chacune des parties : l’utilisateur regagne la maîtrise sur les données le caractérisant, le fournisseur s’empare d’un enjeu réglementaire transverse pour délivrer de la valeur à ses clients, et le responsable de traitement génère de la confiance en tant que facilitateur d’une relation plus transparente et saine, dans un écosystème qui a généré beaucoup d’opacité.

 

Haut