L’utilisation des données personnelles : conformité RGPD et au-delà

Voté en 2016, et applicable depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est un règlement européen qui définit la manière dont les données personnelles sont traitées dans l’UE. Le RGPD a remplacé l’ancienne directive du conseil européen datant de 1995, ce qui constitue une modernisation des lois autour du traitement des informations, notamment dans le contexte d’avancées technologiques des dernières décennies. 

L’application pratique du RGPD permet de renforcer les droits des personnes relatifs à leurs données. Mais la norme sert également à responsabiliser les traitants de la donnée, mettant en place un cadre strict à respecter. Parfois difficile à comprendre, la conformité au RGPD est une obligation. Cependant, nombreuses sont les organisations qui s’interrogent encore sur la manière d’adhérer au règlement. Dans cet article, nous esquissons des étapes et des pistes pour affiner le traitement de la donnée dans les organisations.

Pourquoi le RGPD est-il important ?

Dans un contexte d’utilisation intensive de la data, la mise à jour des lois cadrant l’utilisation des données personnelles était une nécessité. Le RGPD défini le cadre pour le traitement de la donnée personnelle. Ainsi, la protection des personnes et la conformité dans l’utilisation de leurs données sont considérées comme des droits fondamentaux.

En France, la Commission Nationale de l’Informatique et des Libertés (CNIL), veille sur les différentes utilisations des données personnelles et accompagne les acteurs dans le respect des normes.

Au niveau européen, le Règlement Général sur la Protection des Données Personnelles a instauré une standardisation des lois sur le traitement des données parmi les États membres. Cette mise à niveau des lois nationales s’intègre dans la volonté de l’UE de constituer un marché numérique unique, où les droits des citoyens européens sont les mêmes, indépendamment du pays de traitement.

En plus des pays membres, le RGPD s’applique aussi aux sociétés des États-tiers quand elles utilisent des données provenant du territoire de l’UE. Ainsi, par exemple, une société américaine doit respecter le RGPD si elle utilise des données personnelles venant d’Allemagne. La portée du règlement garantit que les droits des personnes sont respectés au-delà des frontières de l’UE, même si la législation de l’État-tiers est différente. Par exemple, en Californie[1] le consentement peut être implicite,  contrairement à l’Europe, où il doit être explicité. Dans le cas où une entreprise d’un pays tiers manipulerait des données provenant de l’UE sans respecter les normes RGPD, elle peut être poursuivie par les autorités européennes même si ces données ne sont pas traitées dans l’UE. Ce point est essentiel, car il explique en partie la complexité du dispositif. Dans certains pays on constate, en effet, des utilisations des données personnelles qui peuvent être questionnées. A l’extrême, on retrouve par exemple l’utilisation de la vidéosurveillance en Chine, pour suivre les déplacements de certains citoyens. Ou l’utilisation potentiel d’outils d’IA dans le cadre du projet du système du crédit social, qui vise à donner un score aux citoyens et entreprises pour déterminer l’accès à certains services basé sur leur réputation sociale.

Outre la protection des données européennes ‘hors frontières’, le RGPD est également neutre sur le plan technologique. Le règlement ne fait aucune référence à des technologies spécifiques, mais uniquement à des traitements des données personnelles « automatisés » et « manuels », ce qui garantit son adéquation indépendamment des avancées techniques.  Il pourra ainsi garantir le respect des droits et des valeurs européennes dans l’utilisation des données personnelles même dans les années à venir, minimisant les risques que des technologies futures puissent exploiter les failles de la loi[2].

Afin de mieux comprendre les enjeux sous-jacents de l’importance de la règlementation, il est nécessaire de faire quelques précisions conceptuelles.

Qu’est-ce qu’une donnée personnelle et pourquoi on en parle ?

La CNIL définit la donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Elle peut indiquer la personne directement (comme son nom) ou indirectement, comme un numéro de téléphone, une adresse email ou encore une image. L’identification de la personne peut se faire par la récolte directe de ses données ou ou par le croisement de données de sources diverses.

Les données sensibles sont une sous-catégorie des données personnelles, dont le traitement est interdit sauf dans certains cas spécifiques. Ce sont les informations personnelles qui portent sur l’origine raciale ou ethnique, les opinions politiques, religieuses.

L’utilisation de ces informations est croissante, et présente sur toutes nos activités professionnelles et privées. Elle s’intensifie avec le développement de technologies de plus en plus complexes issus de l’intelligence artificielle. Les données personnelles sont utilisées pour réaliser du profilage, voire anticiper nos envies et besoins. A titre d’exemple, un outil de gestion de ressources humaines peut se baser sur des données comme la séniorité ou l’expérience afin de proposer des actions pour faire évoluer le profil de son équipe. Sur un autre registre, des outils de reconnaissance faciale peuvent permettre de réaliser des statistiques sur le type d’affluence dans un lieu public. Enfin, l’historique de nos achats ou de notre navigation web permettra aux enseignes de proposer des achats similaires. L’exemple chinois cité plus haut montre les risques de ce type d’utilisation, quand le traitement des données ne corresponde pas aux principes de transparence et d’utilisation minimale.    

Dans ce cadre, le RGPD garantît aux personnes un certain nombre de droits à l’égard de leurs données, notamment :

Afin de respecter ces droits, la CNIL détermine les principaux guides dans l’utilisation de la donnée des personnes. En premier lieu, la collecte et l’utilisation de données personnelles doivent se faire à la suite d’un consentement explicite de l’usager. Par ailleurs, ce traitement est déterminé par le principe de la nécessité : une utilisation minimale de la donnée implique d’accéder et de conserver ce qui est strictement nécessaire pour une finalité définie, autrement dit, transparente. Enfin, le droit d’accès à ses propres informations donne aux usagers la possibilité de les changer et même de les effacer.  

Quels sont les principales étapes pour piloter le respect des données personnelles ?

Avant le traitement

Les considérations du RGPD doivent être prises en compte avant le traitement de la donnée afin d’en assurer le respect. Cela implique la mise en place du projet de manière explicite et dans un cadre défini, de la collecte de la donnée jusqu’à son exploitation. Ces premières étapes vont permettre de définir une architecture cible conforme au RGPD (spécifications techniques, règles de gestion…) mais aussi de piloter le projet SI en intégrant cette dimension.

Privacy by Design

Les phases amonts des projets SI peuvent s’appuyer sur le principe de Privacy by Design. Cette méthode garantit une protection des données « par défaut » en intégrant le RGPD dès la phase de conception.
Cela se traduit par une première phase d’analyse des données à traiter et des besoins en gestion de ces données afin de mettre en évidence les rôles et responsabilités de chacun. Cela permet également de mettre en place un dispositif de sécurité adapté, et de réguler et mettre les flux de données sous contrôle.

Pendant le traitement

Il est déterminant que les trois principes de minimisation, transparence et consentement ancrent le traitement dès le cadrage du projet. Qu’il soit effectué par le responsable du traitement ou un sous-traitant, l’utilisation des données doit adhérer à ces principes.

Faire appel à un sous-traitant est une pratique très répandue. Plusieurs sites ou logiciels traitent les données avec des buts spécifiques, comme la gestion des données RH, ou l’envoi des newsletters. Pourtant, l’organisation qui fait appel à ces services demeure responsable du traitement des données impliquées. Il est donc essentiel que la solution choisie réponde aux finalités établies par le responsable du traitement (l’organisation commanditaire), et qu’elle réalise les actions définies en conformité stricte au RGPD.

Enfin, la bonne gestion des données doit être assurée pendant toute la durée de leur conservation. Ainsi, même s’il n’y a plus d’opération sur certaines données, leur conservation compte comme traitement. Les droits des personnes sont toujours applicables.

Pour ce faire, il est essentiel de les rendre accessibles à tout moment. Comme plusieurs de ces droits portent sur la limitation, l’effacement, ou la rétractation du consentement, les personnes concernées doivent avoir un accès facile à leurs informations personnelles. L’adresse de contact pour les demandes RGPD sert aussi à cet effet, et reste un outil important pour garantir la conformité au règlement.

Le RGPD impose également des durées limitées sur la conservation de données. Cet aspect ne doit pas être oublié puisqu’il est de la responsabilité du gestionnaire du traitement de supprimer les informations qui n’ont plus d’usage. Si les précautions à prendre en amont ont été mises en place, le registre des traitements est utile pour s’assurer du respect de ces durées.

---

Le Règlement Général sur la Protection des Données a permis de mettre en lumière le besoin de transparence dans l’utilisation des données personnelles ou professionnelles. Le recours à ce type d’informations n’est pas nouveau, mais l’intégration croissante d’outils d’intelligence artificielle créé la nécessité d’en délimiter les conditions. La production exponentielle des données, et son traitement sur les différents registres privés et professionnels, a créé un nouveau champ à explorer et à cadrer.    

La conformité au RGPD se construit en amont du traitement des données. S’il est essentiel de faire un diagnostic des pratiques existantes, il faut que celui-ci se fasse en connaissance des considérations et dispositions du règlement. Ainsi, il sera plus facile de repérer les lacunes dans les procédures existantes.

Au-delà de la planification, le RGPD requiert également une forte rigueur et la définition d’un cadre précis. Le registre des traitements permet d’assurer un bon suivi de l’état des données et de garder une liste des justificatifs du traitement. Ces archives vont également servir comme exemple pour les standards à suivre pour les traitements futurs.

Finalement, le responsable du traitement doit toujours assurer une bonne gestion des données, même après leur collecte et utilisation. Autrement, il se trouve à l’encontre des droits des personnes concernées. Dans plusieurs cas, l’utilisation de logiciels tiers peut s’avérer comme un outil pratique pour garantir ces droits, mais ils ne peuvent en aucun cas remplacer les obligations de conformité de l’entité qui définit les finalités du traitement des données. 

---

[1] La législation sur la protection des données aux Etats-Unis se fait par état. Il n’existe pas de loi au niveau fédéral.

[2] Le traitement de la donnée couvert par le RGPD est très vaste : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction », CNIL.