[RGPD] Données personnelles : et si on arrêtait de les stocker ?

Vous l’ignorez peut-être, mais depuis 2007 le 28 janvier est la journée internationale de la protection des données. Le sujet vous indiffère ou vous décourage ? Pourtant, l’Europe vous prépare de nouvelles obligations qui vous vaudront de mettre à jour vos contrats, votre site internet, vos formulaires de contact, briefer votre équipe marketing… Sinon ? Des sanctions allant jusqu’à 20 millions d’euros  ou 4% du CA. Il s’agit du RGPD ou Règlement Général sur la Protection des Données, adopté par l’Union européenne en avril 2016 et applicable le 25 mai 2018…

L’affaire peut sembler rébarbative, mais elle représente un enjeu qui pourrait bien changer la face du monde. Car c’est bien de notre avenir, qu’il s’agit : légiférer sur la circulation et l’usage qui est fait de nos données les plus personnelles n’est certes pas un luxe. Voire, devient urgent quand on voit à quelle vitesse les objets connectées envahissent notre vie. Le RGPD est une première brique, à charge pour l’entreprise de s’emparer du sujet.

Plutôt que d’errer l’âme en peine sur internet, déchiffrer les 99 articles de loi afférents, nous avons préféré nous faire expliquer tout ceci par une avocate spécialisée du cabinet Herbel Avocats : Elodie Herbel, qui a amicalement joué « les décodeurs ». La vocation du RGPD se résume ainsi : à partir de mai 2018, toute entreprise devra être en mesure de dire pourquoi elle stocke des données personnelles et comment elle les protège.

À lire aussi : Le RGPD : tous concernés !

0 – Pourquoi on nous embête ?

Parce qu’à ce jour, la majorité des internautes n’ont pas connaissance des données récoltées à leur insu, de pourquoi elles le sont, ni de leur valeur… Il suffit de voir ce que nous déversons sur « Facebook&Cie » pour mesurer à quel point nous sommes insouciants. Or à l’heure de l’intelligence artificielle (IA), tous les moyens sont bons pour collecter toujours plus de données : il était temps d’agir.

Sachez par ailleurs que 3700 cyberattaques sont déjouées dans le monde chaque seconde (source Ciscosytem) et que 91% des fuites auraient pu être évitées… si les entreprises s’étaient dotées de mesures de sécurité suffisantes : les contraindre à un peu plus de responsabilité (stocker moins d’infos et se donner les moyens de se protéger) est donc une bonne chose.

Alors, ne râlez plus : c’est pour notre bien et cela irait même plutôt dans le bon sens.

1 – RGPD, de quoi parle-t-on ?

Pour le législateur, la notion de Donnée à Caractère Personnel (DPC) recouvre toutes les données qui permettent de nous identifier physiquement. Cela commence dès le libellé de notre adresse e-mail. Le nom, l’adresse, le numéro de téléphone, mais aussi l’adresse IP, que l’on a transmis par exemple en mettant notre carte de fidélité Youpiejedépense à jour…, le numéro de sécurité sociale, informations bancaires, etc.

Ne vous laissez pas piéger : cette notion englobe les données de vos clients/utilisateurs, cela va sans dire, mais aussi celles de vos collaborateurs, prestataires, sous-traitants et écosystème.

Dès que vous recueillez ces données et les transférez, vous courrez le risque de vous faire hacker (et faites courir ce risque à ceux dont vous avez recueilli les données).

BON À SAVOIR
Finalement, dès qu’une Data est reliée à une personne physique réelle, c’est une donnée personnelle. Un algorithme qui permet d’identifier votre visage sur une photo et de vous nommer (sans vous en avoir expressément demandé l’autorisation), viole vos droits.

2 – Qui est dans le viseur ?

Si vous lisez ces lignes, il y a fort à parier que votre entreprise est concernée.

Toutes les entreprises localisées au sein d’un pays membre de l’UE le sont. Mais aussi les autres, dès lors qu’elles collectent, traitent ou stockent des DCP issues de résidents de l’UE : par conséquent, même si vous appartenez à un groupe basé aux Etats-Unis, le simple fait d’avoir des collaborateurs européens vous implique.

L’application territoriale du règlement n’a donc pas de frontière : dès l’instant où les données traitées sont relatives à l’offre de biens ou de services ou à des personnes qui se trouvent dans l’Union européenne, la loi s’applique. Donc, oui, les GAFA y auront droit !

Renseignez-vous ! Où sont localisés vos data centers ?

Ils sont à l’extérieur de l’Union européenne, dans un pays tiers sans protection adéquate ? Vous devrez, le cas échéant, en avertir vos collaborateurs et clients et obtenir leur consentement explicite avant de transférer leurs données personnelles.

Et si une entreprise fait appel à un sous-traitant ? Elle devra s’assurer que ce dernier est en mesure de respecter le RGPD : impossible de prétendre que l’on n’avait pas connaissance de la politique de traitement des données personnelles de ce dernier (oui, là, c’est moins drôle…).

De la même façon, le sous-traitant ne pourra pas se retrancher derrière la demande de son donneur d’ordre, responsable du traitement. Quand bien même il agit uniquement au nom et pour le compte de ce dernier…

3 – Qu’est-ce qui change avec le RGPD ?

Souvenez-vous : la LIL (Loi informatique et libertés du 6 janvier 1978) qui portait création de la CNIL (Commission nationale de l’informatique et des libertés), fixait déjà les principes de base : collecte de données corrélée à la finalité du traitement, loyauté (avertir l’intéressé), droit d’opposition et enfin, sauf exception, interdiction de collecter des données « sensibles » (origine raciale, religion…).

Désormais, vous n’aurez plus de déclaration à faire auprès de la CNIL, celle-ci devenant un organe de contrôle (qui opèrera dans un premier temps de façon aléatoire).

Ce qui évolue en revanche, c’est l’obligation toujours plus poussée d’avertir le citoyen et de lui donner les moyens d’agir ou réagir. Tout en fixant les cas dans lesquels le consentement éclairé de l’individu est requis. L’idée est de redonner aux personnes concernées le contrôle de leurs données personnelles. Changement de prisme donc : focus sur les risques pour les personnes concernées et non pour l’entreprise. Les principes à se mettre en tête sont alors les suivants :

• Droit à la portabilité : vous l’ignoriez peut-être, vous avez le droit de récupérer toutes les données personnelles que vous avez fournies (voir LinkedIn, qui vous permet de télécharger les archives des données de votre compte), sous un format exportable. Cela signifie par exemple que votre numéro de téléphone vous appartient, même si vous changez d’opérateur.
• Droit à l’oubli : on a beaucoup entendu parler en de bien tristes circonstances… il oblige un hébergeur à supprimer les données personnelles vous concernant. Il doit être simple de savoir à qui s’adresser pour obtenir la modification/suppression de ses données.
• Droit à l’information : si vos données personnelles sont piratées, le responsable de traitement doit vous en informer dans les meilleurs délais si cela présente un risque élevé pour vos droits et libertés.
• Protection des mineurs de moins de 16 ans : mise en place d’une autorisation parentale.
• Consentement éclairé et positif du citoyen : la Directive vie privée vous interdisait déjà de spamer les consommateurs sans leur accord… Mais plus question « d’endormir » l’internaute amateur avec un jargon obscur, de façon à lui faire accepter n’importe quoi. L’entreprise a l’obligation de fournir des informations adaptées au niveau de compréhension de ses cibles.

Un nouveau métier, le DPO : le Data Protection Officer sera « celui qui sait », contrôle et maîtrise les données collectées et stockées. Il veillera à la bonne finalité de leur stockage, en tenant un registre mettant en perspective les informations demandées et les finalités correspondantes afin de s’assurer qu’il n’y a pas de dérive. C’est lui qui se chargera de communiquer ces informations aux intéressés sur simple requête.

Les entreprises de plus de 250 employés écopent en outre d’obligations supplémentaires :

• Elles devront créer le poste de Délégué à la protection des données (Data Protection Officer ou DPO, obligatoirement distinct du DSI), qui fixera les limites et se chargera d’évangéliser les équipes.
• Elles devront tracer l’ensemble des traitements de DCP au sein de l’entreprise via la tenue d’un registre de conformité.
  (Bien que non obligatoire, les entreprises de moins de 250 employés sont vivement encouragées à tenir ce registre également)…
• Pour le traitement des données les plus à risque pour les droits et libertés des personnes concernées, il sera obligatoire de faire réaliser un PIA ou Privacy Impact Assesment : une étude d’impact sur la vie privée. Cette étude devra être confiée au responsable de traitement.

Attention : si en principe cette dernière obligation ne concerne que les entreprises de plus de 250 employés, de nombreuses dérogations existent. Si vous traitez des données à risque, rapprochez-vous de la CNIL ou d’un avocat pour vous renseigner. 

 4 – Comment se mettre en conformité ? 

Voici la méthodologie proposée par Elodie Herbel :

L’état des lieux – Organisez-vous : trouvez dans votre entreprise un collaborateur qui s’intéresse au sujet ; cartographiez les finalités de vos collectes de données personnelles et habituez-vous à tenir un registre indiquant pourquoi vous avez besoin de ces données et ce que vous en faites.

Si vous avez plus de 250 salariés : embauchez sans attendre un DPO.

L’engagement – Prenez engagement (par exemple à travers des politiques/chartes/procédures internes) de votre volonté de protéger les données personnelles – un engagement top down. Embarquez vos équipes : expliquez, sensibilisez, parlez à vos sous-traitants et prestataires. Déployez des procédures de formation du personnel dans l’entreprise (tout le monde est concerné par le RGPD !), et faites-vous accompagner (c’est le plus souvent un travail d’équipe – avocats, service informatique, expert en cybersécurité, DPO le cas échéant…) . Finalement, on ne nous demande pas autre chose que de :

• travailler plus finement notre collecte de données
• investir dans des systèmes de sécurité en adéquation avec la sensibilité des données personnelles que nous stockons et le risque y étant associé.

L’ancrage – Étudiez les process déjà en place afin de repérer ceux qui seront à modifier (contrats de travail, campagnes marketing…). Rappelez-vous que l’idée n’est pas de vous créer une usine à gaz, mais de protéger vos clients et employés. Demandez-vous quels sont les risques d’abus (ex. discrimination) ou de piratage et à quelle étape (collecte, transfert, stockage…) : êtes-vous bien protégé ?

Le reporting – Mettez en place des process de reporting très stricts : ils doivent permettre une bonne visibilité sur les données personnelles et sur les mécanismes de leur conservation, transfert, effacement….

Désormais, vous devez avoir la notion de donnée personnelle en tête à chaque étape, et vous donner les moyens de rendre compte de ce que vous avez effectivement mis en œuvre pour la protéger.

Pas de panique ! En matière de protection des données, vous n’avez pas d’obligation de résultats, mais de moyens. S’il ne fallait retenir qu’une chose : documentez rigoureusement toutes vos démarches et actions en termes de sécurisation de vos données et de respect de la vie privée et assurez-vous de façon régulière de leur continuité.

5 –  Les bons usages à mettre en place

La notion de Privacy by design (Art. 25 RGPD) est une démarche, un engagement qui consiste pour une entreprise à développer des produits et des services en prenant en compte, dès leur conception, la protection de la vie privée et des données à caractère personnel des collaborateurs, des clients et tout prospect.

Par exemple :

• Instaurer des pseudos, ou pseudonymisation: pour s’interdire d’associer des données à une personne physique et par là-même afficher sa bonne foi,
• minimiser les données : en demander le moins possible, de façon à ne traiter que des données adéquates, pertinentes et limitées à la finalité du traitement. Un point essentiel quand on sait qu’en effet, il sera répréhensible de récolter des données qui ne nous sont pas utiles. Ainsi, demander à un client de cocher M. ou Mme alors que nous n’avons nul besoin de le savoir pour lui fournir notre prestation est susceptible de sanctions,
• systématiser le stockage à durée limitée : lorsque votre finalité est atteinte, effacez vos données… on ne pourra pas vous soupçonner d’avoir été tenté de les vendre ou d’avoir couru le risque de vous faire hacker. Notons au passage que le stockage débridé de données a un coût environnemental considérable. N’avez-vous jamais vu des photos de ces « fermes de serveurs » (data centers) de plusieurs milliers de m², qui tournent en permanence moyennant une débauche d’électricité et d’eau (pour refroidir les systèmes) ? Réduire les bases de données des entreprises ne peut être, de ce point de vue, qu’un bon début.
• le cas échéant, soyez très vigilants avec le droit à la modification et à l’oubli (sur vos plateformes internes, par exemple).

6 – Bonnes nouvelles, pour finir

Oui, se mettre en conformité aura un coût et pas seulement en temps passé. Mais mieux vaut raisonner en termes d’investissement. Aujourd’hui la data vaut de l’or et cela ira croissant : c’est donc faire preuve de bon sens que de tout mettre en place pour ne pas se la faire voler. Voici pour l’obligation de protection.

Ensuite, concernant la limitation de la collecte : dites-vous bien que vos équipes ont tout à gagner en ne travaillant qu’avec les données dont elles ont besoin, d’apprendre à les qualifier, les circonscrire et les éliminer lorsqu’elles en ont fini avec. Prenez le temps de réfléchir à ce qu’est une bonne data pour vous et ne travaillez plus autrement.

Enfin, ne vous laissez pas piéger par le digital : certes il ne remplit pas votre bureau de kg de dossiers papiers, mais croire que ne jamais effacer vos data ne vous coûte rien est une erreur. Vous payez votre hébergeur et vous consommez des kw d’électricité en pure perte.

7 – Utile

La réglementation qui vous concerne est contenue dans : la LIL, le RGPD, et la Directive vie privée et communications électroniques.