La notion de « Donnée à Caractère Personnel » est large et peut parfois paraître trouble. Afin de mieux cerner ses enjeux pour les entreprises et organisations ainsi que pour les particuliers et utilisateurs, nous nous intéresserons dans cet article à apporter une définition concrète de la notion de donnée personnelle et des traitements de cette donnée. Nous verrons par la suite le cadre juridique imposé par la CNIL, la démarche recommandée puis enfin évoquer les impacts business du RGPD.
Qu’est-ce qu’une donnée à caractère personnel ?
La Commission Nationale de l’Informatique et des Libertés définit la donnée personnelle comme suit :
Une « donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise. ».
Dans ce cadre, une personne peut être identifiée de deux manières :
- Directement: à titre d’exemple, les nom et prénom d’un individu permettront de l’identifier de façon directe.
- Indirectement: un identifiant (n° client), un numéro de téléphone, une donnée biométrique constituent des données d’indentification indirecte. Ainsi, plusieurs éléments spécifiques propres à une identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, à l’instar de la voix ou de l’image (photo) permettront de reconnaitre une personne de manière indirecte.
En outre, l’identification d’une personne physique peut être réalisée avec un ou plusieurs éléments :
- Une seule et unique donnée: ainsi le numéro de sécurité sociale, l’ADN ou encore les empreintes digitales incarnent des éléments fiables d’identification unique et directe.
- Un ensemble de données croisées: la disponibilité et le croisement de données telles qu’énoncées dans l’exemple suivant justifieront l’identification d’une personne. Ainsi et à titre d’exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association constituent des éléments spécifiques, qui par leurs croisements permettront de spécifier de manière précise l’identification de l’individu en question.
Qu’est-ce qu’un traitement de données personnelles ?
Une base de données marketing qui contient diverses informations telles la localisation, l’âge, les goûts et les comportements d’achats, est considérée comme un traitement de données personnelles, dès lors qu’il est possible d’identifier une personne physique en se basant sur ces informations et ce, y compris si les noms et prénoms n’y sont pas explicites.
Un « traitement de données personnelles » est une opération, ou combinaison de plusieurs opérations, portant sur des données personnelles, quel que soit le procédé utilisé, à savoir : la collecte, le stockage, le nettoyage, le rapprochement, la consultation, la diffusion, la communication ou toute autre forme de mise à disposition.
Par ailleurs, il ne s’agit pas nécessairement d’opérations informatisées ou numériques : les fichiers papier et manuscrits sont également concernés et doivent être protégés dans les mêmes conditions.
En outre, afin de respecter les directives règlementaires, un traitement de données doit avoir un objectif et une finalité connus et définis en amont. La collecte et/ou le stockage de données personnelles ne peut se faire pour un traitement dont l’utilité serait à établir ultérieurement. A chaque traitement de données doit être assigné un but légitime et légal au regard de l’activité professionnelle exercée. Ainsi et selon l’activité, la gestion de la clientèle nécessitera parfois la collecte et le stockage d’informations diverses et variées comme une adresse postale pour une livraison ou l’édition d’une facture.
Déclinaisons matures des traitements autorisés
Les traitements autorisés et contours des règlementations divergent d’une région et d’un pays à l’autre. Ce cadre est défini de manière locale par les gouvernements ou selon des zones géographiques groupées comme la RGPD (ou GDPR), qui s’applique au sein de l’union européenne.
RGPD ou GDPR : définition et grands principes
Le sigle RGPD ou GDPR signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation »). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne et est évolutif. Le contexte juridique s’adapte pour suivre les évolutions technologiques et sociétales (usages accrus du numérique, développement du commerce en ligne…). Le RGPD harmonise les règles et offre un cadre juridique unique aux professionnels. Il permet de développer les activités numériques de l’UE en s’appuyant et en renforçant la confiance des internautes.
Le RGPD s’applique à toutes les entreprises privées ou publiques des 27 Etats membres de l’UE. Les entreprises concernées sont celles proposant des biens et services sur le marché local ainsi que les organisations collectant et traitant des données à caractère personnel sur les résidents de l’UE.
Il est à noter que ce cadre règlementaire s’applique également aux entreprises non implantées en UE ainsi qu’à leurs sous-traitants, qui collectent et traitent les données personnelles des résidents de la zone. Par conséquent, tout organisme quels que soient son pays d’implantation et son activité, peut être concerné.
Les dispositions prévues par la loi RGPD s’articulent autour de 4 principes fondamentaux : le consentement, le droit des personnes, la transparence et la responsabilité.
Le RGPD renforce la notion de consentement
Pour un traitement quelconque de données, le consentement des utilisateurs doit être positif et exprimé de manière explicite. Ce consentement peut être modifiable à tout moment par les utilisateurs souhaitant le retirer. Les entreprises faisant du traitement de données doivent par ailleurs, être en mesure de prouver le recueil de ce consentement en cas de contrôle de la CNIL.
Le mode de gestion des cookies est aussi sujet au RGPD. Concrètement, l’utilisateur dont les données peuvent être collectées doit renseigner un formulaire, généralement sous forme de case à cocher. Si le consentement n’est pas collecté, il sera par défaut considère comme refusé.
Le RGPD permet d’assurer une plus grande transparence aux utilisateurs
La transparence s’articule au consentement, dans la mesure où la transparence constitue la condition que le consentement soit explicite et éclairé.
Le droit des personnes mis en avant
Depuis l’entrée en vigueur du RGPD, les résidents européens se sont vu attribuer de nouveaux droits :
- Un droit d’accès facilité pour tous les utilisateurs,
- Un droit à l’oubli pour tous les utilisateurs,
- Un droit à la limitation du traitement, applicable dans quelques cas précis,
- Un droit à la portabilité des données.
GDPR : la notion de responsabilité
Le RGPD vise à responsabiliser davantage les entreprises dans leur traitement des données à caractère personnel. Cela se traduit par :
- La tenue obligatoire d’un registre de traitements, constituant ainsi une base de données des traitements opérés et pouvant servir à centraliser et à suivre toutes les démarches de conformité mises en œuvre par l’entreprise. Ce registre doit être à jour et consultable par la CNIL si besoin (en cas de contrôle) et démontrer la conformité avec la réglementation.
A titre d’exemple, le document suivant pourrait répondre aux exigences de la CNIL :
- Des mesures de sécurité renforcéeset la mise en place d’éléments adéquats pour la garantir, à titre d’exemple on évoquera ici l’anonymisation des données ou encore des analyses d’impact.
- La mise en avant du principe de « Privacy By Design » qui exige des mesures de protection des droits des personnes en amont, dès la conception d’un produit ou d’un service et qui assure le respect du droit tout au long du cycle de vie des données (de leur collecte à leur suppression).
- L’encadrement des sous-traitants: les entreprises clientes sont tenues pour responsables et doivent choisir des sous-traitants présentant des garanties suffisantes.
- La notification en cas de faille de sécurité (data breach) : en cas de faille de sécurité, l’entreprise doit la notifier à la CNIL dans un délai de 3jours (72H) et informer les personnes physiques dans certains cas.
- L’obligation de désignation d’un Délégué à la Protection des Données ou DPO chargé de piloter la gouvernance des données, de contrôler la conformité à la RGPD et de conseiller le responsable des traitements. Cette obligation de désignation d’un DPO ne s’applique qu’aux entreprises réalisant des traitements sur des données sensibles et/ou à grande échelle
- Le développement de l’auto contrôle et une plus grande responsabilisation des organisations par la suppression de l’obligation de déclaration préalable à la CNIL.
Les 6 étapes pour préparer un projet RGPD
En termes de démarche, nous vous proposons dans un premier temps de découvrir la démarche de préparation en amont recommandée par la CNIL, nous verrons dans un second temps les 4 étapes opérationnelles permettant de passer à l’action :
1. Designer un délégué
La désignation d’un délégué à la protection des données (DPO) n’est obligatoire que pour certains cas mais reste fortement recommandée.
L’obligation de la désignation s’applique dans deux cas :
- La nature de l’organisation: le caractère public de l’organisme rend cette désignation obligatoire ;
- Un suivi régulier et systématique des observations (clients) à grande échelle ou un traitement à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
2. Cartographier les traitements de données personnelles
Afin de suivre l’impact du RGPD et en vue de pouvoir fournir le registre de traitements nécessaire aux éventuels contrôles de la CNIL, il est primordial de maitriser les traitements de données personnelles et de pouvoir recenser :
- Les différents traitements de données personnelles,
- Les catégories de données personnelles traitées ;
- Les objectifs poursuivis par les opérations de traitements de données ;
- Les acteurs (internes ou externes) qui traitent ces données. Vous devrez notamment clairement identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité ;
- Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.
3. Prioriser les actions à mener
Après avoir identifié les traitements de données personnelles mis en œuvre, il sera nécessaire pour chacun d’eux, d’identifier les actions à mener pour se conformer aux obligations.
La priorisation des actions doit se faire au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées. Cette priorisation se fera sur la base du registre de traitements.
4. Gérer les risques
Lors que sont identifiés les traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes, il est primordial de mener une analyse d’impact relative à la protection des données.
5. Organiser les processus internes
L’organisation des processus internes doit être claire et transparente et doit permettre de garantir un haut niveau de protection des données personnelles.
Ainsi, la mise en place de procédures internes prendra en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement tout en garantissant, en permanence et de manière pérenne, le respect de la règlementation et de la protection des droits des utilisateurs.
5. Organiser les processus internes
L’organisation des processus internes doit être claire et transparente et doit permettre de garantir un haut niveau de protection des données personnelles.
Ainsi, la mise en place de procédures internes prendra en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement tout en garantissant, en permanence et de manière pérenne, le respect de la règlementation et de la protection des droits des utilisateurs.
6. Documenter la conformité
En vue d’assurer la protection des données en continu et de prouver la conformité au règlement, il est recommandé de constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement.
D’un point de vue opérationnel, les quatre grandes phases à suivre sont illustrées dans la fresque ci-dessous.
Traitement des données personnelles : les impacts business et technologiques
Dans cet article, nous nous intéressons principalement au RGPD, néanmoins d’autres déclinaisons sont opérées dans le reste du monde comme l’illustre la figure à la fin de cet article. A titre d’exemple, il existe en Grande Bretagne Le Data Protection Act, en Chine il s’agit du PIPL, ainsi qu’une règlementation fédérale en vigueur aux Etats Unis, ou encore en Russie ainsi qu’en Australie. Ces lois différèrent d’une zone à l’autre mais imposent toutes un cadre pour la protection des données à caractère personnel.
Les conséquences de l’entrée en vigueur des règlementations ne sont pas nécessairement identiques pour tous les pays et divergent selon les territoires et les lois mises en place. Néanmoins un point commun est partagé par toutes les directions IT et ce indépendamment de la zone : une revue des bases de données et du système d’information au sens large est nécessaire pour s’assurer de la légalité des informations traitées et stockées.
Dans le cadre du RGPD, les cookies sont à ajuster, les interfaces à revoir (ajouter des cases à cocher pour la collecte du consentement), des bases de données ou à minima des tables sont à créer pour collecter et stocker ces informations. Il revient aux entreprises de garantir le droit des personnes ainsi que les autres principes de la RGPD par la mise en place de mesures, d’outils et de process appropriés.
En outre, dans le cadre du PIPL et selon le consentement de l’utilisateur, les entreprises doivent pouvoir assurer un stockage local en Chine. Ces travaux impliquent une infrastructure locale et posent des limites quant à l’exploitation des données.
A titre d’exemple, pour une entreprise de biens et services, il est désormais impossible de maintenir à jour les comptes clients des utilisateurs ayant décliné le consentement. Ainsi, les conséquences commerciales peuvent être faramineuses lorsqu’il s’agit de l’industrie du luxe par exemple. Les grands comptes (clients fortunés chinois ayant refusé la collecte de leurs informations personnelles dans notre exemple) ne pourront plus bénéficier du suivi dédié ailleurs que dans leur pays d’origine et ne pourront donc pas être reconnus ailleurs malgré des dépenses (et un chiffre d’affaires généré) élevées. L’accueil et les avantages accordés à cette clientèle seront amputés car leurs achats ne seront pas rattachés à leur identité dans les systèmes centraux. Ainsi, en plus des dépenses engagées pour la mise à niveau des SI, des pertes sèches pourraient être enregistrer du fait d’une relation client amoindrie.
Bien que fastidieuse et onéreuse, la conformité au RGPD ainsi qu’aux différentes déclinaisons internationales, est devenue l’une des clés de réussite de la performance CRM et est au cœur des stratégies data. L’analyse de l’impact financier de la GDPR sera dépendant du niveau de maturité de l’organisation concernée. Néanmoins un impact organisationnel est certain.
En effet, la mise en place du RGPD exige un minimum de maturité sur la gouvernance des données dont disposent ou traitent les entreprises. Ainsi, il faudra prévoir la mise en place de rôles tels que le DPO ou encore des data stewards dédiés à chaque périmètre de données. L’organisation interne des équipes sera par conséquent modifiée.
En termes d’infrastructure, les schémas dont disposent les entreprises ne permettent généralement pas la mise en place du RGPD. Il est donc fréquent que ces organisations soient contraintes d’ajuster leur infrastructure et l’architecture qui la caractérise et ce en vue de respecter les directives. A titre d’exemple, le registre de traitements doit être exhaustif quant aux données concernées et aux traitements appliqués. En outre, des outils de gouvernance des données ou de data management faciliteront grandement la mise en conformité des données et traitements.
La figure ci-dessous illustre les disparités qu’il peut y avoir entre les pays et constitue un bon indicateur de la maturité par zone.
Source: DLA Piper Global Data Protection Laws of the World – World Map
Comme l’illustre la figure, la France et plus largement l’union européenne sont plutôt matures sur les sujets règlementaires de protection de la donnée à caractère personnel. Néanmoins, la perspective à horizon 2024 est le DGA.
La loi sur la gouvernance des données (Data Governance Act) mettra en place des mécanismes solides pour :
- Faciliter la réutilisation de certaines catégories de données protégées du secteur public,
- Accroître la confiance dans les services d’intermédiation de données,
- Favoriser l’altruisme en matière de données dans toute l’UE.
Il s’agit d’un élément important de la stratégie européenne en matière de données, qui vise à renforcer l’économie des données. Les nouvelles règles s’appliqueront 15 mois après l’entrée en vigueur du règlement.
Par ailleurs, la loi sur la gouvernance des données créera un mécanisme permettant de réutiliser en toute sécurité certaines catégories de données du secteur public qui sont soumises aux droits d’autrui. Il s’agit, par exemple, de secrets commerciaux, de données personnelles et de données protégées par des droits de propriété intellectuelle. Les organismes du secteur public permettant ce type de réutilisation devront être correctement équipés, en termes techniques, pour garantir que la vie privée et la confidentialité soient pleinement préservées.
À cet égard, la DGA complétera la directive de 2019 sur les données ouvertes, qui ne couvre pas ces types de données.
La rédaction vous conseille
> Les étapes pour construire un plan de conduite du changement
> Comment se mettre en conformité avec le RGPD ?
