RGPD - Le devoir de protéger les données
Où étiez-vous début 2019 ? Personnellement je rejoignais une entreprise en pleine ébullition sur un sujet : la RGPD.
On réalisait des développements en urgence, il y avait une personne déléguée à la RGPD qui mettait son nez partout et la direction craignait un peu un contrôle. Bref, c'était en quelque sorte la panique à bord.
Les plus assidus d'entre vous me demanderont pourquoi 2019, puisque la première lecture du texte remonte à 2014 et que la RGPD a été publiée en 2016. C'est simplement parce que le texte était devenu applicable en mai 2018 et que les premières sanctions ont commencé à tomber à partir de là, donc les entreprises se sont mises à appliquer la loi.
Je vous propose aujourd'hui, pour bien comprendre les grandes lignes de la RGPD, qu'on remonte le temps jusqu'à la genèse du projet.
Contexte historique
On est en 2013, en France la loi Informatique et Libertés est en vigueur et la CNIL s'applique à faire respecter la loi depuis 1978, d'autres pays ont des principes similaires, mais ce n'est pas le cas partout. Mais en dehors du pays c'est le droit européen ou international qui s'applique et ça devient tout de suite plus compliqué !
C'est donc dans ce tumulte que la commission européenne fait la proposition de la Réglementation Générale sur la Protection des Données ou pour être plus exact le RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ou pour les intimes la RGPD.
Un texte unique qu'il faut comprendre comme le "minimum" légal, car les états membres ont la possibilité d'approfondir certains points. Comme c'est le cas en France, toujours avec la loi Informatique et Libertés qui enrichie les droits et devoirs liés au numérique.
A la RGPD s'ajoute un Comité Européen de la Protection des Données (CEPD en français ou EDPB en anglais). Ce comité a plus ou moins autorité au niveau européen dans tout ce qui concerne la RGPD. Pour en savoir plus sur ses missions, vous trouverez le site officiel en lien.
Et surtout, chaque état membre doit désigner un organisme qui se chargera des contrôles et condamnations au niveau de l'état. En France, nous avons donc la CNIL (Commission nationale de l'informatique et des libertés) ; en Allemagne, ils ont la BfDI (die Bundesbeauftragt für den Datenschutz un die Informations freiheit Husarenstr) ; en Belgique, l'Autorité de protection des données, etc...
Cependant, un problème pointe le bout de son nez : Quelles sont les limites d'applications ?
Les personnes et la zone impactées
Il est donc décidé que tous les citoyens et ressortissants européens, quel que soit leur âge sont protégés par la RGPD, du moins tant qu'ils sont vivants ! De toute façon, une fois mort, vous n'allez pas réclamer vos droits.
Bon en réalité, la mort numérique est un vrai sujet juridique. Et un vrai sujet pour les entreprises privées qui se la jouent à la Black-Mirror.
La RGPD s'applique à toutes les entreprises présentes sur le territoire européen, ainsi qu'aux entreprises extérieures si elles traitent des données liées à des citoyens européens, ce qui pose bien problème aux entreprises dont la donnée est le business.
D'ailleurs c'est vrai que la RGPD ça parle de données personnelles, mais est-ce que vous savez ce que c'est ?
Les données à caractère personnel
Il s’agit en fait de toutes les données qui identifient ou permettent d’identifier une personne physique. Un regroupement de données qui permettent d’identifier une personne est aussi considéré comme donnée à caractère personnel.
Pour que ce soit plus parlant, voici une petite liste d’exemple des données que l’on considère comme à caractère personnel :
Un prénom et un nom ;
Une adresse personnelle ;
Une adresse e-mail telle que prénom.nom@entreprise.com;
Un numéro de carte d’identité ;
Des données de localisation (par exemple : la fonction de localisation d’un téléphone portable) ;
Une adresse de protocole internet ;
Un cookie (les fameux de votre navigateur et pas ceux qui se mangent) ;
L’identifiant publicitaire de votre téléphone ;
Des données détenues par un hôpital ou un médecin, qui permettraient d’identifier de manière unique une personne.
Cependant, il y a moyen de se soustraire de ce contexte, si les données sont anonymisées, chiffrées ou pseudonymisées alors elles sortent du cadre de la RGPD, si elles ne permettent plus d'identifier à nouveau une personne physique.
Selon le texte de réglementation, il faut "prendre en compte l’ensemble des moyens utilisés par un tiers pour identifier une personne physique afin de savoir si les données sont à caractère personnel."
J'ai parlé plusieurs fois de personne physique, puisque ce sont les mots du texte, mais pourquoi physique ?
Personne physique ou Personne morale
Ce que la loi dit c'est qu'Une personne physique, c’est un être humain doté d’une personnalité juridique. C’est-à-dire que cet humain doit être majeur (sauf émancipation) et ne doit pas être en incapacité partielle ou totale (mise en tutelle ou curatelle).
En droit on parle aussi de personne morale, qui est "un regroupement de personne (morale ou physique) doté d’une personnalité juridique."
Donc, je suis une personne physique et théoriquement vous devriez l’être aussi. Votre entreprise et l’état sont eux des personnes morales. Pour votre culture l’une est dite de droit privé et l’autre de droit public.
Cette définition de personne morale est importante pour comprendre la définition donnée par la RGPD de responsable de traitement. Puisque le responsable de traitement est "la personne physique ou morale [...] qui [...] détermine les finalités et les moyens du traitement."
Et est-ce que vous savez ce qu'une personne a de plus important ? Son libre arbitre !
Le consentement
Le principe le plus important de la RGPD, c'est le consentement entre vous et le responsable de traitement. Et comme pour les relations humaines, il doit être libre, explicite, positif et éclairé !
Cela se présente sous plusieurs formes comme par exemple les fameux cookies qui vous embêtent tant ! Si on s'en tient à la RGPD vous devriez en avoir sur tous les sites :
uniquement les nécessaires ou aucun, selon que le site utilise des cookies pour fonctionner
parametrer, et lors de la sélection dans le paramétrage tout doit être à refuser par défaut et doit indiquer clairement son origine et l'utilisation qui sera faite des données
Tout accepter
Et dans tous les cas préciser pourquoi les cookies vont être utilisés.
Il en est de même pour les formulaires, normalement vous devriez voir la case s'inscrire à la newsletter décocher par défaut.
Certaines entreprises jouent avec les limites et le Paywall est l'une des pratiques les plus utilisées pour forcer l'utilisation de traqueurs ou l'obtention d'un paiement. Bien que moralement douteuse, cette pratique est légale. Elle constitue aux yeux de la CNIL une alternative au financement du service.
C'est pour cette raison que vous voyez une pop-up avec les boutons J'accepte ou Je m'abonne sur tous les sites appartenant à Webedia, et cela bien que des alternatives existent.
Mais dans le cadre de la RGPD, on donne sont consentement à quoi ?
Traitement automatisé et profilage
Lorsqu'on donne son consentement, cela peut être pour des traitements de vos données ou pour du profilage. C'est même l'article 22 de la RGPD :
"La personne physique a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage."
Très bien, mais c'est quoi un traitement ?
Si on s'en tient au texte officiel alors un traitement c’est :
"toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés sur des données."
Ce qui implique donc la collecte, l'enregistrement, la conservation, la modification, la consultation, l'extraction, l'utilisation, l'anonymisation ou la destruction, etc.
Mieux encore, puisqu'il s'agit "ou non [...] de procédés automatisés", les archives papiers avec vos informations sont soumises à la RGPD !
Et quelle est la différence avec le profilage ?
Lorsqu'on parle de profilage on parle de catégorisation et de prédiction de votre comportement. On pourrait ainsi parler des analyses Youtube pour prédire quelles vidéos vous pourriez aimer en se basant sur ce que vous avez regardé. Ou bien le système de "crédit social" mis en place à Pékin.
Ok c'est bien gentil tout ça, mais si je ne veux plus que google fasse du profilage sur mes données comment je fais ? Parce que normalement on doit pouvoir retirer notre consentement !
Le droit à l'effacement
Toujours en lien avec le consentement, vous pouvez retirer ce dernier et demandez à être oublié.
Cela consiste simplement dans le fait que "la personne physique a le droit de demander au responsable du traitement l'effacement de ses données dans les meilleurs délais".
Il y a cependant certains motifs pour faire cette demande, il faut par exemple que :
la personne physique retire son consentement
les données ne soient plus nécessaires aux finalités pour lesquelles elles ont été collectées
le traitement soit illicite
une autre obligation légale force l'effacement
il s'agisse de données relatives à un mineur
Le mot de la fin
On n'a fait qu'effleurer la surface de ce magnifique et vaste sujet, mais vous avez déjà là les premières grandes lignes de ce qu'est la RGPD : un texte visant à faire garder le contrôle de leurs données aux utilisateurs.
Il est essentiel de bien comprendre ce que représente ce texte, car il impacte sans vraiment le savoir beaucoup d'aspects de nos vies.
Si vous souhaitez aller plus loin dans les explications de la réglementation, je vous conseille bien évidemment le site de la CNIL qui contient entre autres des exemples et explications pour chacun de vos droits, le guide des bonnes pratiques, ainsi que le texte en intégralité : Le règlement général sur la protection des données - RGPD | CNIL
Egalement accessible sur "eur-lex" le site des droits européens en différentes langues : Texte intégral en français | EUR-Lex