"We've updated our privacy policy". Si vous habitez en Europe, vous n'avez pas pu rater les millions de mails provenant de sites auquels vous avez oublié que vous étiez inscrit. La cause ? Le 25 mai 2018 est entré en vigueur le RGPD, acronyme de "Règlement Général sur la Protection des Données". Cette mesure a forcé les organisations à être conforme avec les différentes règles du RGPD. D'où le flood de mail vous informant que celles-ci ont mis à jour leur politique de confidentialité.
Comme toutes les entreprises centrées sur la data (mais pas uniquement, comme nous le verrons), Univalence se doit d'en savoir plus sur l'application du RGPD et ses conséquences. Mais pourquoi avoir mis en place ce règlement ? En quoi consiste ces règles ? Qui est concerné ? Si vous vous posez ces questions et autres, vous êtes au bon endroit.
C'est parti !
Every breath you take [...] I'll be watching you
Pour bien comprendre d'où vient le RGPD, il faut remonter presque 50 ans en arrière. En 1974, le projet SAFARI (non, pas le navigateur Web) vise à répertorier et identifier chaque individu en France. En bref, les Français commencent à s'inquiéter de cette collecte de données et le font savoir : le projet ne verra jamais le jour. Cependant, cela incite le gouvernement à créer la CNIL (Commission nationale de l'informatique et des libertés) en 1978, dont une des missions était (et reste toujours à ce jour) de protéger les données personnelles. C'est le début de la protection des données personnelles en France. Par la suite, la directive européenne en 1995 ajoute une couche de protection aux états européens en reprenant les principes et concepts Français de protection des données.
Voilà qui devrait suffire à réglementer et protéger nos données à caractère personnel, non ?
Avec l'apparition d'Internet, l'augmentation de la quantité de données, du e-commerce, de la biométrie, des réseaux sociaux, de l'affaire Snowden et autres joyeuseries technologiques, les risques pour les droits et libertés (données confidentielles, contrôle, censure), la vie privée, ainsi que les risques de manipulations (profilage) ont fortement augmentés.
Face à cette situation, le RGPD a été adopté en 2016 et appliqué en mai 2018.
Yay !
En quoi ça consiste en gros ?
Le RGPD représente une grosse MAJ sur tout ce qui est protection des données. On a principalement :
- Un renforcement quantitatif et qualitatif des droits des personnes.
- Un enrichissement (ajout, précision) des notions clés (données à caractère personnel, responsable traitement, sous-traitant...).
- Un renforcement du pouvoir de sanction des CNIL européennes.
- Une nouvelle logique de responsabilité.
- Une fixation des règles de traitement des données (collecte, traitement / exploitation, stockage).
- ...
Hmm c'est bien beau tout ça, mais qu'est-ce qui définit des données à caractère personnel à votre avis ? (Parce que c'est bien là le sujet du problème !) Pouvez-vous me donner un exemple ?
Si vous avez répondu le nom, le prénom, une photo du visage, le numéro client de chez SFR/Bouygues/Free/Orange..., vous avez raison ! Les données à caractère personnel représentent toute information (ou combinaison d'informations) se rapportant à une personne physique identifiée ou identifiable, qu'elle le soit directement (nom, photo, prénom...) ou indirectement (numéro client, numéro téléphone, pseudonyme...). C'est donc tout cela que vise à réglementer le RGPD.
Lorsqu'on parle des traitements de données, ils concernent aussi bien ceux mis en place pour le fonctionnement interne (tout ce qui est RH par exemple) que ceux mis en place pour les activités (information clients, BDD...). Donc ce n'est pas que ceux travaillant dans la data qui sont concernés.
À qui s'adresse le RGPD justement ?
... Non, en fait ce n'est pas vrai :)
Le RGPD s'addresse à tous les organismes (privés ou publics) quels que soient leur taille, qui sont dans l'UE (que le traitement des données ait lieu ou non dans l'UE) ou dont leur activité cible des personnes dans l'UE. En bref, ça concerne beaucoup d'organismes.
Plus haut, nous avons évoqué le responsable de traitement et le sous-traitant. Un organisme peut être soit l'un, soit l'autre. Il est :
- Responsable de traitement (dit RT) s'il est responsable du pourquoi et comment du traitement. La question du pourquoi est particulièrement importante car c'est elle qui définit la finalité : elle fait le lien entre les données, le traitement, et les organismes acteurs.
- Sous-traitant (dit ST) s'il traite des données personnelles pour le compte d'un RT
De manière générale, c'est sur le RT que repose la responsabilité et le respect des règles.
En pratique (mais pas dans la théorie), il s'agira :
- de son dirigeant pour le secteur privé (président, directeur général, PDG...)
- du ministre, du maire, du conseil départemental... pour le secteur public.
TL;DR
- Big Data signifie big changement pour les données persos.
- Le RGPD représente une MAJ de la réglementation des données persos.
- Il s'adresse à tous les organismes dans l'UE ou dont leur activité cible des personnes dans l'UE.
Dans un article suivant, nous verrons comment en pratique traiter le RGPD.