RGPD, ou la fin du Graal Big Data ?

Ce qui est sûr, c’est que ce règlement va tout changer. Collectez-vous des données sur vos utilisateurs ? Les traitez-vous à des fins marketing, de profilage ou de prédiction ? Avez-vous peur du grand méchant loup européen RGPD ? Si oui, alors cet article vous concerne. Si ce n’est pas le cas et que ce sigle barbare ne hérisse chez vous aucun poil, alors… on vous conseille quand même de lire cet article — juste pour être sûrs ;)

En effet, le règlement sur la protection des données prendra effet le 25 mai prochain. Dernier sprint avant la bataille ? Au playgrnd*, nous ne sommes pas des spécialistes du droit, mais nous tenons à sensibiliser notre écosystème et nos clients sur ce sujet, qui touche plus de cas qu’il peut en avoir l’air. Nous avons donc écrit ces quelques lignes et préférons donc, plutôt que de répondre approximativement à vos questions, vous rediriger vers les sites spécialisés et certifiés.

Photo du site http://www.fidal-donnees-personnelles.com/

La première question à laquelle il faut répondre, c’est celle-ci : qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle, c’est une donnée qui permet d’identifier une personne physique. Directement, bien sûr : un nom, un prénom, une adresse mail personnelle contenant un nom et un prénom, sont des données personnelles. Mais on peut également identifier des personnes physiques indirectement, grâce à d’autres données. Avec un numéro de téléphone, ou un numéro de carte vitale, on peut facilement identifier quelqu’un ! Enfin — ça devient technique ici — on peut identifier quelqu’un en croisant des données qui serait inutilisable prises indépendamment. Si vous savez que quelqu’un habite dans un village de 34 habitants et que c’est le seul à avoir une licence à la Fédération Française de pétanque, alors vous pouvez l’identifier. Pour en savoir plus sur les données personnelles en vidéo, rendez-vous ici.

Ces données doivent, à tout prix, être sécurisées, avec une attention toute particulière portée aux données sensibles (notamment, orientations religieuses, politiques, sexuelle). Les structures de sécurité seront essentielles et de plus en plus contrôlées — de plus, votre entreprise devra pouvoir certifier que les données qu’elle possède et qu’elle traite sont bien au chaud.

Seconde question importante : Avez-vous recueilli le consentement de chaque personne dont vous conservez des données personnelles ?

Cocher une case ≠ laisser une case pré-cochée.

Ces personnes doivent en effet avoir un jour donné leur consentement pour que vous gardiez leurs précieuses. Et vous, entreprises, devez conserver la preuve de ce consentement. Désormais :

  • En vertu du principe de consentement, les entreprises ne peuvent conserver les données que si ceux qu’elles concernent sont d’accord. Cet accord doit être positif : il doit résulter d’une action de leur part (accepter en cochant une case) et non d’une inaction (case cochée par défaut).
  • Les entreprises pourront également traiter les données uniquement de la façon dont elles en auront averti leur propriétaire — propriétaire qui, bien sûr, devra également avoir donné son consentement positif au sujet de ce traitement.
  • Les entreprises ne peuvent conserver, suivant le principe de minimisation, que les données dont elles ont besoin pour le traitement qu’elles en font.
  • De la même façon, le principe de portabilité des données imposera aux entreprises d’envoyer, sur simple demande (qui pourra être injustifiée), une copie des données qu’elle possède sur un ressortissant européen. Ces données devront être envoyée dans un format lisible par machine : excel, csv, json…
  • Enfin, chaque personne pourra, à tout moment, retirer son consentement au sujet de ces traitement et de la conservation de ces données. L’entreprise devra alors, “dans les meilleurs délais”, arrêter les traitement des données qu’elle conserve, et le cas échéant, supprimer les données.

A ce sujet, voir cette page, qui explique bien ces principes et les obligations des entreprises vis-à-vis des données qu’elles collectent.

Troisième question, et ce sera la dernière de cet article, à laquelle votre structure devra répondre : Votre entreprise, sa culture et son fonctionnement sont-il prêts pour cette véritable mini-révolution interne ?

Le RGPD impose à toutes les structures qui conservent des données et/ou qui les traitent, de tenir un registre des données personnelles — un template du document à remplir se trouve sur ce lien. Celui-ci sera essentiel pour vous justifier, car, et oui : c’est désormais à vous qu’il incombe de démontrer votre conformité au règlement. Pour cela, le registre devra répertorier les données que vous avez sur vos utilisateurs ou clients, leur consentement à ce que vous les conserviez, ainsi que les traitements que vous en faites. Ce registre devra être mis à jour aussi souvent que nécessaire.

La sécurité des données personnelles, ainsi que leur traitement, devront être réellement sécurisés. La sécurité des données, également, devra être prise en compte de la conception de vos services.

Pour vous aider dans cette tâche, qui est cruciale et très complexe, un poste de DPO devra être prévu : le rôle du Data Protection Officer, c’est d’être le garant du respect du droit européen au sujet des données personnelles. Il devra notamment coopérer avec l’organisme de contrôle (en France, la CNIL), mais aussi avec ceux qui traitent les données dans l’entreprise, les sous-traitants et partenaires avec lesquels elle travaille, et organisera les études d’impacts sur la vie privée. Vous pouvez consulter cette page au sujet de la cartographie de vos traitements de données.

Votre culture d’entreprise devra elle aussi devenir conforme à la nouvelle loi. Notamment, les principes de security by default et de privacy by design devront considérer les données personnelles de vos utilisateurs dès la conception des services que vous leur procurez, et leur sécurité devra être prévue. Autrement dit : avant d’innover, prévoir ! C’est un état d’esprit à instiguer et à ancrer dans vos méthodes d’innovation et dans vos méthodes de travail. Enfin, chaque donnée ne devra être accessible qu’à ceux qui en ont besoin pour leurs tâches respectives.

Contrainte ou opportunité ?

Le RGPD, c’est plus qu’une loi récemment votée, plus qu’un règlement auquel se conformer, plus plus : c’est un état d’esprit auquel chaque entreprise et chaque culture de devra s’accoutumer. Point négatif, pour ceux qui ne le feront pas : les sanctions augmentent largement et le cadre légal se durcit. Beaucoup. Mais le point positif est là. C’est un règlement qui peut permettre à toute entreprise de regagner la confiance tantôt perdue, tantôt inexistante, de leurs clients. En assurant une réelle transparence entre votre structure, les données qu’elle collecte, et vos clients, vous pourrez vous placer sur la proue de l’affront éthique et légal, qui, lui, ne semble pas prêt de s’arrêter.


Je suis sans titre particulier, curieux d’expériences et expérimentateur de curiosités. Je suis passionné par les enjeux éthiques de l’innovation et ait eu à coeur de me plonger dans les nouvelles obligations imposées par le RGPD. Shall we play together ? @playgrnd*