webleads-tracker

Protection des données - partie 2 - Sur la route du RGPD | Spark Archives

Protection des données - partie 2 - Sur la route du RGPD

RGPD - Changements fondamentaux à venir

L'Union Européenne, se propose, au travers du Règlement Général sur la Protection des Données (RGPD), de redonner à ses citoyens le contrôle sur leurs données personnelles. Une très grande ambition au vu des problématiques actuelles. Son application en mai 2018, va unifier diverses lois et réglementations en matière de protection de la vie privée. Mais surtout, cela va entraîner d'importants et profonds changements dans la collecte et le traitement des données par les sociétés. 

Un challenge pour les entreprises

La définition des données à caractère personnel est désormais très étendue. L'UE a tenté de couvrir le plus grand nombre de cas possibles, tout en laissant la possibilité d'extension. Si les informations personnelles habituelles sont couvertes (nom, prénom, adresse, âge, sexe, etc.), tous les éléments de type photographies ou données des réseaux sociaux le sont aussi. Avec le « droit à l’oubli » et le droit du citoyen à demander l’accès à ses données renforcé, cela va obliger toutes les organisations et entreprises à peser attentivement leurs politiques relatives aux données des clients. Tout écart risquant d'être coûteux.

L'entreprise face à des défis importants

Sans entrer dans une analyse poussée de cette directive, que ne manqueront pas de faire les spécialistes du droit, une première lecture permet de se rendre compte de quelques défis lancés aux entreprises.

Le premier de ces défis est d'identifier les données. Les formes peuvent être variées, allant d'une capture d'éléments dans un journal d'application à la captation de flux en provenance de réseaux sociaux. Si les formulaires traditionnels sont simples à identifier, ce n'est pas le cas pour tout. Les canaux véhiculant les flux d'informations sont multiples (empreintes numériques, les validations d'engagement et en fait, tout ce qu'un utilisateur choisi ou valide). Le travail d'enquête pour les sociétés et autres organisations est titanesque avec des possibilités de se tromper, d'oublier, nombreuses. Potentiellement, les actions en justice risquent d'être nombreuses.

Le deuxième défi est celui de déterminer les données qui sont couvertes par le consentement de celles qui ne les sont pas. Car le consentement peut s'avérer partiel. De plus, il va être nécessaire de s'interroger sur les données découlant des données primaires, celles réalisées par agrégation, calcul ou tout autre moyen de produire des données secondaires. Par défaut, ces données ne seront pas couvertes par le consentement, car ce dernier n'aura pas été prévu (il y a de grandes chances que l'intitulé classique "et pour toutes utilisations" ne soit pas jugé suffisamment précis pour être conforme à la RGPD).

Le troisième de ces défis est l'accessibilité des données par les utilisateurs. À partir du moment où ces données peuvent être réclamées, la société disposant de celles-ci sera dans l'obligation de les fournir, en totalité. Et tout oubli démontrera une absence de la maîtrise des données et exposera l'entreprise ou l'organisation à une sanction.

Le quatrième défi est la sécurisation des données. Sécurisation dans la sauvegarde et dans l'archivage, mais aussi sécurisation dans la transmission de ces données, lors de ventes ou de rétrocession aux utilisateurs.

L'entreprise face au droit à l'oubli

Bien qu'il existe d'autres problématiques, il en reste un majeure qui va poser bien des problèmes aux entreprises. Il s'agit du droit à l'oubli qui est renforcé. Le RGPD oblige la suppression de toutes les données de tous les systèmes (y compris sauvegarde et archivage) en cas de demande.

Cette suppression n'est pas simple, car il faut arriver à déterminer où se trouvent toutes les données. Si la suppression reste manuelle, le risque est grand d'oublier des données) et si on l'industrialise, le coût risque d'être d'autant plus important qu'il n'existe pas modèle de stockage universel, mais de multiples modèles. 

Prenons le cas d’une personne ayant décidé de louer une voiture en longue durée (LOA). La société va demander à minima les informations suivantes :

  • Une photocopie de la carte d’identité, recto verso ;
  • Un RIB ;
  • Les 3 derniers bulletins de salaire ;
  • Le dernier avis d’imposition ;
  • Une quittance d’électricité, de gaz ou de téléphone récente.

Or en se penchant attentivement sur chacune des pièces exigées, il est possible de se rendre compte que les informations fournies vont bien au-delà de ce que le souscripteur pensait.

C’est ainsi qu’au travers de la CNI, le collecteur de données obtient les classiques nom et prénom usuel, mais aussi d’autres éléments comme tous les prénoms, l’âge ou la ville de naissance.

Le RIB va lui indiquer certes votre banque, mais aussi le type de compte possédé. Les bulletins de salaire vont communiquer de nombreuses informations sur votre employeur, et des détails comme la mutuelle ou les déplacements (au travers de remboursement de frais, de cartes de transport en commun).

Quant à l’avis d’imposition, il fournira des informations sur les revenus, les biens détenus ou la famille. Reste la quittance. Cette dernière pièce est toujours demandée, sous le prétexte de justifier le domicile, même s’il y a eu la CNI ou les bulletins de salaire. Grâce à elle, l’organisme va collecter des données sur les consommations.

Les informations collectées sont très nombreuses. Mais qu’est-ce que le particulier va pouvoir demander comme suppression, quand et sous quelle forme ? Et au-delà comment le demandeur aura la certitude de la réalité de cette suppression ?

Gouvernance des données

Avec cette directive, l'Union Européenne offre une meilleure protection à la vie numérique des individus. Mais pour tous ceux qui collectent, traitent et utilisent ces informations, le RGPD impose un contrôle poussé et continu des données. L'enjeu essentiel pour les entreprises va être, dans les prochains mois, d'organiser une gouvernance des données pointue, même si celle-ci va s'avérer coûteuse.

Si, sur le papier, les conséquences en cas de manquement sont suffisamment graves, il est possible que de nombreuses sociétés attendent de voir le comportement des personnes vis-à-vis du droit à l'oubli. Mais attention en cas d'attentisme, les entreprises ayant 2 ans pour se mettre en conformité. Il s'agit là d'un délai court pour mener à bien ce vaste chantier, où vision éclairée et gouvernance des données seront indispensables pour adopter les ajustements nécessaires à la mise en œuvre de la RGPD.

Frédéric VERGOZ

Chef de Projet Spark Archives - Klee Group

Suivez Fred sur Linkedin


 


Du même auteur :

Nous contacter : 

Adresse :
La Boursidière
BP 159
92357 Le Plessis-Robinson Cedex
 
Téléphone : +33 (0)1 46 29 25 25
Sur Twitter : @SparkArchives
 

Add new comment

Filtered HTML

  • Web page addresses and e-mail addresses turn into links automatically.
  • Mark language-dependent sections with == marker == where marker is either a valid language code or a special code such as all or other.
  • Allowed HTML tags: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <pre>
  • Lines and paragraphs break automatically.

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.

Nous contacter

Adresse :
La Boursidière
BP 159
92357 Le Plessis-Robinson Cedex
 
Téléphone :
+33 (0)1 46 29 25 25
e-mail icon
Twitter icon
Facebook icon
Google icon
LinkedIn icon

Spark Archives, a solution provided by KLEE GROUP

Contact

Spark Archives
La Boursidière
92357 Le Plessis-Robinson Cedex

+33 (0)1 46 29 25 25

sparkarchives@kleegroup.com

Join us

Learn more about our internship and job offers and apply online!  !

Follow us