En décembre dernier, Matthieu Blanc – VP Product de Zeenea – s’est posé la question : Ce que la GDPR va changer dans le monde Big Data ! Dans cette série d’articles, nous revenons sur les aspects légaux explicités durant sa conférence lors de la XebiCon’17.

  1. Êtes-vous concernés par la GDPR ? 1/3
  2. Respectez-vous les principes de traitement sur les données personnelles ? 2/3
  3. Pouvez-vous garantir aux personnes concernées leurs droits ? 3/3

Les traitements sur les données personnelles devront obéir à 7 principes :

1) Le principe de licéité, loyauté et transparence

La loi impose que les données soient collectées et traitées de manière loyale et licite, dictant donc de manière implicite au responsable du traitement une transparence lors du traitement auprès de la personne concernée.

Pour rentrer un peu plus dans le détail :

  • La loi garantit aux personnes ayant soumis leurs données, l’information nécessaire relative aux traitements les concernant.
  • Elle les assure de la possibilité d’un contrôle personnel.
  • Le responsable du traitement de données personnelles a l’obligation d’avertir ces personnes dès la collecte des données et en cas de transmission de ces données à des tiers.

2)  Le principe de finalité

Les données à caractère personnel doivent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions de l’établissement ou du responsable du traitement. Tout détournement de finalité est passible de sanctions pénales.

3) Le principe de proportionnalité

Le règlement exige que les données ne soient collectées que pour un traitement bien spécifique et clairement défini.
Pour exemple : dans le cas d’une opération de marketing direct soumise à ce principe où le nom, prénom et l’adresse email suffisent amplement au traitement envisagé, la collecte pour cette même finalité de l’adresse postale, la situation familiale, financière, etc., sera jugée non proportionnelle et donc coupable d’une sanction.

4) Le principe de pertinence des données

Autrement dit, les entreprises doivent faire en sorte que les données soient exactes et mises à jour si nécessaire.

5) Le principe de durée limitée de conservation des données

Les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques. Une durée de conservation doit être établie en fonction de la finalité de chaque fichier. Passée cette limite, les données doivent être supprimées ou rendues anonymes.

6) Le principe de sécurité et de confidentialité

Le règlement prévoit un renforcement des mesures de sécurité. Les entreprises sont responsables de la sécurité des données qu’elles traitent et doivent mettre en place les mesures adéquates pour la garantir (pseudonymisation des données, analyses d’impact, tests d’intrusion, etc.).

Ainsi, le responsable du traitement est astreint à une obligation de sécurité. Il doit faire prendre les mesures nécessaires pour :

  • Garantir la confidentialité des données et éviter leur divulgation. En d’autres termes, le responsable de traitement doit s’assurer que des tiers non autorisés ne peuvent accéder aux données.
  • Empêcher que les données soient déformées ou endommagées.
  • etc.

Cette responsabilité est  mise en avant par un nouveau principe de « Privacy By Design ». Ce principe désigne  la démarche visant à prendre toutes les mesures permettant de protéger les droits des personnes en amont (c’est à dire dès la conception d’un produit ou d’un service) et tout au long du cycle de vie des données (de leur collecte à leur suppression).

Des mesures de sécurité, tant physique que logique, doivent donc être prises. Par exemple : protection anti-incendie, copies de sauvegarde, installation de logiciel antivirus, changement fréquent des mots de passe, etc.). Les mesures de sécurité doivent être adaptées à la nature des données et aux risques présentés par le traitement.

7) Le principe de responsabilité

L’un des changements majeurs est certainement ce principe de responsabilité. Ce principe oblige les entreprises à documenter toutes les mesures et procédures en matière de sécurité des données à caractère personnel.

Cette documentation a pour objectif de démontrer la conformité des entreprises avec la règlementation en cas de contrôle de la CNIL. Cette mesure se traduit par l’obligation de tenue d’un registre des traitements. En effet, ce registre permet de constituer une base de données des traitements, mais pourra aussi servir à centraliser et à suivre toutes les démarches de conformité mises en œuvre par l’entreprise.
La suppression de l’obligation de déclaration préalable à la CNIL. Cette mesure traduit le principe qui gouverne le GDPR : responsabiliser les entreprises, en développant l’auto-contrôle.

Ce n’est plus à l’autorité de régulation de prouver que vous êtes en tort, mais à vous de prouver que vous êtes dans votre bon droit !

Regardez la vidéo de la conférence : Ce que la GDPR va changer dans le monde Big Data !