Le nouveau règlement européen pour la protection des données (RGPD) a apporté avec lui son lot de termes plus ou moins vaporeux, prêtant souvent à interprétation. On peut même se demander si le législateur n’a pas volontairement souhaité rester flou, afin de ne pas laisser la porte ouverte à des « exceptions » qu’on serait tentés de faire valoir.
Je vous propose donc un petit récapitulatif du vocabulaire rencontré de manière récurrente ces derniers mois, responsable de longues séances de tirage de cheveux !
Donnée
Débutons avec les deux grandes familles de données : la donnée de contenu et la métadonnée.
La donnée de contenu peut être verbale ou écrite, il peut s’agir de tout contenu échangé au moyen d’un service de communication électronique (sms, email, url…) ou non électronique d’ailleurs, pour celles et ceux qui s’adonnent encore à la correspondance par voie postale.
La métadonnée est la donnée autour du contenu. On entend par là le lieu d’émission de la donnée, son support… La métadonnée permet de répondre aux questions « qui ? », « où ? », « vers où ? », « comment ? ». Il faut savoir que l’information fournie par la métadonnée est tout aussi sensible au regard du respect de la vie privée que le contenu lui-même.
La donnée personnelle est un concept qui doit également être assimilé puisqu’il est le pilier central du RGPD : il s’agit de toute information concernant une personne physique, identifiée ou identifiable.
DPO / DPD
Profil émergent, le DPO (Data Protection Officer pour les bilingues) ou DPD en Français (Délégué à la Protection des Données) est en quelques sorte l’héritier du CIL. Il est l’une des grandes nouveautés apportées par le RGPD.
Le DPO a pour mission principale de démontrer la conformité d’une entreprise à la réglementation. De ce fait, il a pour mission de contrôler la mise en œuvre des directives, des audits et des études d’impact dans les cas où elles sont nécessaires.
>> Pour en savoir plus sur le DPO – DPO : qui est-il ? Que fait-il ?
Il est associé à tous les sujets liés au RGPD et endosse donc le rôle de conseiller et de chef d’orchestre auprès de son entreprise, ses collaborateurs, ses clients et partenaires.
Dans les faits, le DPO est le point de contact avec l’autorité de contrôle qu’est la CNIL.
Question bonus : qui a l’obligation de nommer un DPO ?
Le RGPD impose la désignation d’un Délégué à la Protection des Données pour les 3 cas suivants :
- Les collectivités, autorités et organismes publics
- Les organismes dont l’activité de base consiste en un suivi régulier et systématique des personnes à grande échelle
- Les organismes dont l’activité de base est le traitement à grande échelle de données sensibles ou relatives aux condamnations pénales et infractions.
PIA / EIVP
Le PIA, anglicisme signifiant Privacy Impact Assessment, soit Étude d’Impact sur la Vie Privée en français, est aussi une nouveauté.
L’article 35 du RGPD nous explique qu’une étude d’impact doit être réalisée lorsqu’un traitement sur des données personnelles ou sensibles peut entraîner un risque élevé d’atteinte à la vie privée des personnes concernées (les personnes dont les données sont consultables dans ledit traitement).
C’est au DPO qu’appartient l’appréciation objective du risque et du degré de gravité des conséquences sur la vie privée.
Il existe 4 cas pour lesquels le PIA est obligatoire :
- Le traitement à grande échelle de données sensibles (département / région / pays)
- La surveillance systématique à grande échelle d’une zone accessible au public (on peut penser aux opérateurs téléphoniques et le bornage continuel qui nous permet de bénéficier de leur service)
- L’évaluation systématique et approfondie d’aspects personnels, y compris le profilage
- L’activité automatisée dont le but est d’évaluer systématiquement et de manière approfondie les aspects personnels de personnes sur lesquelles des décisions sont prises en entraînant des effets juridique (en une seule fois sans reprendre sa respiration !)
Donc, si on comprend bien, l’analyse d’impact intervient lorsqu’il y a un risque élevé pour les droits et libertés des personnes sur un traitement, par le fait de son existence ou lorsqu’il est confronté à une faille de sécurité.
Concrètement le PIA, c’est une série de questions qui concerne la sécurité, les scénarios de menaces, les risques encourus, les mesures à appliquer pour gérer ces risques.
>> Si vous voulez savoir comment réaliser votre PIA – RGPD : qu’est-ce que le PIA ?
Privacy by design et Privacy by default, Accountability
Puisque nous sommes sur une bonne lancée, continuons avec la langue de Shakespeare.
Certes, ces termes nous sont déjà familiers mais ont été remis au goût du jour ces derniers mois.
Le concept de Privacy by design entend que la protection de la vie privée s’envisage dès la conception. Cela signifie que toute technologie traitant de données personnelles doit garantir, dès sa création et à chaque utilisation, le plus haut niveau possible de protection des données, et ce afin d’agir de manière préventive et d’éviter les éventuelles et nombreuses possibilités de violations.
Le Privacy by default s’envisage dans la continuité du précédent et permet aux personnes dont les données sont collectées d’être assurées de bénéficier du plus haut niveau de protection possible. Il est nécessaire alors, de définir la finalité du traitement de la donnée, sa durée de conservation et de limiter son accès.
Enfin, l’Accountability, c’est ce qui permet d’assurer une transparence et une traçabilité vis-à-vis des autorités de contrôle notamment, en étant capable de produire des preuves du respect de la protection des données personnelles, par la mise en œuvre de mécanismes et de procédures internes.
Registre
Le registre permet de recenser les activités / actions effectuées sur les traitements et de bénéficier d’une vue générale de ce qui est fait avec les données personnelles dont on dispose. C’est l’un des documents qui permet de prouver le suivi de mise en conformité. Tous les organismes, privés et publics ont l’obligation de tenir un registre dès lors qu’ils traitent de données personnelles.
Responsable de traitement
Qui est-il ? De nouveau, la CNIL nous aiguille puisqu’elle nous explique que le responsable de traitement est « la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens d’un traitement ». Autrement dit, c’est celui qui décide de ce qu’on fait ou de ce qu’on ne fait pas avec un traitement et comment.
Traitement
Celui-ci, autant vous dire qu’il nous a donné du fil à retordre !
La définition de la CNIL est la suivante : « Toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …) ». Dans les faits, il peut s’agir d’une application, d’un fichier Excel, d’une base de données et même d’un ordonnateur de cartes de visites (eh oui, la version papier n’est pas épargnée !)
Lors de vos opérations de cartographie, chaque traitement doit avoir une nature, un contenu de données personnelles et / ou sensibles, une finalité, un responsable.
Voilà, à présent, vous devriez vous sentir plus à l’aise avec toutes ces nouveautés RGPD !
Anne, Responsable Marketing chez Apsynet
