Suite à l’adoption du RGPD en 2016, la plupart des entreprises se sont dotées aujourd’hui d’une démarche structurée en vue de l’échéance de mai 2018. Comme nous l’observons chez nos clients et pour y avoir dans de nombreux cas contribué, nous assistons aujourd’hui à de bonnes avancées en termes d’état des lieux, d’analyse d’écart et de feuille de route pour la mise en conformité. Commence donc maintenant la phase de mise en œuvre de ces plans, dans laquelle la transformation du SI tient une place primordiale (cartographie et sécurisation des données, gestion des consentements, de l’information aux utilisateurs, application du droit à l’oubli…).
C’est dans ce contexte que l’on entend régulièrement des interprétations inexactes du texte, qui d’anodines peuvent se révéler dangereuses. Elles peuvent en effet induire les décideurs à mener des actions inadaptées ou oublier certains points de mise en conformité, laissant l’entreprise exposée à des sanctions ou à une dégradation de son image de marque.
Nous proposons dans cette série de 3 articles de déconstruire 3 idées reçues sur le RGPD :
- Idée reçue #1 – Le consentement est obligatoire
- Idée reçue #2 – Le RGPD impose d’anonymiser les données
- Idée reçue #3 – Il y a une durée maximale de conservation des données.
Idée reçue #1 – le consentement est obligatoire
Le recueil du consentement n’est pas obligatoire, il existe de nombreux autres éléments qui peuvent justifier un traitement de données à caractère personnel (DCP). Parmi les plus courants pour une entreprise, on trouve notamment l’exécution d’un contrat ou une obligation légale. Ce n’est donc pas un consentement qui est nécessaire au traitement des DCP d’une personne, mais plus largement une justification, c’est-à-dire la base légale du traitement.[i] De plus, le traitement est strictement lié à une ou plusieurs finalités, pour lesquelles l’utilisateur peut donner son consentement.
Ce qui compte, c’est donc le triangle Donnée-Justification-Traitement :
Ce triangle est indépendant et insécable :
- Indépendant / Il est indépendant des autres triangles. Le fait qu’on ait obtenu un consentement pour une donnée et une finalité n’implique pas qu’on puisse traiter la même donnée pour une finalité différente, ni une autre donnée pour la finalité.
- Insécable / Les trois piliers du triangle sont tous trois porteurs donc indissociables :
- Si de fait le traitement devient caduc ou si les données ne sont plus nécessaires au traitement, et que les données ne sont couvertes par aucun autre triangle, il faut effacer les données.[ii].
- Si la justification devient caduque (fin d’un contrat ou retrait du consentement par exemple), il faut cesser le traitement et, si les données ne sont couvertes par aucun autre triangle,il faut effacer les données.[iii]
Une gestion centralisée des données personnelles, pour le client et pour le back-office
Dans le cadre de la conformité au RGPD, il convient de se doter d’un « système de gestion des données personnelles » gérant de manière uniformisée toutes les justifications, ou du moins les plus courantes : les clauses contractuelles, le consentement et les obligations légales notamment.
Cet angle de vue centré client imposé par le RGPD implique d’avoir au sein du SI une vision Client Unique / Golden Record, afin de gérer de manière unifiée des données d’un même client qui seraient éclatées dans de nombreux référentiels éventuellement décorrélés.
Ce système se décline d’une part en un front-office, permettant au client d’accéder de manière centralisée à ses données détenues par l’entreprise et exercer ses droits sur celles-ci : consentement, contrats, droit à l’oubli, portabilité, rectification, traitements autorisés, etc.
Figure 1 – Le portail de gestion de ses données personnelles de Google
D’autre part, le back-office consiste en un Référentiel Données-Justification-Traitement, où le triangle ci-dessus serait matérialisé sous la forme d’une table avec le triplet Données-Justification-Traitement, ainsi que quelques autres attributs (dont la référence – identifiant unique, clé étrangère… – à la personne concernée).
La modélisation en Référentiel Données-Justification-Traitement faciliterait :
- en écriture, la création de nouvelles justifications (par exemple un consentement) et leur suppression ;
- en lecture, la vérification automatique de la possibilité de traitement d’une DCP pour une finalité identifiée, par l’existence d’un triplet valide en base (il peut en exister plusieurs) et pour le client l’accès, requis par le RGPD à toutes les données le concernant et les traitements associés.
Figure 2 – Exemple de cas où deux justifications peuvent couvrir en partie les mêmes données
NB : Le consentement doit être tracé et historisé (les valeurs successives doivent être gardées pour d’éventuelles vérifications rétrospectives) : une attention particulière devra être portée à la traçabilité (au sens piste d’audit) de ce Référentiel Données-Justification-Traitement.
Il convient donc pour une société souhaitant gérer efficacement ses justifications pour traiter des données personnelles de se munir de ce système centralisé, permettant d’une part au client, côté front-office, d’exercer ses droits (consentement, oubli, portabilité, information…), et d’autre part à la société, côté back-office, d’avoir une vue claire des données qu’elle traite pour chaque client et de la justification qui l’autorise à les traiter, quelle qu’elle soit (contrat, consentement, obligation légale…).
Au-delà d’encadrer précisément ce qui autorise le traitement des données, le RGPD impose également des mesures de sécurité contre les fuites et les vols de données, notamment via des techniques comme l’anonymisation, la pseudonymisation et le chiffrement. Dans le prochain article nous proposons d’éclaircir la portée et le rôle de chacune de ces techniques bien distinctes.
[i] Article 6, paragraphe 1
[ii] Article 5, paragraphe 1, point e)
[ii] Article 5, paragraphe 1, point e)