Le Père Noël face au RGPD
Les lumières de Noël face aux enjeux du nouveau Règlement Européen sur la Protection des Données.
Décembre 2018

Le Père Noël, le RGPD et la grogne des lutins jaunes

par

How How How ! Alors que son grand traineau filait de Laponie vers les cheminées des enfants du Monde, le Père Noël se remettait difficilement de la catastrophe qui avait failli mettre en danger sa grande mission annuelle. La Protection des données personnelles, la conformité au RGPD et la grogne des lutins jaunes dans le sillage du mouvement des gilets jaunes avaient failli durablement perturber l’Esprit de Noël.

I. Un Noël sous haute tension

Tout a démarré quelques jours plus tôt alors que « Guinelon », l’un de ses lutins affrétés au transport des jouets en bois, se plaignait des cadences infernales 4 jours à peine avant le grand départ. Ce dernier avait réussi à convaincre un certain nombre de ses camarades de provoquer de multiples arrêts des chaînes de production, sous forme de grèves perlées.

Jamais, en plus de 2000 ans, le Père Noël n’avait eu à faire face à une telle révolte ouvrière. Il ne savait pas comment réagir.

Conseillé par l’un de ses contremaîtres, Rodolphe, il avait tenté le dialogue, puis de faire pression sur les lutins en les menaçant de faire dorénavant appel aux nains de la Moria, réputés plus grincheux, plus chers mais plus efficaces. Malgré ces tentatives et face à cette situation unique, le mouvement de contestation avait progressivement gagné l’esprit des lutins même les plus timorés. Tous avaient, en signe de protestation, enfilé un bonnet à pompon jaune, preuve ostentatoire de leur révolte.

Père Noël était un brave homme, et n’avait aucune envie de mettre fin à son étroite collaboration millénaire avec les lutins. Il s’est donc engagé à leur offrir plus de sucreries, moins d’urgence et une meilleure organisation afin que le futur Noël 2019 puisse se faire dans une situation plus agréable à tous que Noël 2018.

Tous les lutins furent progressivement convaincus, sauf un, Guinelon, le leader du mouvement des lutins jaunes. Celui-ci prit un angle d’attaque qui déstabilisa tout le monde, la protection des données personnelles.

II. La Protection des Données personnelles selon les Lutins Jaunes

« – Père Noël, les enfants sont-ils informés, et surtout avez-vous bien récupéré une autorisation de leurs parents afin de collecter leurs cartes de Noël ? Sont-ils au courant que vous effectuez des opérations de profilage pour savoir s’ils ont été de bons ou de mauvais enfants durant l’année en cours ?

– Père Noël, appliquez-vous des durées de conservation maximales pour vos cartes de vœux afin qu’elles soient systématiquement supprimées une fois atteintes les finalités que sont les remises de cadeaux ?

– Père Noël, avez-vous mis en place des mesures permettant de garantir la sécurité du stockage des cartes de vœux et des manipulations de toutes ces données collectées ?

– Vous collectez des données personnelles à grande échelle sur tous les enfants de la Terre. Avez-vous réalisé des études d’impact, notamment en cas de perte, altération ou divulgation de vos cartes de vœux ? Le père fouettard et ses sbires rodent dans les environs et pourraient s’amuser à transformer les cartes de vœux des bons enfants, par exemple.

– Avez-vous compilé dans un seul registre l’ensemble des traitements (utilisations) des données personnelles que vous manipulez ? Et avez-vous sécurisé par des clauses particulières les contrats vous liant aux fournisseurs de bois et de plastiques utilisés dans la réalisation de vos jouets individualisés pour chaque enfant ?

– Enfin, vous effectuez des traitements de données SENSIBLES à grande échelle : les enfants vous racontent leurs problèmes familiaux, leurs souhaits, leurs espoirs, avez-vous nommé un Délégué à la Protection des données capable de parvenir au respect de leurs Droits et de vous conseillez sur l’ensemble de ces chantiers ? »

Le Père Noël était resté coi. « Non, bien sûr que non » pensa-t-il. Nous n’avons bien évidemment jamais fait ça.

III. Négociations RGPD pour le Père Noël

Guinelon a raison… comment puis-je être sûr que personne ne soit capable d’utiliser ces millions de cartes de cadeaux à de mauvaises fins ? Les pauvres enfants. Et puis, sur la sécurité, il est vrai que des gnomes farceurs ont pris un malin plaisir à subtiliser un certain nombre de jouets et de documents lors de leur précédent raid sur mon entrepôt. Qui me dit qu’ils n’en profiteraient pas pour pour truquer les jouets et porter ainsi préjudice à l’ensemble de l’esprit de Noël ?

Guinelon s’excitait de plus en plus, gesticulant et éructant. Il fallait agir. Guinelon avait raison, mais ses indignations ne pouvaient pas non plus mettre en péril l’ensemble de la tournée du Père Noël : les enfants avaient plus besoin de cadeaux que de savoir le Père Noël conforme avec le Règlement Européen sur la Protection des Données (RGPD).

Et soudain, tout devint clair pour le Père Noël :

«- Mon cher, très cher Guinelon, tu as tout à fait raison. L’entreprise du Père Noël est totalement hors des clous en matière de Protection des Données personnelles. Tu as eu raison de me signaler tous ces manquements, je n’en avais moi-même pas conscience. Dans l’intérêt des enfants comme de la bonne marche et de la sécurité de ma tournée annuelle, je te propose, Guinelon, de devenir mon bras droit.

– Vous voulez que j’abandonne les enfants et mes camarades, Père Noël ?

– Jamais, Guinelon, et bien au contraire. Je te propose de devenir mon premier Délégué à la Protection des Données. Tu auras ton mot à dire sur la mise en place de tous les grands travaux visant à nous protéger et à informer les enfants, et tu auras une équipe de lutins te permettant de t’aider dans cette tâche.

– Je ne pourrai jamais le faire vraiment, si vous restez mon supérieur hiérarchique, que je continue à travailler sur les cadeaux individualisés des enfants et sur la gestion des cartes de Noël.

– Justement, tu ne t’occuperas plus des cadeaux des enfants. Tu seras, avec le plus d’indépendance possible afin de respecter la charte déontologique des DPO, le chef de la donnée personnelle dans une section totalement indépendante de mes usines. Tu seras le Père Noël… du respect des données personnelles.

– Dans ce cas, Père Noël, j’accepte !

– Vendu ! Tope là, Guinelon. »

IV. Un esprit de Noël respectueux des Droits des enfants

Et c’est ainsi que l’entreprise du Père Noël mit fin à une révolte ouvrière, se mit en conformité avec le RGPD et fit de ses entrepôts et de ses systèmes d’informations des modèles de sécurité afin que personne ne puisse jamais nuire ni à l’esprit de Noël ni aux enfants du Monde entier.

C’est l’esprit heureux qu’il déposa ainsi, au pied de mon sapin, des petits cadeaux avec une lettre d’information précisant que j’avais été bien sage et qu’il supprimerait ma liste de cadeaux au lendemain de sa tournée.

Joyeux Noël !

Pierre LOIR

Fondateur d’Observantiae et ami du Père Noël

Étiquettes :

Publié par observantiae

Je suis Délégué à la Protection des Données, consultant, formateur et fondateur du cabinet Observantiae. Issu d'un parcours juridique, je me suis passionné pour la protection des données personnelles et l’entrée en vigueur du Règlement Européen sur la Protection des Données (RGPD). Après avoir accompagné plusieurs sociétés sur la voie de la conformité RGPD au sein de différents cabinets de conseil, j’ai créé une structure de DPO externalisé axée sur la mutualisation des compétences, l’innovation et l’éthique dans le numérique.