Novembre 2018

Où s’arrête la donnée personnelle?

L’article 4 du Règlement Général sur la Protection des Données (ci-après RGPD) dispose qu’une donnée personnelle se rapporte à une personne physique identifiable, directement ou indirectement. Lorsque les choses sont ainsi énoncées, certaines notions viennent immédiatement en tête : une adresse, un numéro de téléphone, un bilan de santé etc.

Mais souvent, le terme « indirectement » est passé sous silence. Qu’entend-on par « indirectement » ? Indirectement implique croisement de données. Et c’est sur ce sujet que se déroulera le raisonnement de cet article : d’une approche de la notion de croisement (I) la problématique des entreprises par rapport à la conformité (II) justifiera une approche globale (III) pour atteindre un objectif aux multiples conséquences positives (IV).

1. Problématique théorique des croisements de bases de données :

Où se trouve la limite ? Quelle est la donnée personnelle ? Les cabinets de conseil considèrent classiquement que ce type de traitement concerne un croisement entre la donnée personnelle directement reliée à la personne et un identifiant qui sera connecté au travers d’autres bases à d’autres informations. L’exemple type est la base [noms/prénoms = numéros] croisée à la base [numéros = actions/habitudes/Santé etc.] qui permet, en associant les deux, de relier les noms/prénoms aux actions/habitudes/Santé etc.

schéma-projet-article-1-1.jpg

Cependant, l’heure est aujourd’hui au big data et à la possibilité de multiplier à l’infini des croisements de bases. Ces nouvelles technologies permettent d’identifier une personne avec une précision de plus en plus accrue.

Par conséquent, la confrontation de nombreuses bases, même théoriquement anonymisées (ou presque), aboutit à la ré-identification d’individus, et permet des traitements de données personnelles. L’illustration la plus simple est le sondage des intentions de vote qui, s’il n’est pas croisé à d’autres informations, demeure totalement non « inférant » (ré-identifiant) pour les participants.

2. L’entreprise face à la protection des données personnelles

Nous observons aujourd’hui une situation de positions dominantes d’acteurs les plus souvent basés à l’étranger et bénéficiant de législations plus souples, quand elles existent.

Ce sont ces acteurs qui, en possession d’infinités de bases de données (certes parfois chiffrées), bénéficient de la capacité d’appliquer ces nouvelles technologies pour des buts plus ou moins avouables : donc dangereux pour les entreprises comme, in fine, les citoyens.

Il a déjà été maintes fois démontré qu’une exploitation efficace des données anonymisées était possible par l’application d’une certaine quantité de correspondances (voir l’excellent article https://linc.cnil.fr/fr/cabanon-quels-usages-pour-les-donnees-anonymisees). Or, cette exploitabilité de données anonymisées, corrélée à une quantité de bases suffisamment importante, permettra par croisements de bénéficier d’informations de plus en plus précises sur une zone, un lieu, une fréquentation, des comportements… et enfin des personnes.

L’entreprise se retrouve prise au piège : sa responsabilité en cas de négligence, même commise de bonne foi, peut se voir incidemment engagée par l’essor de techniques que seuls quelques chercheurs peuvent aujourd’hui entrevoir. La protection des données personnelles, un combat perdu d’avance ? Oui, et non.

3. Une démarche de conformité efficace doit être globale

Au travers du Droit des affaires : la position dominante de certains acteurs concentre toutes les données, métadonnées, données agrégées etc. dans les mêmes mains. Il faut donc, autant que possible, faire jouer la concurrence, quitte à ce que cela implique de modifier les process internes des entreprises. Cette concurrence, idéalement, devra être européenne car de nombreux acteurs indépendants et respectueux du RGPD ont commencé à se placer sur le marché. Cela signifie-t-il qu’il faille faire une croix sur les services proposés par les entreprises hors UE ? Que nenni ! Mais ne pas laisser toutes ses données vitales dans les mêmes mains, d’autant plus lorsque ces mains ne sont pas liées par le même droit.

Au travers du Droit des données personnelles : garantir une utilisation appropriée des données par le prestataire via des clauses contractuelles précisant les finalités, mesures de sécurité et durées de conservation précises pour lesquelles les traitements sont effectués. Interdire, autant possible, leurs réutilisations même en métadonnées, en données agrégées voire anonymisées. Prévoir des sanctions allant jusqu’à la résiliation du contrat en cas d’irrespect de ces clauses. Dès que c’est envisageable, investiguer au sein de ces prestataires pour vérifier, qu’ils soient sous-traitants ou responsables de traitements, si ces clauses sont respectées et les moyens adéquats mis en œuvre. C’est le rôle, entre autres, du désormais célèbre Délégué à la Protection des Données (DPD ou DPO pour Data Protection Officer) que doivent impérativement nommer les entreprises responsables de traitements à grande échelle.

Au travers de tous les droits utiles aux métiers : tels que le Droit social, le Droit de la Santé, le Droit de la consommation etc. Recueillir les données du salarié, consommateur, patient (…) uniquement nécessaires à l’atteinte de la finalité recherchée et/ou imposée par la loi nécessite de la maîtriser et de la respecter scrupuleusement.

Au travers de la sécurité informatique (ou cybersécurité) : respecter les formalités juridiques mais laisser les données, personnelles ou non, « aspirables » de manière plus ou moins détectable par des « hackers » est un risque grave. Il offre à des concurrents, adversaires, criminels ou autres la possibilité de réutiliser ces informations contre les entreprises et, in extenso, les citoyens concernés. Il faut connaître son architecture, ses points de faiblesses (dont les ports ouverts), sa méthode de chiffrage (symétrique, asymétrique) etc.

Au travers des pratiques des métiers via les techniques de la gestion de projet : la protection des données n’est pas un livre de cuisine imposant des modifications indolores aux entreprises. Il faut donc que les personnes dont le métier est directement impliqué collaborent activement à la mise en conformité de leurs pratiques pour atteindre des objectifs équilibrés. En effet, ces objectifs ne doivent pas entraîner de perturbations ingérables de leurs modes de travail.

4. Une démarche aux multiples effets vertueux

Après une phase « d’ Eden » de la révolution numérique, et le basculement de la quasi-totalité des entreprises dans un fonctionnement partiellement ou totalement dématérialisé, l’heure est aujourd’hui au retour à la raison. C’est ce que le RGPD et les normes sécuritaire imposent.

C’est un chapitre salutaire qui offre aux entreprises européennes une indépendance et une meilleure protection des personnes concernées, voire des secrets de fabriques de l’entreprise. En effet, la transition numérique est en ce moment même une lutte géopolitique qui déterminera les décideurs des satellites. A ce jeu-là, les USA et la Chine ont la part belle, bénéficiant pour le moment des expertises et des infrastructures les plus développées. Cependant, la partie est loin d’être perdue : vont s’enchaîner les technologies issues de l’intelligence artificielle, de l’informatique quantique et bien évidemment de la célèbre blockchain.

La souveraineté numérique européenne commence aujourd’hui, plaçant son originalité dans une économie numérique sécurisée et respectueuse des droits des personnes. Ce n’est pas un désavantage économique : c’est un plus qui ne manquera pas de séduire les investisseurs asiatiques et outre-atlantiques qui, eux aussi, ne voient pas tous d’un mauvais œil la chance de bénéficier d’outils respectueux de leur vie privée.

Article co-rédigé par plusieurs partenaires Observantiae

LOGO_RENDU-01.jpg