Contraintes légales sur la data : est-ce que vous risquez quelque chose ?

Vous avez dit la “CNIL” ?

La médiatisation d’affaires touchant à la sécurité des données sensibilise les citoyens à la problématique de la donnée personnelle. La transparence et la sécurité des données personnelles sont souvent au coeur de ces plaintes. Le principal motif est l’opposition à figurer dans un fichier : le citoyen veut avoir le contrôle de sa e-réputation.La CNIL veille à la bonne application de la loi informatique et libertés du 6 janvier 1978 et plus récemment du règlement européen sur la protection des données personnelles du 14 Avril 2016. En clair, il veille à ce que l’informatique ne porte pas atteinte à l’Homme.

De plus en plus sollicitée, la CNIL annonce une hausse de 36% de plaintes entre 2014 et 2015 expliquée par une utilisation plus importante des nouvelles technologies et l’envie des citoyens de reprendre leurs droits en main.

Quelques chiffres issus du bilan 2015 de la CNIL :

  • 7908 plaintes (+36%)
  • 5890 de demandes de droit d’accès (+12%)
  • 93 mises en demeure (+50%)
  • 501 contrôles

Depuis le nouveau réglement européen sur la protection des données personnelles, l’amende peut s’élever à 20 millions d’euros ou, 4% du chiffre d’affaires annuel mondial de l'entreprise. La CNIL n’est donc pas à négliger.

L’europe à la charge du Big Data, la loi s’adapte

Les nouvelles technologies ne cessent d’évoluer, nouveaux terminaux, nouveaux algorithmes, dématérialisation, uberisation… La loi doit s’adapter à cette nouvelle manière de consommer la donnée et plus largement la technologie. C’est l’objectif de la proposition d’une “République Numérique” d’Axelle Lemaire et Emannuel Macron qui a été adoptée à la première lecture le 26 janvier 2016.

3 objectifs pour cette nouvelle loi :

  1. Liberté accrue pour la circulation des données et du savoir ;
  2. Égalité de droits pour les usagers du net ;
  3. Fraternité, pour une société numérique ouverte à tous.

Concrètement ces 3 objectifs sont déclinés en 9 sujets qui globalement améliorent la neutralité du web et assurent son accès à un plus grand nombre. De plus, l’objectif est de proposer une plus grand transparence tout en préservant la sécurité et la confidentialité des échanges.

Le Big Data offre de grandes opportunités pour les entreprises Européennes. C’est pourquoi la commission européenne travaille sur une réforme pour construire un ensemble unique de règles à appliquer pour la protection de la donnée. L’objectif est de booster l’innovation en proposant des services de confiance.

Quelques points pour résumer la réforme :

  • Un droit à la “portabilité” voit le jour : les citoyens peuvent demander leurs informations personnelles à un service dans le but de les transférer à un autre service.
  • Les entreprises devront publier de manière transparentes des informations accessibles et compréhensible.
  • Il existe 28 législations nationales, la réforme européenne veut les remplacer.
  • La réforme veut aider les entreprises à investir dans de bonnes pratiques dans la protection de données. Ils invitent les start-up à l’intégrer à leur business plan. C’est ce qui est appellé le “Data Protection By Design”.

Concrètement que dit la réforme concernant le “Data Protection By Design” ? Ce principe motive les acteurs du Big Data à utiliser des techniques comme l’anonymisation, la pseudonymisation ou encore l’encryption.

Quelles sont les données à protéger ?

On distingue plusieurs données qualifiées de sensibles :

  • Les origines raciales ou ethniques
  • Les opinions politiques, philosophiques ou religieuses
  • Les données relatives à la santé et à l’orientation sexuelle
  • Les données personnelles (nom, prénom, téléphone, mail, adresse)

À chaque inscription à un service, un email, une adresse, ou un nom peut vous être demandé. Ces données sont personnelles et demandent votre attention ainsi que celle du service en charge de les traiter.

En 2004 la loi du 6 janvier 1978 a été modifiée pour introduire notamment la notion de “responsable de traitement”. Comprendre la notion de traitement de données est important pour pouvoir se poser la question de la responsabilité, notamment dans le cadre du traitement des données à caractère sensible.

La loi est très claire sur la définition d’un traitement de données à caractère personnel :

“Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.”

Loi du 6 Janvier 1978 modifiée le 6 août 2004, Article 2

La collecte, l’enregistrement et la conservation d’informations qui vous concernent sont des traitements basiques. Ces traitements sont présents sur tous les sites avec un système d’authentification. Vous les rencontrez à longueur de journée : Facebook, Gmail, Linkedin, etc.

La notion de responsabilité, dans un écosystème très complexe

Il est légitime de se poser la question de la responsabilité. Qui est responsable si mes informations sont transmises à un tiers sans mon autorisation ? Si le service subit une attaque informatique et voit ses données devenir publique ? Bien évidemment, ça n’arrive qu’aux autres, sauf dans certains cas. L’exemple le plus récent que l’on puisse citer est la fuite d’informations du célèbre réseau professionnel Linkedin. 117 millions données ont fuitées en 2012 et les données se sont retrouvées sur le marché quatre ans plus tard, en Mai 2016.

C’est pourquoi la notion de responsable de traitement est importante. Qui est donc le responsable de traitement ?

La loi Européenne vient bouleverser la donne. Jusqu’à présent le responsable de traitement était la personne morale, qui détermine les finalités et les moyens du traitement. Si une société A (responsable de traitement) demande à une société B (sous-traitant) de réaliser un traitement sur ces données, en cas de problème, c’est la société A qui est entièrement responsable.

Maintenant, la loi européenne vient nuancer ce propos. Le responsable de traitement ne peut bien sûr pas se décharger de sa responsabilité de veiller à la sécurité et confidentialité des traitements. Cependant, une part de responsabilité du sous traitant voit son apparition. Selon son niveau d’implication, les sous-traitants assument aussi une responsabilité directe.

8 actions pour éviter de risquer gros

Mieux vaut prévoir que guérir. Il n’est pas interdit de traiter de l’information sensible à condition de respecter certaines règles:

  1. Faire le recensement des données sensibles récoltées et traitées et d’analyser les risques autour de ces données.
  2. Faire une déclaration à la CNIL faisant le référencement des données et traitements effectués
  3. Avoir le consentement de l’internaute pour la récolte de ces données de manière explicite
  4. Communiquer à l’internaute des moyens et finalités au travers des CGU / Mentions légales et durant le processus de récupération
  5. Récolter seulement les données pertinentes pour votre traitement
  6. Archiver ou détruisez les données dont vous n’avez plus l’utilité. Dans le cas de l’archive, il vous faut prévoir un processus de destruction.
  7. Offrir la possibilité aux internautes d’accéder aux données récoltées, de modifier les données qui le concernent et d’en demander la suppression.
  8. Garantir une sécurité suffisante à la protection des données sensibles

 

L’Europe a très bien compris l’enjeu de la donnée, son importance et l’impact que cette dernière peut avoir sur la vie privée de l’individu. Elle a également conscience de l’opportunité business que la data offre aux entreprises. Ce nouveau règlement européen pose des bases solides. L’Europe est en bonne voie pour établir un environnement légal homogène aux pays adhérents. Mais cela suffira-t-il à rassurer les citoyens européens sur l’utilisation de leurs données personnelles? 

Sujet: Data Articles Juridique
Êtes-vous un padawan ou un jedi de la data ?
Sujets