Ecrit par & déposé en vertu de News.

25 mai 2018. Une date charnière dans l’histoire de la protection des données des citoyens européens. En effet, ce sera dans deux ans à peine, que le GDPR, l’acronyme anglo-saxon du Règlement Général sur la Protection des Données, entrera pleinement en effet. Mis sur le pas de tir par la Présidence luxembourgeoise du Conseil de l’Union européenne au second semestre 2015, ce texte fondateur a été adopté au Parlement européen au printemps dernier. Il va transformer durablement la manière dont sont exploitées les données à caractère personnel. « Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité », ouvre le paragraphe 4 du fameux règlement 2016/679.

 

Quantité de principes sont à considérer comme leviers pour ériger le nouvel édifice Data Protection : cadre harmonisé dans les pays de l’Union, qu’elle soit à 28 ou à 27, et applicable au-delà des frontières de l’Union pour les traitements « suffisamment » protégés, consentement explicite et droit d’objection, droit à l’oubli, notifications en cas de fuite, Privacy by design, nomination d’un DPO, amendes sévères,… l’enjeu est colossal.

 

Comment appréhender ce chantier ?

Les entreprises et les collectivités publiques ont devant elles une opportunité immense : celle de connaître mieux leurs clients et usagers et de leur présenter un passeport de confiance aux égards de leurs données personnelles. Ce fondement de « protection des données », qui repose tout autant sur la sécurité de la data que le respect de sa confidentialité, sera orchestré par un nouveau binôme de responsabilités dans les organisations : le CDO et le DPO.

Le premier, le Chief Data Officer, aura à assurer que le pipeline de données les emmène dans l’univers Big Data. Intarissable, de cela on en est presque sûr, avec l’explosion du volume de données, par les machines, les objets, mais aussi l’imagination et les comportements de l’homme. Le CDO négociera, échangera, identifiera de nouveaux « gisements » et exploitera ces données à des fins d’analytique et de prises de décisions. Un métier d’explorateur au service de la stratégie de l’entreprise.

Le second, le Délégué à la protection des données, ou DPO pour Data Protection Officer, vise à garantir la conformité. Il est le garant de l’application des dispositions légales et réglementaires en matière de protection des données à caractère personnel : il s’assure que toutes les conditions de sûreté sont réunies pour alimenter le pipe. Un métier de géologue… ou « d’égologue », l’expert du moi… Il en est de la loi.

 

Doper dès aujourd’hui le DPO

Il devient dès lors urgent de commencer à dresser le derrick des données personnelles. Toutes les organisations de plus de 250 employés devront tenir un registre Data Protection et nommer un correspondant ; le Data Protection Officer. Il est à noter aussi que les filiales (même de moins de 250 personnes) d’un groupe d’entreprises auront à rapporter à leur maison-mère leurs pratiques en la matière.

Le premier point sera donc de désigner l’architecte de la Data Privacy. Souvent recruté dans les experts de la Complianc de l’entreprise, plus que dans la sécurité de l’information ou dans la chaîne de fonctions digitales, le DPO devra inventorier et cerner le périmètre des données personnelles que l’entreprise détient et les traitements qui en sont faits. Il s’agira de localiser les réceptacles de données de type nominatif, d’identifiants, d’adresses IP, de cookies, éléments de géolocalisation… des « personnes physiques identifiées ou identifiables », et autres éléments au sens large exprimé dans l’article 4, §1. Le DPO devra aussi en connaître les usages, que le législateur européen exprime comme étant les traitements, soit toute opération ou chaîne d’opérations, automatisée ou non, qui vise à – et la liste est exhaustive – « la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » de données à caractère personnel.

Bref, absolument tous les flux et opérations impliquant des données personnelles.

En deuxième lieu, le DPO devra mettre en miroir l’impact spécifique pour son entreprise. Il s’assurera que son action met l’entreprise à l’abri du couperet des sanctions en cas de violation délibérée ou par négligence, qui peuvent atteindre jusqu’à 4% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros – le montant le plus élevé étant retenu. Il consolidera les règles de rétention, les spécificités industrielles ou règlementaires sectorielles (on pense ici au contexte spécifique des secteurs de la finance, de la santé, du commerce,…), les traitants et sous-traitants, les procédures déjà instaurées sur le consentement, la communication sur la finalité des collectes, les mesures et mécanismes envisagés pour faire face aux risques de sécurité, etc… L’analyse d’impact devra être conduite.

Enfin, le DPO assistera son entreprise dans l’adoption d’une vision enthousiaste et optimiste du bon usage des données personnelles ; certain qu’à la fois la sécurité juridique de l’organisation sera garantie mais plus encore que le nouveau pipeline de confiance entre les consommateurs et autres utilisateurs de l’entreprise sera un élément essentiel de l’approvisionnement en énergie de sa société.

 

L’opportunité est grande, le défi est à la hauteur

« Chaque acte compte », affirme Yves Reding dans un livre blanc « Data Protection » publié cet été par EBRC, disponible sur demande. Dans sa mission, visant à faire émerger un cadre de confiance au cœur de l’économie digitale européenne, EBRC défend pleinement ces valeurs qui doivent aussi permettre au Luxembourg d’être le moteur de cette dynamique vertueuse.