La mise en conformité de toutes les entreprises européennes au Règlement sur la Protection des Données avant le 25 mai 2018 est un des sujets favoris du « Data Village Français».
D’autant que les Prestataires, qui ont toujours œuvré sous la bienveillante autorité de leurs Donneurs d’Ordre, deviendraient dès lors « co-responsables ».
Co-responsables de QUOI ?
Difficile pour un Prestataire d’enquêter avec fermeté sur l’origine des données que le client lui confie à des fins de traitements. Pire, peut-il demander, savoir à quoi les données seront utilisées ?
Ces notions ne me semblent pas aussi claires que celà.
En revanche, pour ce qui est du « voyage » des données, de leur « transit », le Prestataire ne peut être que le « seul responsable ». Dès la prise en charge jusqu’à la livraison en retour, la responsabilité lui incombe à part entière.
Les exemples de défaillance sont légion : en 2017, plusieurs affaires de vol de données, déni de service, sabotage, … montrent à l’évidence les insuffisances. Et pas qu’aux Etats-Unis, la condamnation de Darty** est très récente.
Pour mesurer le poids des responsabilités prises, il est nécessaire de référencer les risques et de les pondérer.
Soucieux de nous acquitter de ce dur labeur de mise en conformité, nous nous sommes soumis à cet exercice et nous avons assez vite butés contre deux obstacles :
- dresser la liste de ces risques peut friser la paranoïa tellement on semble s’obliger à « forcer les risques » et, parfois, à envisager l’inenvisageable,
- chaque risque doit être pondéré par sa probabilité d’apparition et les conséquences encourus appréciées (afin d’établir les priorités) : inutile de souligner le côté pour le moins délicat et « lourd » d’un tel exercice.
Cette mise à l’index, à l’échelle européenne, de la sécurité des données personnelles ne doit pas nous surprendre : nous venons tout juste de fêter les 40 ans d’une CNIL française qui depuis sa création en a fait l’une de ses priorités !
Un autre point qui ne nous paraît pas si évident concerne la déclaration de finalité.
Oui, il est indispensable de ne conserver des données personnelles que sur la base d’une utilisation préalablement définie et déclarée. Précaution élémentaire pour tenter d’éviter tout débordement, tout abus …
Une donnée doit être collectée pour un usage défini. Elle doit servir un intérêt légitime, être nécessaire à l’activité de l’entreprise et en rapport avec les services.
La géolocalisation l’est, par exemple, pour une société de VTC ou de livraison de plats cuisinés mais ne le serait pas pour une application de e-learning ou un site de cuisine ?
Mais comment peut-on a priori, sans recul, sans historique, sans calcul, savoir si une donnée est pertinente, explicative voire prédictive de la connaissance client / prospect pour un service donné ?
Cela veut dire qu’en Marketing, voire en Intelligence Artificielle, des données peuvent être conservées sans avoir encore de finalité précise a priori. C’est le lot quotidien d’une démarche marketing qui se respecte.
Cette mise en conformité avec le RGPD est certes contraignante et on peut avoir l’impression de naviguer entre la rigueur et son contraire, mais elle va permettre aux entreprises :
- d’afficher une plus grande transparence envers les consommateurs et donc de renforcer ou regagner leur confiance, un élément indispensable de la relation client,
- de s’adonner à un exercice particulièrement structurant permettant une plus grande sécurisation du système d’information,
- de rationaliser le stockage des données au moment où le Big Data est admis par tous.