Avec l’arrivée du RGPD, les organisations se doivent de revoir leur manière de gérer les données personnelles.
Depuis mai 2018 et l’entrée en application du RGPD, le paysage réglementaire mondial (et pas seulement européen) a très fortement évolué. C’est notamment le fait de la mise en application depuis le 1er janvier 2020 du CCPA (« California Consumer Privacy Act ») en Californie, et l’arrivée de la LGPD brésilienne ( «Lei Geral de Proteção de Dados pessoais) au 15 aout 2020.
C’est également le fait du patron d’Apple, Tim Cook, faisant l’apologie du RGPD dans une tribune du Time Magazine en date du 17 janvier 2020 et intitulée « Vous méritez la confidentialité en ligne. Voici comment vous pouvez l’avoir ». Dans cet article, il interpelle le Congrès américain et formule le souhait d’une législation renforcée, « pour protéger les consommateurs et leur rendre le contrôle » sur leurs données privées car « l’innovation, les idées novatrices et les nouveaux usages peuvent et même doivent aller de pair avec la protection de la vie privée de l’utilisateur. La réalisation du potentiel de la technologie en dépend ».
En conséquence, on assiste à une prise de conscience citoyenne sans précédent, comme en attestent les quelques 160 000 plaintes déposées auprès des différentes autorités de contrôle européennes depuis ces deux dernières années.
Nous voilà prévenus, les citoyens, désormais conscients de leurs droits, veulent récupérer le contrôle de leurs données et n’accepteront de les confier qu’à des tiers de confiance.
La révolution de la donnée ne se fera donc pas sans confiance. Il faut passer d’un modèle de « big data » à un modèle de « smart data ». On le comprend alors aisément, le respect de la vie privée, et par conséquent la conformité aux réglementations, quelles qu’elles soient, est un levier économique fort pour les organisations. Elle sera, à terme, un marqueur de différenciation concurrentielle.
Comment, pour une organisation instaurer le degré de confiance nécessaire ?
C’est avant tout une question de bon sens, l’objectif final étant d’être en mesure de contrôler ce qui est fait sur les données tout au long de leur cycle de vie. D’un point de vue de la réglementation, le bon sens est notamment porté par les principes de « Privacy by design » et « Privacy by default ». Ces principes consistent à adapter, dès la conception et par défaut, les mesures organisationnelles et techniques appropriées pour garantir la protection de la vie privée et des libertés fondamentales. Il est aujourd’hui nécessaire de changer les mentalités et d’intégrer la problématique de respect de la vie privée au plus tôt dans les projets structurants ou de transformation des organisations pour atteindre un niveau de contrôle des données suffisant.
Mais qu’on se le dise, le RGPD n’a rien inventé. Dès les années 1990, Ann Cavoukian, alors commissaire à l’information et à la protection de la vie privée de l’état d’Ontario, définissait la démarche de « Privacy by design » selon sept principes fondamentaux :
- L’adoption de mesures préventives permettant d’empêcher ou de limiter les potentielles violations de protection des données personnelles.
- La mise en place de mesure de protection des données personnelles par défaut, c’est-à-dire une protection automatique et implicite de ces données.
- La prise en compte de la protection de la vie privée des personnes concernées dès la conception des systèmes de collecte de données personnelles, et l’adoption des bonnes pratiques entrepreneuriales à cet effet.
- La sécurité et la protection de la vie privée des utilisateurs dont les données personnelles ont été collectées doivent être assurées tout au long du projet, mais aussi durant la période de conservation des données personnelles.
- La transparence dans ses pratiques vis-à-vis des informations à caractères personnelles.
- Le respect de la vie privée des utilisateurs concernés par cette collecte.
- La protection des données personnelles doit être holistique et optimale.