Par Charles Cuvelliez, CYC2 (associé) – Université libre de Bruxelles (Professeur Visiteur) – Ecole Polytechnique de Bruxelles

dans « Les Echos » Le 08/04/18

Le RGPD, le règlement général de protection des données, met la balle dans le camp des entreprises pour la protection des données : à elles de mettre en place ce qu’il faut pour que rien ne déraille. Cette confiance a ses limites avec des amendes si elle est abusée et sous forme d’analyse d’impact, quand la bonne foi ne suffit pas.

Qu’en dit le G29, qui regroupe les CNIL européennes, à une enjambée de l’entrée en vigueur du RGPD ? Les analyses d’impact ne sont pas obligatoires sauf si le traitement des données est de nature à avoir un impact sur la vie des gens, leurs droits et libertés. Quand est-ce le cas ? Quand des données peuvent-elles s’avérer si sensibles qu’elles en impactent les personnes jusque dans leur vie de tous les jours, leur liberté d’expression, de mouvement, de conscience, etc.

Quand ?

Cela arrive plus souvent qu’on ne le pense : c’est le cas des institutions financières qui, très logiquement, évaluent votre profil de crédit ou d’emprunt ou qui cherchent à travers les données de tous leurs clients des indices de financement du terrorisme ou de blanchiment. Imaginez les conséquences si vous sortez du lot comme faux positif ?  

Le profil comportemental ou marketing que des sociétés établiront de vos habitudes de shopping, les compagnies qui vous proposent des tests médicaux ont elles aussi des données qui vous impactent. Ce sont des données qui peuvent établir un portrait de la personne sur base de sa situation économique, sa santé, ses préférences personnelles, son comportement, les endroits où il se trouve ou ses mouvements. Autres cas où une analyse d’impact est obligatoire : le traitement des données aboutira-t-il à une prise de décision automatisée avec des effets (juridiques) sur l’individu ? 

S’agit-il d’une observation systématique dans des lieux publics ? L’analyse d’impact s’impose, car les individus ignorent qu’ils sont l’objet d’une observation alors qu’ils se promènent innocemment dans un lieu public.   Et de ce fait, ils ne peuvent s’y soustraire. Sont aussi concernées les données très personnelles, liées à ce qu’on fait, pense ou dit en privé, comme les opinions politiques, les orientations sexuelles, nos communications, mais aussi les lieux où on a été, car savoir qu’on est observé pourrait nous empêcher d’aller où on veut. Même si ces données sont publiques ou ont été rendues publiques, cela n’y change rien à partir du moment où elles peuvent être utilisées et nous affecter à titre privé. Le RGPD ne traite pas que de la confidentialité des données privées, mais de l’usage qui peut en être fait.

Quand les données sont exploitées à large échelle, leur traitement fera aussi l’objet d’une analyse d’impact ; il faut s’entendre sur la définition de large échelle, car selon le secteur, ce jugement de valeur variera. Le G29, qui regroupe les CNIL de toute l’Europe, propose d’examiner la large échelle suivant 4 axes : le nombre d’individus concernés, le volume de donnée ou leur étendue par individu, la durée ou la permanence du traitement ou l’étendue géographique.

S’il s’avère que mélanger et corréler des données peut aboutir à des traitements plus sophistiqués ou des résultats qui dépassent ceux d’une analyse menée séparément sur chaque donnée, une analyse d’impact sera faite même si elle n’était pas nécessaire pour les données prises à part. Les données relatives à des personnes vulnérables (mineurs, personne ne pouvant donner leur consentement, manquant de discernement…) et leur traitement passeront aussi par l’analyse d’impact. Enfin, si de nouvelles technologies sont désormais applicables à des données déjà en possession de l’entreprise et que cette dernière veut les utiliser, une (nouvelle) analyse d’impact sera diligentée. On pense à tout ce que l’IA pourrait apporter comme surprise, mais voilà donc qu’un garde-fou existe.

Une marge de manoeuvre reste dans les mains de l’entreprise qui peut persister à penser, même si son traitement tombe dans les catégories à risque, qu’elle ne doit pas mener d’analyse d’impact… à la condition de le justifier et de le documenter.

Bonne nouvelle pour les entreprises qui, avant le 25 mai 2018, avaient demandé l’autorisation de mener un traitement sensible de données. Cette autorisation la dispense d’une analyse d’impact. Si le traitement des données est cadré par une loi et que bien sûr, lors de son élaboration, une analyse d’impact aura été réalisée, ce traitement n’en a plus besoin. Une commission de vie privée peut aussi mettre sur pied une liste de traitements de données exemptée d’analyse d’impact. Le G29 insiste toutefois sur le fait que le traitement des données évolue si vite technologiquement ou en finalité (ne sous-estimons pas l’imagination des marketeurs) qu’il faut rester vigilant et ne pas hésiter à refaire une analyse d’impact.

Comment ?

Ne croyez pas qu’une fois une analyse d’impact réalisée, vous êtes tranquille : c’est un processus continu. Du côté des bonnes nouvelles : une analyse d’impact peut servir à plusieurs traitements de données. Si ces dernières n’impliquent pas de nouveaux risques, pourquoi répéter l’effort ? C’est le cas par ex. d’un programme de surveillance vidéo à laquelle souscrivent les unes après les autres des municipalités. Elles ne devront pas chacune réaliser d’analyse d’impact parce que les caméras sont installées sur un autre territoire géographique. Une analyse d’impact peut aussi être réalisée conjointement si plusieurs entreprises exploitent et gèrent les mêmes données. Il faudra bien délimiter les responsabilités de chacun dans le traitement et ce que chacun fait pour limiter les risques.

Une analyse d’impact peut être faite par un fabricant, pour une technologie, un produit ou un logiciel, mais celui qui l’utilisera devra faire une analyse d’impact, simplifiée sans doute puisqu’il pourra en utiliser les résultats.

L’analyse d’impact n’est pas faite par le DPD (délégué à la protection des données), mais par l’entreprise. C’est logique : le DPD ne peut être juge et partie. On encourage l’entreprise à consulter, demander l’avis des personnes, ses clients dont il possède les données. Ce serait rafraichissant et donnerait un signal que les concurrents suivraient, pour sûr.

Mais alors que mettre dans une analyse d’impact ? La description de ce qu’on envisage de faire et le but, une justification de la nécessité et du caractère proportionnel de ce traitement. En français, cela signifie se poser la question de savoir s’il faut vraiment aller jusque-là pour obtenir ce qu’on recherche. Peut-on faire aussi bien avec moins, voilà ce qui doit hanter l’esprit de celui qui mène l’analyse d’impact. Et vérifier en quoi une mauvaise utilisation ce traitement et des données pourrait avoir un impact sur la vie quotidienne, les droits et les libertés des personnes concernées. Et si risques il y a comment les aborder et montrer comment on va les limiter.

Le RGPD laisse de la flexibilité à l’entreprise sur la structure de l’analyse d’impact, et ce, afin de pouvoir coller avec des pratiques que le secteur auquel apparient l’entreprise aura déjà mises en place. Le G29 encourage la mise en place de modèle d’analyse d’impact par secteur, car la grande distribution, ce n’est pas la même chose que les organismes publics. Enfin, publier une analyse d’impact quitte à garder des parties confidentielles serait aussi une bonne chose.

En dernière extrémité, en cas de doute, en cas de risque résiduel, l’entreprise doit consulter la commission de vie privée locale. Avant, elle aurait dû lui demander l’autorisation. Le maitre-mot du RGPD, c’est bien responsabilisation.

—-

Pour en savoir plus :

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is « likely to result in a high risk » for the purposes of Regulation 2016/679, Adopted on 4 April 2017, ARTICLE 29 DATA PROTECTION WORKING PARTY

As last Revised and Adopted on 4 October 2017

 

Share This