Les prestations du MEDI
Les brèves du MEDI
Les brèves du MEDI
Les brèves du MEDI
Le MEDI dans la presse
Le MEDI dans la presse

Protection des données, nous y sommes ! Vers une éthique du numérique

Le RGPD* est entré en vigueur, ce jour 25 mai 2018. Il instaure un niveau de protection renforcé sur les données pour tous les citoyens européens. Il concerne des aspects sensibles qui touchent à l’intimité de chacun. Ce faisant, il demande de prendre en compte les préoccupations éthiques liées à l’utilisation des technologies de l’information.

La protection des données n’est pas une nouveauté. Depuis la loi informatique et libertés (1978) un corpus de règles a progressivement encadré leur utilisation. Mais en quarante ans le contexte a radicalement changé. La numérisation croissante, les capacités considérables de traitement et leur délocalisation soulèvent des questions fondamentales autour de la préservation de leur intégrité, de la fiabilité et de la finalité des traitements comme de la sécurisation de leur stockage. L’ensemble de ces données, et ce qui en est fait, concerne chaque citoyen dans ce qu’il a de plus intime et soulève très clairement la question de l’éthique.

Le RGPD n’y apporte pas des réponses totales et absolues, mais il pose de nouvelles frontières à ce qu’il est possible de faire et surtout de ne pas faire. Tout d’abord, de manière formelle il rappelle que les données personnelles relèvent d’un droit fondamental, le droit à la vie privée que personne ne peut s’approprier. C’est un principe intangible qui structure toute forme d’utilisation des données. Ce qui implique que rien ne peut être fait sans l’accord de celui auquel elles se rattachent. Le consentement clair et donc explicite est donc requis, de même que la transparence. Chacun doit savoir ce qu’il est fait des informations qui le concernent. Sa maîtrise en découle puisqu’il peut refuser le profilage ou sortir de tout traitement de cette nature auquel il aurait pu s’abonner. Le droit à l’oubli est consacré comme celui de la portabilité.

A l’évidence, le législateur a mis en place un dispositif contraignant pour faire respecter les droits de chaque citoyen qu’il a assorti d’une clause d’extraterritorialité notamment souhaitée par la Cour de justice de l’Union européenne (CJUE)** Ainsi les dispositions du RGPD s’appliquent à tous les acteurs économiques qui opèrent sur le territoire de l’Union européenne et protègent toutes les personnes qui s’y trouvent. Une disposition contre laquelle les GAFA ont longtemps bataillé.

La dimension globale de ce dispositif est renforcée par deux principes qui soulignent que ce corpus de règles, d’inspiration anglo-saxonne, en appelle plus aux comportements et à l’intelligence des acteurs qu’à une application pointilleuse. Ainsi, les obligations déclaratives à la CNIL disparaissent, sauf pour les données sensibles. Cependant, elles sont remplacées par un principe général (accountability) et deux notions nouvelles (privacy by default et privacy by design).

Le principe général désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. Il faut donc documenter, expliquer comment a été établi le registre de traitement des données, comment ont été évalués les risques et quelles mesures ont été prises pour les supprimer.

Les deux nouvelles notions primordiales traduisent à elles-seules l’esprit et la logique du règlement. Dès l’origine (privacy by design), c’est-à-dire dès l’instant où une entreprise envisage une opération de traitement des données elle doit prendre en compte la protection des données personnelles des personnes qui sont concernées par le traitement. Par défaut (privacy by default), chaque acteur qui traite des données personnelles doit garantir le plus haut niveau possible de protection des données.

Tout ceci modifie les règles, certes, mais il s’agit surtout d’adopter des comportements capables de protéger l’intégrité de l’intimité du client qui a offert sa confiance. Là, nous touchons bien à l’éthique, c’est-à-dire au respect de la personne.

Henri DEBRUYNE

RGPD Règlement général relatif à la protection des données à caractère personnel
** Voir l’affaire Google-Spain - Arrêt de la Cour (grande chambre) du 13 mai 2014.

Protection des données personnelles : L’Union européenne adopte un nouveau règlement

Dans 12 mois, un nouveau dispositif de protection des données personnelles entrera en vigueur. Il donne de nouveaux droits aux citoyens et fixe un corps de règles qui s’impose à tous les acteurs de la sphère privée et publique. Les activités d’assurance sont particulièrement concernées.

Quatre années auront été nécessaire pour adopter le nouveau Règlement Général sur la Protection des données personnelles (RGPD en Français ou GDPR en Anglais). En France, il actualise et modernise la loi informatique et libertés du 6 janvier 1978. Ce règlement est un texte à application directe, c’est-à-dire qu’il n’y a pas besoin de le transposer. Il sera effectif sur l’ensemble de l’Union européenne le 25 mai 2018. Il reste donc une année aux entreprises pour procéder à sa mise en place.

Le règlement crée de nouveaux droits. Il impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données. Les utilisateurs doivent être informés de l’usage de leurs données. A travers un consentement explicite, ils doivent donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. Le droit à la portabilité des données est reconnu. Il permet à une personne de récupérer les données qu’elle a fournies, sous une forme réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux citoyens la maîtrise de leurs données, et de rééquilibrer l’asymétrie entre le responsable du traitement et la personne concernée. Des conditions particulières sont également prévues pour le traitement des données des enfants. Enfin, le principe des actions collectives est reconnu et un droit à réparation des dommages matériels ou moraux est institué.

La suppression des formalités préalables auprès des autorités de contrôle (la CNIL en France) constitue une simplification. Il n’y aura donc plus de déclaration ou de demandes d’autorisation préalable à la mise en place des traitements de données à caractère personnel. Par contre, les entreprises seront tenues de respecter un formalisme conséquent dans la mise en œuvre des traitements de données à caractère personnel. Ainsi, le « privacy by design » introduit par le Règlement impose des mesures techniques et organisationnelles appropriées aux enjeux et aux droits des personnes dont les données sont traitées. Et ce, dès la détermination des moyens du traitement, puis tout au long de ceux-ci.

Dans les faits, il s’agit d’instaurer une gouvernance des données. Celle-ci, devra mobiliser les moyens nécessaires à ses objectifs. Nommer un référent pour certifier la démarche, le préparer à ses missions, former les collaborateurs à la collecte des données, faire des audits pour vérifier la conformité des pratiques avec les nouvelles prescriptions, établir un plan d’actions, mettre en place des processus et s’appuyer sur des plateformes SI « sécurisées ».

Ce règlement a une application territoriale mondiale. Toutes les entreprises, y compris celles qui sont établies hors de l’Union européenne, doivent s’y conformer lorsque les traitements qu’elles mettent en œuvre sont relatifs à l’offre de biens ou de services à des personnes qui sont dans l’Union européenne ou lorsque les traitements sont liés au suivi du comportement de personnes « dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union européenne ». Les sanctions prévues pourront s’élever jusqu’à 20 000 000 d’euros, et, pour une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial ! Manifestement, les autorités européennes veulent faire en sorte que les nouveaux droits offerts aux citoyens soient gravés dans le marbre.

Chacun a compris que les activités d’assurance, grandes utilisatrices de données, sont directement concernées. Les organismes d’assurance, bien sûr, mais aussi les intermédiaires et les différents sous-traitants qui concourent à leur fonctionnement. Un nouveau chantier d’ampleur dont il est urgent de prendre la mesure des enjeux.

Henri DEBRUYNE