L’essence même de la protection des données ne réside pas nécessairement dans la réalisation d’analyses d’impacts, la mise en œuvre de codes de conduite complexes ou l’obtention de labels et autres certifications, mais dans ce qui a fait la genèse des textes fondateurs (loi Informatique et libertés, RGPD[1]).
L’informatique devant être au service de chaque citoyen, il est crucial de revenir aux fondamentaux de la protection des données personnelles si l’on veut en respecter les principes les plus élémentaires, selon notre expert Sylvain LEBARBIER, Responsable des programmes de conformité réglementaire chez CGI.
Revenir à l’esprit de 1978
Dans plusieurs délibérations récentes, la CNIL[2] invite les entreprises à se recentrer sur la philosophie de l’informatique face aux libertés en mettant en cause le non-respect des points de conformité les plus élémentaires :
- Une information des personnes inexistante au moment de la collecte de leurs données, manquant de lisibilité ou ne correspondant pas à la réalité des traitements
- Des durées de conservation inadéquates ou non appliquées
- Un exercice de leurs droits par les clients (accès, suppression) incorrectement satisfait
- Des demandes de non prospection commerciale non prises en compte
- Un consentement non obtenu lorsque celui-ci était exigé
Ces manquements étaient pourtant déjà inscrits dans la loi Informatique et libertés, version 1978 (et précisés par la Loi pour la confiance dans l’économie numérique de 2004 pour ce qui concerne le consentement à la prospection par e-mail). Alors pourquoi, plus de 30 ans après et malgré un corpus réglementaire renforcé, les organisations qui exploitent des données à caractère personnel peinent-elles autant à appliquer les réglementations correspondantes, dont la rédaction semble pourtant si simple et claire ?
Il n’y a très certainement pas une, mais plusieurs réponses cumulatives à cette question.
La protection des données personnelles : un investissement à part entière
Il est incontestable que les responsables de traitement souffrent d’une capacité à appréhender la réglementation de manière opérationnelle. En effet, pour les petites structures, le RGPD et ses 88 pages (bien éloignées des quelques feuillets de la loi Informatique et libertés originelle) est résolument indigeste et compliqué dans sa prise en compte globale (sans pour autant que l’on puisse remettre en question son exceptionnelle qualité de contenu). Et bien souvent, un Délégué à la protection des données non chevronné aura été désigné par ces structures, en complément à son activité habituelle et sans moyens réels dédiés (allant au-delà d’une formation de quelques heures), reléguant de facto la protection des données aux sujets non prioritaires, ou se focalisant sur les nouveautés du RGPD plutôt que sur les fondamentaux de la conformité.
Par ailleurs, les plus grandes structures auront idéalement anticipé ce besoin de conformité en désignant, dans un premier temps, un facultatif Correspondant informatique et libertés isolé avant de désigner, dans un second temps, un obligatoire Délégué à la protection des données plus ou moins bien doté en ressources. Mais la tâche qui l’attendra s’avèrera déroutante de complexité organisationnelle, technique, réglementaire et humaine.
Maîtriser son organisation pour mieux protéger les données personnelles
Les facteurs tendant à faire de la protection des données un mythe de Sisyphe moderne sont multiples.
Au gré des fusions et autres rapprochements, les organisations ont peiné à s’imposer puisqu’à peine digérées elles ont presqu’immédiatement fait l’objet de nouvelles remises en question. Or pour mettre en place une politique et une démarche de conformité dignes de ce nom, une certaine stabilité est de rigueur, sous peine de sans cesse devoir remettre en cause le travail déjà accompli.
Ensuite, ces mêmes rapprochements ont conduit à des empilements trop rapides de systèmes d’informations hétéroclites, à une absence de cartographies fiables et pérennes, et à une perte de traçabilité de la donnée. Les programmes dédiés à la qualité de la donnée se développent progressivement, mais doivent encore gagner en efficacité.
Enfin, les méthodes de travail doivent être repensées à l’aune de l’entreprise "Agile", alors que les services en charge de l’amélioration de la conformité réglementaire sont pris en tenaille entre la nécessité de sécuriser les nouveaux projets rendus plus visibles et donc plus vulnérables en termes de probabilité de contrôle par l’autorité de régulation, et un arriéré dramatique des traitements historiques, notamment en matière de sécurité et de maîtrise des durées de conservation.
Il est donc plus que temps de revenir aux fondamentaux de la protection des données personnelles, et de retrouver l’esprit de la loi de 1978 pour appliquer au mieux un RGPD incontestablement exigeant.