68% des Français se disent plus sensibles qu’avant aux problématiques de protection des données, selon le rapport annuel 2019 de la CNIL. Cette prise de conscience s’explique par le fait que le RGPD s’applique à tous les organismes détenant des données à caractère personnel, des entreprises aux associations en passant par les collectivités. A fin 2019, en France, plus de 21.000 Délégués à la Protection des Données étaient désignés dans plus de 62.000 organismes, ce qui traduit bien cette prise de conscience.
Qu’est-ce qu’une donnée personnelle ?
Pour comprendre et appliquer le règlement européen, il est important de bien identifier les données concernées. Selon la définition donnée par la Commission Nationale de l’Informatique et des Libertés (CNIL), une donnée personnelle est une information identifiant de façon directe ou indirecte une personne physique.
Une personne physique peut être identifiée :
- Directement, par exemple par son nom et son prénom
- Indirectement, par exemple par son numéro de téléphone, la plaque d’immatriculation de sa voiture, mais aussi par sa voix ou son image
Cette identification directe ou indirecte d’une personne physique peut être réalisée :
- A partir d’une seule donnée comme son numéro de sécurité sociale
- A partir du croisement d’un ensemble de données (sexe, date de naissance, adresse, détention de produits, …)
Le RGPD s’applique aux données personnelles des personnes physiques :
- Dans leur globalité : incluant donc les données professionnelles
- Mais uniquement aux personnes physiques : les données des personnes morales n’y sont pas soumises
Pour l’ensemble des collecteurs et utilisateurs de données personnelles, la mise en place du RGPD a deux principales conséquences. La première est un renforcement de la protection des données personnelles des personnes concernées. La seconde, découlant de la première, est un besoin d’adaptation de l’ensemble des acteurs de la Data dans leurs procédures internes pour être conformes au règlement.
Tout organisme établi sur le territoire de l’Union Européenne ou ciblant directement des résidents européens doit se mettre en conformité.
Évolution du recueil de ces données
La notion de données personnelles étant définie, quels sont maintenant les impacts lors du recueil de celles-ci.
Le RGPD permet le recueil et le traitement des données personnelles lorsque ceux-ci reposent sur :
- un consentement: la personne a consenti au traitement de ses données
- un contrat: le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée
- une obligation légale: le traitement est imposé par des textes légaux
- une mission d’intérêt public: le traitement est nécessaire à l’exécution d’une mission d’intérêt public
- un intérêt légitime: le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées
- une sauvegarde des intérêts vitaux: le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.
En outre, l’acquisition, la conservation et l’utilisation de ces données doivent servir à une finalité précise, légitime et strictement utile pour atteindre les finalités préalablement déterminées lors de la collecte. Une durée de traitement et de conservation de ces données doit également clairement être prédéfinie lors de cette collecte.
Les organismes collectant des données personnelles adaptent donc en conséquence leurs stratégies pour se conformer à ces exigences légales. Par exemple, les sites web ont l’obligation d’indiquer aux utilisateurs la finalité de l’utilisation des cookies de navigation et de les recueillir uniquement suite à un consentement libre, spécifique, éclairé et univoque, en laissant le soin aux utilisateurs de paramétrer ces cookies.
L’ensemble des acteurs exploitant des données personnelles doivent donc se mettre en conformité avec le règlement européen et souvent faire évoluer leur politique de confidentialité.
Cependant, les pratiques de collecte et d’utilisation des données personnelles restent relativement peu transparentes. Aujourd’hui, il est toujours difficile pour la CNIL de savoir quels sont les effets concrets du RGPD sur l’ensemble des données personnelles collectées.
Dans ce contexte, les pratiques des data brokers, entreprises dont l’activité est basée sur la revente de données à des annonceurs ou à des prestataires marketing, se caractérisent par des difficultés à convaincre qu’ils ont obtenu le consentement de façon libre, spécifique, éclairée et univoque des internautes pour récupérer puis revendre leurs données personnelles. De plus, leur activité même de vente de données personnelles peut se trouver en contradiction avec plusieurs des articles du règlement européen, principalement avec le principe de finalité. Toutes les données personnelles contribuent au modèle d’affaires d’un data broker puisque, de par sa nature, il revend ce type d’informations et en tire profit. La conformité ou non au règlement européen des données provenant d’un data broker peut donc s’avérer compliquée à démontrer. Plusieurs exemples nous montrent bien ces difficultés avec plusieurs de ces acteurs particuliers, suivis par des instances nationales de contrôle : en France une enquête est ouverte sur Criteo, en Irlande sur Quantcast, en Grande-Bretagne sur Acxiom, Experian et Equifax.
Impact sur l’exploitation des données personnelles
Une fois ces données recueillies dans le respect du RGPD, comment peut-on les exploiter ?
Le règlement européen impose donc un nouveau cadre, se traduisant par plus de sécurisation des données personnelles et donc aussi par plus de contraintes pour les entreprises exploitant ces données.
Il est important de bien comprendre que le RGPD a pour unique but de protéger les personnes dont les données sont exploitées et non d’en empêcher leur utilisation, encore moins de stigmatiser l’analyse de données et son exploitation.
Pour être conformes à la loi, les organismes utilisant des données personnelles doivent avant tout mener une étude de risques auxquels s’exposent les données de l’entreprise (fuite ou violation de la protection). Lorsque ce risque est élevé pour les droits et les libertés des personnes concernées par les données, une Analyse d’Impact relative à la Protection des Données, dit AIPD, doit également être réalisée. Les organismes doivent ensuite mettre en place des dossiers internes de conformité RGPD, contenant les registres de traitements de données, l’AIPD, le registre des violations de données, le registre des consentements, les contrats de sous-traitants et les mentions légales.
En plus des règles lors de la collecte, de nombreuses autres règles s’appliquent également lors de l’exploitation des données personnelles. Pour permettre l’utilisation des données personnelles dans les projets de data science, l’une des solutions est d’anonymiser les données. En effet, des données anonymisées sortent du périmètre du RGPD.
Aujourd’hui, plusieurs techniques d’anonymisation existent :
- Le hachage, fonction calculant une empreinte (ou signature) unique à partir des données fournies
- L’agrégation, regroupement de données d’individus (perte donc du caractère personnel)
- La confidentialité différentielle, issue de la cryptographie, technique basée sur l’introduction de bruit (informations aléatoires au sein des données)
Mais ces techniques conduisent à une perte inévitable d’informations, en outre l’anonymisation n’est pas sûre à 100%.
Netflix en a eu l’illustration dans le cadre de son concours de 2006 où la firme américaine proposait de prédire les notes attribuées à certains films par les utilisateurs. Des chercheurs de l’Université du Texas ont réussi à réidentifier des utilisateurs simplement en croisant les informations avec des données publiques, alors que l’entreprise avait publié 100 millions de notes anonymisées.
Le règlement européen aborde également d’autres techniques, comme par exemple la pseudonymisation.
Pour permettre aux équipes de data scientists et data analysts de travailler sereinement et efficacement les données personnelles, les organismes doivent fréquemment repenser leur organisation et mettre en œuvre des solutions ad hoc. Pour plus d’efficacité et de réactivité, l’une des solutions est de centraliser les données personnelles dans un outil favorisant une gouvernance des données et différenciant celles à caractère personnel. Les organismes doivent également développer des processus de travail et former leurs collaborateurs à l’utilisation et à la documentation des données personnelles. Enfin, ils doivent assurer la traçabilité des transformations et algorithmes appliqués aux données à caractère personnel pour faciliter des audits.
La mise en place et le respect du RGPD sont souvent perçus comme une contrainte, sans point positif. Toutefois, l’absence de mise en place du RGPD peut conduire à d’importantes sanctions.
Sanctions en cas de non-respect
Selon la gravité des faits, les sanctions appliquées en cas de non-respect du RGPD sont variables. Dans le cas où l’autorité de contrôle fait le choix d’une amende administrative, le montant peut être plus ou moins lourd selon le degré de gravité de la violation de la vie privée des personnes concernées : au maximum 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial du groupe (la sanction maximale est retenue). À ces sanctions administratives, peuvent s’ajouter des sanctions pénales qui vont jusqu’à 300.000 euros d’amende et 5 ans d’emprisonnement.
Parmi les entreprises déjà sanctionnées, nous pouvons citer : Google, Facebook, Uber, Carrefour France et Carrefour Banque, Bouygues Telecom, Darty, Optical Center ou encore l’Office HLM de Rennes. Des sanctions ont été appliquées dans tous les secteurs d’activité, l’objectif du RGPD étant bien de protéger l’ensemble de données personnelles.
Tout organisme dont l’activité touche de près ou de loin à ces données, doit donc être conforme au règlement.
C’est à la France que revient la sanction record d’un montant de 50 millions d’euros, infligée par la CNIL à Google début 2019. Le sanctionné n’est pas vraiment une surprise compte tenu du fait que les mesures de protection des données personnelles visaient initialement à ébranler la monétisation des données personnelles des utilisateurs, qui est à l’origine de l’essor économique des GAFAM (Google, Apple, Facebook, Amazon et Microsoft) et maintenant des NATU (Netflix, Airbnb, Tesla et Uber).
Transformation des métiers de la Data
Depuis la mise en place du RGPD, l’éthique pour les data scientists et les data analysts est une valeur encore plus incontournable qu’avant. Cela impose donc, dans ces métiers, de se questionner sur l’origine, la finalité et l’utilité de chaque donnée. Mais cela est souvent rendu compliqué par des fonctionnements qui créaient peu de lien entre les professionnels de la Data et les équipes souhaitant l’exploitation de ces données.
La fonction de Chief Data Officer tente d’occuper ce créneau mais dans une enquête publiée en début d’année, seuls 28% des Chiefs Data Officers considèrent que leur rôle est « profitable et bien défini ».
Aujourd’hui, les équipes de data scientists et data analysts éprouvent donc des difficultés à naviguer entre le règlement et le besoin de traitement des données personnelles. Cette démarche éthique est devenue une question centrale qui se pose aux entreprises et aux organisations.
Passer de contrainte à opportunité
La mise en œuvre du RGPD doit avant tout être vue par les organismes comme l’occasion d’initier un changement. Il doit permettre de revoir les processus de traitements des données personnelles et de les centraliser ainsi que de permettre la mise en place des nouvelles méthodes de travail. Les métiers de la Data et leur environnement continueront à fortement évoluer dans les prochaines années, il peut donc être pertinent de surfer sur cette dynamique.
La prise de conscience accrue de la population sur la protection des données personnelles incite les organismes à communiquer sur leur conformité et leur engagement à respecter la vie privée de leurs collaborateurs et de leurs clients. Cette démarche ne peut pas manquer de renforcer la confiance dans leur écosystème et tous ne pourront qu’être gagnants dans le recrutement et la fidélisation des clients et des collaborateurs.
Références :
CNIL : cnil.fr
Rapport annuel 2019 de la CNIL
https://www.cnil.fr/sites/default/files/atoms/files/cnil-40e_rapport_annuel_2019.pdf
Enquête sur les Chief Data Officers en France, publiée en 2020 par Data Galaxy