Avant le RGPD, la cybersécurité commençait à être considérée par les conseils d’administration comme un risque commercial, mais souvent l’impact de la perte de données ne pouvait pas être correctement quantifié et les coûts de renforcement des cyberdéfenses n’étaient pas basés sur un cadre juridique et étaient donc moins facile à justifier.
L’avènement du RGPD, avec la promesse de lourdes amendes basées sur le chiffre d’affaires annuel d’une part et un cadre réglementaire clair permettant de démontrer la conformité d’autre part, a rendu l’analyse des risques commerciaux beaucoup plus facile. Même si les organisations ne se souciaient pas de la protection des données personnelles qu’elles traitaient avant l’introduction du RGPD, elles le font maintenant.
Mais le simple respect du RGPD ne garantit pas nécessairement la vie privée des employés et des clients. La Grande-Bretagne Commissariat à l’information (ICO) utilise désormais le terme « protection des données dès la conception » plutôt que « vie privée dès la conception ». Cela s’explique au moins en partie par le fait que la « vie privée » est dans une certaine mesure subjective, ce que les règles de protection des données ne peuvent pas être. Aussi, certains qui revendiquent le respect des règles de protection des données peuvent être conformes à la lettre de la réglementation mais n’en suivent pas nécessairement l’esprit.
Par exemple, dans le cas du consentement, l’exigence stipule : « En général, cela devrait être aussi facile pour eux [the data subject] retirer son consentement comme il s’agissait pour vous d’obtenir le consentement. Ce n’est pas quelque chose que j’ai vécu jusqu’à présent, peut-être parce que c’est assez difficile à réaliser. La plupart des gens voient cela lorsque nous naviguons sur un nouveau site Web et sont invités à « accepter tous les cookies ». C’est très facile à faire en cliquant simplement sur un bouton. Si vous changez d’avis, revenir en arrière et révoquer l’autorisation peut être un défi dans de nombreux cas.
Mais le consentement n’est qu’une des bases juridiques du traitement des données personnelles. D’autres incluent une responsabilité contractuelle ou légale qui ne peut être satisfaite que de cette manière, ou un « intérêt légitime » qui a également été mis en avant avec la nécessité de demander le consentement.
Dans le cadre du processus de consentement aux cookies, un bouton « intérêt légitime » est souvent caché au bas de l’écran. L’intérêt légitime est le traitement de données personnelles dans le cadre de l’intérêt légitime d’un individu, d’un tiers ou d’une entreprise à fournir un service, ou parce qu’il présente des avantages sociaux plus larges. Quelque chose qu’un consommateur s’attendrait à ce qu’il soit nécessaire pour pouvoir consommer le service, ou les intérêts commerciaux du fournisseur.
« Même si les organisations ne se souciaient pas de la protection des données personnelles qu’elles traitaient avant l’introduction du RGPD, elles le font maintenant »
Paddy Francis, Airbus CyberSecurity
L’organisme traitant les données doit cependant être en mesure de démontrer qu’il n’y a pas de préjudice pour ceux dont les données sont traitées et qu’il n’y a pas de moyen moins intrusif pour atteindre l’objectif du service. L’intérêt légitime peut être une base juridique utile pour le traitement sans consentement explicite lorsqu’il n’y a pas de relation contractuelle ou d’exigence légale. Cependant, elle doit encore être déclarée et les raisons justifiées. Cela peut, en partie, être la raison pour laquelle certains sites Web incluent un intérêt légitime dans leur processus de consentement. Néanmoins, si les cookies nécessitant un consentement sont « désactivés » par défaut, ceux relatifs à l’intérêt légitime sont généralement « activés ».
Un exemple concret où un intérêt légitime pourrait être utilisé, mais pourrait être difficile à justifier, est l’analyse antivirus de e-mails quittant une organisation. On pourrait faire valoir que c’est dans l’intérêt de la réputation de l’entreprise et de tout tiers recevant des e-mails infectés, mais en même temps, une personne identifiable pourrait croire que l’envoi involontaire d’un tel e-mail pourrait être retenu contre elle.
Un autre exemple est celui où un employé a un dossier sur son bureau nommé « personnel » qu’il utilise pour prendre en charge ses propres activités professionnelles. L’employeur aurait-il un intérêt légitime à accéder aux dossiers « personnels » d’un utilisateur ? Et s’ils le faisaient, les preuves obtenues en le faisant seraient-elles admissibles devant un tribunal du travail ?
Le premier scénario pourrait mieux être couvert par le consentement et le second par un contrat de travail donnant à l’employeur ce droit.
Appliquer les principes du RGPD
« Légalité, équité et transparence » constituent le premier des les sept principes du RGPD, qui doivent clairement être pris en compte dès le départ dans tout nouveau projet et maintenus tout au long de la vie d’un système au fur et à mesure de son évolution. Les six autres principes sont : la limitation de la finalité ; minimisation des données ; précision; limitations de stockage; intégrité et confidentialité; et la responsabilité.
Alors que l’ensemble du RGPD doit être pris en compte dès le premier jour d’un nouveau projet, la « limitation de la finalité » et la « minimisation des données » sont probablement les plus importantes à considérer en premier.
Comprendre le but de toute entreprise est essentiel. Avec le RGPD, il s’agit de la finalité pour laquelle vous collectez et traitez des données personnelles. Sans le comprendre, vous ne pouvez pas savoir quelles données vous devez collecter et ne serez pas en mesure d’établir la base légale pour la collecte et le traitement.
La finalité doit être documentée et énoncée dans une politique de confidentialité, ou l’équivalent accessible à tous les utilisateurs. Il est important d’identifier toutes les finalités pour lesquelles les données devront être traitées dès le départ, car le traitement ultérieur des données à d’autres fins impliquera l’obtention d’un consentement supplémentaire et la mise à jour de votre documentation.
La minimisation des données, d’autre part, consiste à minimiser les données collectées uniquement à celles nécessaires à l’objectif. Le mot « nécessaire » ici est également important, car il signifie que la solution doit minimiser ce qui est nécessaire à collecter. Autrement dit, si le choix de la solution A nécessite la collecte de plus de données personnelles par rapport à la solution B, le fait que les données collectées soient nécessaires pour la solution A ne répond pas aux exigences de minimisation des données si elles ne sont pas nécessaires pour la solution B. Ceci est important non seulement pour se conformer au RGPD, mais aussi pour minimiser la quantité de données personnelles à protéger et idéalement minimiser, voire éliminer, la nécessité de collecter ou de conserver des données personnelles sensibles.
Pseudonymisation des données utilisateur
Une autre approche pour protéger les données des utilisateurs est le concept de pseudonymisation. Par exemple, un ensemble de données médicales pourrait avoir l’identité de l’utilisateur remplacée par une pseudo-identité aléatoire unique et la relation entre l’identité de l’utilisateur et la pseudo-identité stockée séparément. Les données seraient alors considérées comme pseudonymisées. Il ne serait pas totalement anonymisé, car l’utilisateur serait toujours indirectement identifiable grâce aux données cartographiques. Cependant, les données pseudonymisées pouvaient être traitées en toute sécurité à condition que le mappage avec leur véritable identité soit conservé en toute sécurité. S’il n’a jamais été nécessaire d’identifier l’utilisateur spécifique, alors la correspondance avec l’identité réelle n’a pas besoin d’être conservée et les données peuvent être considérées comme totalement anonymisées.
Cependant, une certaine prudence est nécessaire ici, car si le processeur de données ne détient pas le mappage, mais qu’il existe toujours ailleurs, il ne serait pas considéré comme totalement anonyme. De plus, si les données contenaient d’autres informations qui pourraient être utilisées pour identifier un individu par corrélation avec d’autres données – par exemple, la date de naissance et le code postal corrélés avec le registre électoral – alors les données ne seraient toujours que pseudo-anonymes, donc il devraient être protégés en tant que données personnelles.
Des approches de confidentialité en constante évolution
Le RGPD a certainement eu un impact au cours des trois années qui ont suivi son introduction. Les organisations ont adapté leurs approches des données personnelles pour se conformer à la réglementation, et les autorités les ont de plus en plus tenues responsables des violations de ces réglementations.
Il y a également eu un intérêt accru pour la confidentialité du public, avec des informations et des rapports sur les diverses violations de données et l’annonce faite plus tôt cette année par Apple qu’elle supprime la possibilité pour les annonceurs de suivre l’activité des utilisateurs sur les applications et les appareils.
Bien que je ne m’attende pas à ce que la réglementation change de manière significative à l’avenir, son application continue et la compréhension croissante du public de la vie privée dans le monde numérique continueront probablement de changer notre approche de la vie privée pendant un certain temps.
