#DigiLex Compte-rendu
« Il faut qu’on s’y mette »
Alors que le Règlement général sur la protection des données (RGPD) ou general data protection regulation (GDPR) du 27 avril 2014 entrera en vigueur le 25 mai 2018, retour lors de l’édition de #DigiLex du 30 novembre 2017 sur les grands enjeux de cette réglementation européenne portant sur les données personnelles.
« Vous avez aimé le bug de l’an 2000 ? Vous allez adorer RGPD ! » lance David Lacombled, fondateur de La villa numeris, lors du rendez-vous de #DigiLex, en partenariat avec Latournerie Wolfrom Avocats, au Palais du Luxembourg, tant la réglementation questionne sur ses enjeux. Les grands témoins ont débattu sur ce texte qui remplace les 28 textes existants des 28 pays de l’Union européenne. Pour la France, il s’agit de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Avec cette réglementation, « un changement de paradigme a lieu avec de nouveaux droits» explique David Lacombled comme le droit à la portabilité des données. Pour lui, Si les entreprises privées s’y préparent, « des pans entiers du secteur public semblent aux abonnés absents ». Le secteur public « n’a pas pris conscience des travaux à accomplir » déplore également l’avocate Marie-Hélène Tonnellier.
De la confiance
Un enjeu crucial. « Avec le développement de l’intelligence artificielle, l’enjeu de protection des données est très important. Cela va d’ailleurs au-delà. Il faut créer de la confiance » note Mathieu Jeandron, directeur numérique pour l’Education. Il évoque ainsi le « chemin de crête étroit entre les objectifs poursuivis : responsabilité et transparence ».
Ce texte qui a « mis un peu de temps à voir le jour a été fait pour les GAFA (Google-Amazon-Faceboo-Apple) » souligne Marie-Hélène Tonnellier, avocate, qui rappelle la toile, de fond avec notamment l’affaire Snowden « où les données personnelles étaient un enjeu ».
Les acteurs économiques concernés devant se mettre en conformité sont légion au risque sinon de se voir infliger des amendes. Si dans l’imaginaire le RGPD est associé au privé, la sphère publique y a bien entendu sa place. Elle est « pourvoyeuse de données avec le Big Data » comme le rappelle Marie-Hélène Tonnellier. Elle prend, ainsi, l’exemple des smart cities. Les fournisseurs d’énergie et notamment d’électricité remettent aux collectivités des données. Celles-ci sont « bien en peine de savoir comment gérer ces données en totale compliance ».
De l’importance de s’y préparer
« Face aux nombreux changements, il faut anticiper » note, le sénateur de la Somme, Jérôme Bignon. Aussi, pour Marie-Hélène Tonnellier, le GRPD « nécessite une anticipation » et ceci de l’ordre de six mois. Aussi, les entreprises « auditent ou achèvent leur plan de compliance ».
« L’accountability est le principe qui fait le plus peur » note Charlotte David Barraco, avocate. On pourrait tenter de le traduire par « responsabilité » mais cela reste imparfait. Il s’agit d’être capable de « respecter la réglementation de montrer que l’on a tout fait pour respecter les obligations qui pèsent sur nous pour se conformer au règlement » explique-t-elle. Il faut mettre en place un programme de confiance. Alors que quasiment toutes les formalités administratives disparaissent, d’autres obligations voient le jour à l’image de l’analyse d’impact. « Si avec la loi actuelle, on se sentait protégé, avec le GRPD, on va devoir expliquer, argumenter et justifier » souligne Marie-Hélène Tonnellier.
L’enjeu de la sécurité
Aussi, Charlotte David Barraco relève l’importance de la documentation et la « photographie du traitement dans un registre ». Matthieu Jeandron, évoque les 7.000 chefs d’établissement qui vont devoir se mettre en conformité et mettre en place un registre. Pour lui, le GRPD va « amener un changement profond du marché économique de l’IT et du numérique ». Les standards de sécurité vont conduite « à la professionnalisation de plusieurs métiers » note-t-il.
Autre apport du GRPD concernant le personnel : le Data Protection Officer (DPO). Il est obligatoire pour les autorités publiques. Il est facultatif pour les entreprises privées sauf quand les données sont au cœur de l’activité. Celui-ci joue un rôle clé et a une vision d’ensemble.
Marie Hélène Tonnellier note que les failles de sécurité sont l’un des « « éléments les plus cruciaux » de la réglementation.
Refuser l’intrusion dès le départ
Il s’agit de prendre en compte la réglementation « dès la conception des outils » précise Charlotte David Barraco. Le respect de la vie privée doit être pris en considération en amont.
On distingue ainsi la privacy by design qui est l’intégration de la vie privée dès l’architecture des systèmes d’information - « la fonctionnalité ne doit pas être intrusive dès le départ » précise Charlotte David Barraco - et la privacy by default que sont les mécanismes qui minimisent les données.
Le sénateur Jérôme Bignon apporte son regard sur le GRPD et lance un appel : « il faut qu’on s’y mette. » Il est nécessaire, pour les collectivités, explique-t-il, de « lire et de se familiariser ». Il rappelle que le règlement est une application directe dans chaque pays. Sensible à « l’utilisation des données personnelles », il lutte, en tant que parlementaire contre l’intrusion dans la vie privée. Ce volet est clé dans le monde de l’éducation. « L’enjeu est aussi de protéger les élèves d’eux-mêmes » note Mathieu Jeandron.