Les 6 et 7 Mars derniers se tenait l’un des grands rendez-vous du Big Data : le salon du Big Data au Palais des Congrès de Paris. L’occasion de se mettre à la page sur les dernières innovations en matière d’Intelligence Artificielle, d’analyse de données, mais aussi de découvrir des cas d’entreprises qui ont réussi à exploiter le potentiel de leurs datas.

Nos données représentent un enjeu business important : analyse des marchés, compréhension et anticipation des comportements, ciblage … En bref, nos données valent de l’or.

Oui, mais le sujet pose un profond débat sur l’encadrement et l’utilisation de ces données. Quel est le cadre juridique qui structure aujourd’hui le traitement des données personnelles ? En Avril 2016, l’Union Européenne a adopté un nouveau règlement visant à sécuriser les données personnelles traitées des citoyens habitant sur le sol européen. Un grand changement qui va avoir un impact organisationnel important sur différents types d’activités. Quelles en sont les principales règles ? Qui est concerné ? Quels sont les principaux impacts pour les activités qui traitent de la donnée ?

Pour répondre à ces questions, j’ai eu le plaisir d’échanger avec DPO Consulting, cabinet de conseil en protection des données personnelles, qui m’a apporté son regard d’expert.

Qu’est ce que Règlement Général sur la Protection des Données (RGPD) ?

L’Union Européenne a adopté en Avril 2016 un nouveau règlement visant à assurer la protection des données personnelles: le Règlement Général sur la Protection des Données (RGPD). Le texte entrera en vigueur en Mai 2018 et laisse donc aux entreprises un délai de 2 ans pour s’adapter et être en conformité avec règlement.

L’objectif de ce règlement est d’apporter de la sécurité juridique à ces opérations de traitement de données, et de les encadrer pour permettre le développement et la sécurisation de l’activité informatique.

Pour les organisations, le champ d’application de cette loi est défini par la réunion de deux éléments:

  • Y a t’il des données à caractère personnel ?
  • Y a t’il traitement de ces données ?

Si la réponse à ces deux questions est oui, alors, le règlement s’applique pour votre organisation.

L’application du RGPD est large et dépasse le domaine commercial

Pour rentrer un peu plus dans le détail, il faut définir ce que l’on entend par “données à caractère personnel” et “traitement de données”. On entend par donnée à caractère personnel “Toute information relative à une personne pouvant être identifiée de manière directe ou indirecte.”

Cette donnée personnelle est donc très banale puisqu’elle n’est pas forcément relative aux questions de vie privée.

En parallèle, on définit le traitement des données personnelles par “toute manipulation quelle qu’elle soit d’une donnée personnelle: collecte, communication, circulation, archivage, destruction …”.

Le spectre du RGPD est donc très large et concerne de très nombreux acteurs ! Cela dépasse donc amplement le domaine commercial.

“Le RGPD représente une révolution silencieuse car il ne s’applique pas uniquement aux questions de vie privée mais bien à toutes les informations relatives à une personne identifiée ou identifiable (…) donc le champ est énorme. Avec le Big Data par exemple, avec les recoupements, vous pouvez commencer par traiter des données qui ne sont pas personnelles et puis finalement arriver sur des données à caractère personnel. Et là vous tombez sous le champ de la loi” m’explique Nicolas Ochoa, Data Privacy Consultant chez DPO Consulting.

Qu’est-ce qu’un Data Protection Officer ?

Pour permettre la mise en conformité des entreprises sur le problématiques de traitement de la data, le Règlement Général sur la Protection des Données (RGPD) rend obligatoire le métier de Data Protection Officer dans toutes les administrations et entreprises qui traitent des données à grande échelle.

Le Data Protection Officer a donc un rôle de chef d’orchestre dans la mise en conformité du traitement des données personnelles au sein de l’organisation.

L’une des grosses évolutions portées par ce texte réside dans l’évolution qu’elle apporte au processus de contrôle. Avant, la mise en conformité était organisée par les autorités publiques, à qui l’on demandait l’autorisation d’agir ou à qui on adressait des déclarations préalables, comme la CNIL en France. Maintenant, elle sera effectuée de manière privée par les responsables de traitement eux-mêmes. Le texte instaure donc un principe de responsabilité pour les entreprises qui traitent de la donnée.

Le rôle stratégique du Data Protection Officer

Le Data Protection Officer a donc un rôle central au sein de l’entreprise puisqu’il doit être associé à toutes les questions relatives à la protection des données personnelles. Il doit notamment informer et conseiller le responsable de traitement des données ou encore notifier les failles de sécurité aux autorités de contrôles (en France, la CNIL). Il est donc au cœur des stratégies des entreprises et est responsable de leur conformité en mettant en oeuvre les mesures qui permettent de protéger les données personnelles en amont du traitement de ces données et de documenter tous les process de traitement pour être prêt en cas de contrôle.

Avec son rôle stratégique, il pourrait faire partie des comités de direction afin d’être au cœur des décisions stratégiques.

Quel est le profil du Data Protection Officer ?

Il doit posséder des qualités dans ces 3 domaines: juridique, informatique et management. Le Règlement Général sur la Protection des Données (RGPD) dit clairement que le Data Protection Officer doit être nommé en fonction de ses connaissances en matière de droit relatives à la protection des données personnelles. Avoir une culture technique et informatique est donc primordial pour effectuer ce nouveau métier, mais il faut aussi avoir une connaissance de la gouvernance des entreprises, car il a aussi un rôle politique au sein des organisations. Et bien sûr, des connaissances juridiques ! C’est donc un profil très complet ! Et il n’existe pas vraiment à date de formations spécifiques pour ce type de profils.

Les Data Protection Officers seront obligatoires dans les organisations concernées à partir de Mai 2018. L’application de ce Règlement Général à la Protection des Données va donc représenter un grand changement organisationnel au sein des organisations concernées.

Pour bien préparer les 13 prochains mois, la première étape est donc d’identifier si votre activité est concernée par la nomination d’un Data Protection Officer, puis prendre le temps d’anticiper et d’évaluer les traitements de données, former et sensibiliser vos collaborateurs pour disposer de relais au sein de l’entreprise !

Un grand merci à DPO Consulting qui a accepté de répondre à toutes mes questions.

Pour en savoir plus, vous pouvez accéder au texte complet ici:

http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679