L’évolution extrêmement rapide des Big Data impose une mise à jour du cadre législatif relatif à la protection des données à caractère personnel. Le Règlement général sur la protection des données sera probablement adopté dans le courant de l’année 2015. Et il est préférable de commencer à vous y préparer dès maintenant.
Le texte approuvé du règlement (Proposal of General Data Protection Regulation, en abrégé GDPR) est attendu dans le courant de 2015. Après une période transitoire de deux ans, le GDPR entrera en vigueur dans tous les États membres en 2017. Pas étonnant dès lors que la protection des données progresse énormément sur la liste des priorités du Chief Risk Officer, du Chief Information Officer et du Compliance Officer.
Limitation des données
Le GDPR repose sur trois principes de base. Le premier, la limitation des données au minimum nécessaire, implique que le responsable du traitement des données ne peut collecter plus de données que ce qui est strictement nécessaire à un objectif donné. Dès que son objectif disparaît et que les données n’ont plus aucune utilité, elles doivent être effacées. Bien que les applications Big Data collectent par définition le plus grand nombre de données possibles, le principe de limitation n’y fait a priori pas obstacle.
À condition de surveiller scrupuleusement la légalité des applications. Le principe de limitation des données implique par ailleurs que les données ne puissent être accessibles qu’aux personnes qui doivent en disposer pour leur fonction. Juridiquement, l’idée est claire, mais sa traduction en directives stratégiques et en opérations concrètes est souvent une autre paire de manches. Elle exige une série d’outils technologiques, comme un système adéquat de gestion des droits d’accès et une architecture des données ciblée. Vous avez dès lors intérêt à y mettre de l’ordre avant de procéder à l’implémentation du GDPR.
Transparence
L’attention des médias pour les questions de protection de la vie privée, les nouvelles obligations en matière d’information et des conditions plus strictes concernant l’utilisation d’autorisation comme justification du traitement des données personnelles accroissent la demande de transparence, le deuxième pilier du GDPR. Conséquence ? De nombreuses organisations devront revoir en profondeur leur fourniture d’informations précontractuelle et leurs conditions. Mais aussi vérifier si elles ont suffisamment de raisons de conserver les données collectées par le passé et de les affecter à des objectifs alternatifs.
e plus, le GDPR ancre les droits du sujet des données. Chacun peut demander à consulter les données collectées à son propos et retirer à tout moment une autorisation donnée, à la suite de quoi le responsable sera contraint d’effacer les données. Il est impossible de garantir ces droits sans une architecture des données de qualité et une bonne compréhension des processus de traitement et des structures de gouvernance. Cette obligation devrait également améliorer la qualité des données. Car les sujets auront rapidement accès à leurs données et pourront eux-mêmes rectifier les éventuelles erreurs.
Responsabilités
Le principal changement réside dans les responsabilités. Le responsable du traitement et le sous-traitant de données personnelles seront désormais conjointement responsables et tenus au respect du GDPR.
De plus, il sera obligatoire de documenter les efforts consentis par le biais d’audits et de Privacy Impact Assessments, alors que la charge de preuve sera inversée au profit du sujet des données. Par ailleurs, la surveillance sera harmonisée et durcie, avec une sanction maximale de 5% du chiffre d’affaires mondial. Vous avez donc tout intérêt à bien vous préparer à ce nouvel arsenal législatif.