COMPLIANCE IT LEGAL CONSULTING (CIL CONSULTING)

Florence BONNET

+33(0)1 46 98 90 01

www.protection-des-donnees.com

Analytique

API

Applications

Dataviz

Infrastructure

Institutionnels

Consultants/SSII

Intégrateurs

 

En quoi le Big Data est-il impacté par
la réglementation sur la protection
des données personnelles ?

 

Ce qui est nouveau avec les Big Data, c’est que le traitement porte sur un volume inédit de données d’une grande variété. Même si a priori il n’y a pas de données personnelles, il peut y avoir une possibilité de ré-identifier les personnes ou de faire du profilage. C’est aussi la multiplication des sources de risques liés aux solutions hébergées dans le nuage et/ou en dehors de l’UE.

C’est enfin la complexité des traitements, généralement

en temps réel ou quasi-réel, auxquels les mesures traditionnelles de sécurité ne sont pas adaptées.

Côté législation, les traitements de données personnelles doivent respecter un des principes « difficilement compatibles » avec les caractéristiques mêmes des Big Data, tels que la minimisation de la collecte,

la proportionnalité du traitement, le principe de finalité compatible ou l’interdiction d’interconnecter

des fichiers de finalités différentes. D’autre part dès le 25 mai 2018, le Règlement européen imposera aux entreprises de mener une étude d’impacts sur la vie privée pour les traitements présentant des risques élevés pour les personnes.

Par conséquent, avant la mise en œuvre d’un tel projet, les entreprises doivent s’interroger sur le cadre juridique applicable, sur la conformité et sur la sécurité des données. D’autant plus que la violation

des dispositions du Règlement sera passible de sanctions de l’ordre de 4 % du C.A. mondial d’un groupe
ou 20M d’euros.

 

Qui est concerné et quels sont les risques en cas de non-conformité ?

La loi Informatique et Libertés concerne toutes les organisations, publiques ou privées, amenées à traiter d’informations sur les personnes, qu’il s’agisse de leurs salariés, de leurs clients, de leurs adhérents

ou patients, des visiteurs d’un site internet ou des utilisateurs d’applications.

En revanche, les mesures de sécurité doivent être adaptées aux risques liés aux traitements.

Par conséquent, les organisations ayant à traiter un grand nombre de données sensibles ou mettant en œuvre des traitements susceptibles de présenter des risques pour les libertés et droits fondamentaux

des personnes sont plus particulièrement concernées quelle que soit leur taille.

Aujourd’hui la loi concerne uniquement les responsables de traitement, tandis que les sous-traitants ont une responsabilité contractuelle à leur égard. Surtout, dès mai 2018, les sous-traitants seront soumis aux mêmes obligations de sécurité et passibles de sanctions.

 

Quelle est la démarche à suivre par les organisations souhaitant mettre en place
des projets de Big Data ?

Cette problématique doit être intégrée dès le lancement et tout au long d’un tel projet. En premier lieu, l’organisation devrait désigner un responsable de la protection des données, un Correspondant Informatique et Libertés par exemple, et l’intégrer à l’équipe projet. Il aura un rôle d’interface
et de facilitateur notamment entre les juristes, le responsable de la sécurité et les métiers.
Sa mission sera d’analyser la conformité de la collecte et des traitements ultérieurs des données,
de sensibiliser l’équipe aux principes de protection des données, de documenter les traitements,
de conseiller le porteur de projet sur la nécessité de mener une étude d’impacts, de proposer une démarche de « Privacy by Design ». L’objectif est bien d’éviter une remise en cause ultérieure du projet
qui serait contraire à la loi puisque la CNIL a le pouvoir d’interdire les traitements et de prononcer
des sanctions qui peuvent être rendues publiques.

La démarche peut être partiellement industrialisée sur la base de cas d’usages. La protection des données personnelles, y compris la sécurité, doivent être intégrées aux projets. La matière est complexe ; aussi il est conseillé de recourir à des professionnels compétents et expérimentés.

Vous dites que la Privacy By Design doit permettre d’intégrer les principes de protection des données personnelles dans les Big Data. Comment faire ?

 

Face à l’évolution des technologies, la loi ne suffit plus ; il faut d’autres modes de régulation pour garantir
la protection des données et de la vie privée. La Privacy by Design doit permettre de renforcer la protection des personnes dont les données sont traitées.

Il n’existe pas encore de standard de Privacy By Design ; cette approche trouve son origine au Canada où elle a été développée par Ann Cavoukian alors Commissaire à la protection de la vie privée de la province
de l’Ontario.

Aujourd’hui cela doit s’entendre comme une démarche globale, à la fois organisationnelle, juridique
et technique visant à intégrer les principes de protection des données tels que la minimisation,
la transparence ou la sécurité notamment sous forme d’anonymisation, de pseudonymisation
et de chiffrement. Il s’agit aussi de redonner la maitrise aux personnes sur les données les concernant
et d’utiliser des PET’s (Privacy Enhancing Technologies).

Le Règlement applicable en mai 2018 consacre la Privacy by Design et précise que le responsable
du traitement doit protéger les données dès la conception et par défaut. Lors de l’élaboration, de la conception, de la sélection et de l’utilisation d’applications, de services et de produits il est dit qu’il convient d’inciter les fabricants et les prestataires de services à prendre en compte le droit à la protection des données lors de l’élaboration et de la conception de tels produits, services et applications et de s’assurer que les sous-traitants soient en mesure de s’acquitter des obligations qui leur incombent.

Le Règlement ajoute que ces principes devraient être pris en considération dans le cadre des marchés publics.

 

Les exigences doivent aussi être traduites en langage informatique, juridique et en politiques
et procédures.