Le Règlement Général sur la Protection des Données ("RGPD") peut se résumer en une phrase : les données personnelles sont utiles mais elles constituent une matière dangereuse. C’est la raison pour laquelle elles doivent être mises sous contrôle, c’est-à-dire repérées, canalisées, confinées et sécurisées.

Le RGPD, entré en vigueur en Mai 2018, a une réputation de sévérité et de complexité. Cette réputation n’est pas imméritée. Pourtant, une idée résume ce vaste édifice législatif : les données personnelles représentent un danger. Tel est le principe implicite qui sous-tend la quasi-totalité des dispositions obligatoires du RGPD. Le parallèle peut être fait avec les législations de type SEVESO ou Transport de Matières Dangereuses. Avec ce principe de lecture, les choses deviennent un petit peu plus simples, car tout (ou presque) découle de là.

Les données personnelles représentent un danger : c’est la raison pour laquelle elles doivent être mises sous contrôle, c’est-à-dire repérées, canalisées, confinées et sécurisées.

Les données personnelles doivent être repérées et canalisées.

Il convient de connaître et documenter tous les traitements qui incluent des Données Personnelles ("Registre"). La moindre donnée personnelle doit figurer dans un (ou plusieurs) "traitement(s)", étant entendu qu’un "traitement" est une notion qui obéit à un cadre légal très précis. Une vigilance de chaque instant est de mise. Pas question de laisser la moindre donnée personnelle sans surveillance !
Pour chaque traitement, même le plus anodin, la définition de ses finalités mérite un soin tout particulier. Autrement dit, le Responsable de traitement doit être en mesure de se justifier sur l’emploi qu’il fait de "ses" données personnelles : pourquoi ? Pour quoi faire ? On ne traite pas des données personnelles "à la légère", sans savoir précisément ce qu’on va en faire, sous un prétexte quelconque, avec des objectifs à géométrie variable. La feuille de route est obligatoire, et cela avant le démarrage du processus ("Privacy by design").

Pour chaque traitement, le chemin des données doit être tracé : Source(s) / Traitement / Destinataire(s). Une fiche de traitement est comme un chemin balisé que les données peuvent a priori emprunter, si toutes les conditions de légalité ont été respectées. En cas de départ vers les zones à risque situées en dehors de l’Union Européenne, un dispositif d’accompagnement particulier doit être mis en place (Contrats Types de la Commission Européenne).
Tous ces aspects doivent être documentés, par écrit, car le Responsable de traitement doit être capable de rendre compte à tout moment de l’usage qu’il fait de son stock de données personnelles ("Accountability").
Simultanément il convient en effet d’identifier le ou les responsable(s) de chaque traitement. Celui qui a le pouvoir a aussi la responsabilité. Le Registre des traitements est en fait le registre des responsabilités, ce qui se justifie pleinement dans la mesure où les données personnelles représentent un danger : les autorités ont absolument besoin de savoir à quelle porte sonner, en cas de problème. Les peines applicables sont très élevées, et, on l’espère, dissuasives. Elles s’appliquent aux responsables de traitement ainsi qu’à leurs sous-traitants dans la mesure où ceux-ci se voient confier des flux plus ou moins importants de données personnelles.

Les données personnelles doivent être confinées.

Il faut n’utiliser que le strict nécessaire ("minimisation des données"). Toute donnée non indispensable est un danger inutile et doit donc être écartée. Les habilitations pour accéder à ces données doivent être gérées avec rigueur et les personnes habilitées doivent être authentifiées. Les accès doivent faire l’objet d’une journalisation systématique.

Le moment est venu de mentionner l’une des dispositions les plus importantes du RGPD, et en même temps l’une des plus difficiles à mettre en œuvre : la destruction des données, à l’issue d’un délai documenté à l’avance.

Pour écarter tout danger, le meilleur moyen est de détruire les données ! Là encore le principe de dangerosité intrinsèque des données personnelles qui court à travers tous les articles du RGPD trouve à s’exprimer, de la façon la plus radicale (mentionnons tout de même une disposition qui fait figure d’exception : le droit à la portabilité des données, qui ne cadre pas avec la grille de lecture que nous développons dans ces lignes).

Les données personnelles doivent être sécurisées.

Il faut tout faire pour empêcher les fuites de cette matière dangereuse ("violation de données"). L’éventail des mesures de sécurité doit être aussi large que possible et couvrir le stockage comme le transport des données.
La sécurisation des données peut passer par leur dissimulation : le chiffrement. Dans tous les cas un véritable arsenal doit être convoqué pour former une sorte de forteresse tout autour des traitements : pare-feu sur le réseau, logiciel anti-virus partout, sauvegardes etc.
Tout traitement de données personnelles porte des risques. La seule question est celle du niveau de risque, et c’est en fonction de cette évaluation que les mesures de sécurité doivent être définies. L’idée sous-jacente n’en demeure pas moins extrêmement claire : le risque est partout.

Les fuites de données donnent lieu à des mesures d’urgence comprenant plusieurs messages d’alerte : l’autorité compétente doit être notifiée, et les personnes concernées informées des risques qu’elles encourent. En résumé, une fuite de données est une catastrophe.

D’où vient cette idée de danger, associée à toute utilisation de donnée personnelle, par une organisation ?

A l’origine se trouve l’idée selon laquelle utiliser une donnée personnelle revient à manipuler la personne identifiée ou identifiable. Il faut prendre le maximum de précaution, et restreindre autant que possible tout traitement de ces personnes, à travers leurs données.
Les droits ouverts aux individus embarqués dans les traitements sont évidemment la suite logique de cette association entre données et personne. Donner du pouvoir aux personnes naturellement inquiètes ("concernées") revient à leur rendre la maîtrise de leur existence.
Ces personnes sont des victimes en puissance, votre organisation est potentiellement coupable, du fait des données que vous avez entre les mains (Remarque annexe : on peut ne pas souscrire à ces raisonnements… mais là n’est pas la question. Le RGPD repose bel et bien sur ces postulats).
La loi cherche donc à limiter au maximum les traitements, en leur apposant le panneau "Danger" et à pousser au maximum le pouvoir des individus qui se retrouvent traités informatiquement, tels des pions, par les Responsables de traitement.

Il serait à peine exagéré de dire que le traitement de données personnelles par des organisations publiques ou privées est sous le coup d’un principe général d’interdiction, assorti d’exceptions : les fameuses bases légales. Le texte ne va pas jusque-là, mais frôle un tel principe (Article 6 – Licéité du traitement : Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie…). Le principe de "libre circulation de ces données", affiché dans le titre du Règlement, n’a pratiquement aucun écho dans le texte.

La "protection des données" selon l’expression en vigueur, est plutôt une protection contre les données et l’usage qui peut en être fait par des entreprises ou des administrations.
Si les règles qui s’imposent au consentement sont si strictes c’est parce qu’en donnant son consentement la personne se met elle-même en danger. Tout est fait, dans le RGPD, pour la dissuader d’accomplir ce geste !

L’expression anglaise "Data Subject" illustre l’idée d’une soumission de la personne à ses données ("Her Majesty’s subjects"). Et donc puisque la personne est soumise à ses données, la protection de la personne passe par le contrôle sur ses données. La protection des données personnelles s’inscrit, depuis 1978, dans le cadre des droits de l’homme.
On comprend ainsi la faveur dont bénéficie la pseudonymisation : la pseudonymisation éloigne la personne de ses données. Même s’il ne s’agit pas d’une coupure franche et définitive (anonymisation) la personne est mise à distance de la donnée, ce qui diminue le danger.

Reste une question : qu’est-ce qu’une personne ? La question, qui sera traitée dans un prochain article, n’est pas si stupide qu’il n’y paraît…

Emmanuel Cauvin DPO Externe et Consultant RGPD

Comentaires:

• 
  Votre Conclusion, LE CLEZIO, 7 janvier 2020

  Réponse à votre interrogation en conclusion : La question, à mon sens , n’est pas "qu’est ce qu’une personne ?" C’est plus qu’est-ce qu’une personne CONCERNEE et surtout ECLAIREE. Amitiées. HLC.