prêtre étrusque avec les bœufs de charrue – site agriturismo
Ne faut-il pas s’émerveiller de cette grande vague technologique et commerciale qui s’élance à la rencontre du RGPD comme on se précipite, les bras chargés de cadeaux, pour accueillir l’enfant à naître ?
Non.
Le RGPD (Règlement général pour la protection des données personnelles) a pour objectif de limiter les excès de la technologie dans la collecte et l’exploitation des données personnelles des internautes. Des internautes d’abord mais aussi de toute personne qui utilise un outil digital ou agit en relation avec un interlocuteur qui en utilise un. Toute personne en relation avec un outil numérique, mais aussi toute personne passive qui, à son insu ou à « l’insu de son plein gré » (à son corps défendant), est observée et analysée par des outils sans qu’elle y prenne part, sans son consentement (caméra de surveillance, géolocalisation…). Bref, avec le RGPD, le droit vient à la rescousse de la personne tracée contre son gré.
Tracée, fichée, documentée, empreintée, triturée, malaxée… On ne peut pas dire « dépouillée » car, grâce à la magie du numérique multiplicateur, la personne concernée (pour parler comme le RGPD), possède toujours ses données mais elle n’en a plus l’exhaustivité. Surtout, elle n’a plus la maîtrise de leur usage, mésusage et surusage.
Le RGPD va donc imposer (d’ici quelques semaines) certaines contraintes aux entreprises pour le respect des données à caractère personnel : justifier de la finalité et de la légitimité de toute opération de collecte, d’interconnexion ou de conservation de données (voir la liste des traitements dans l’article 4 du Règlement).
Répondre aux exigences du RGPD par encore plus de technologie, comme on le voit proposé ici ou là, est-il la solution universelle ?
Pas sûr.
Le choix de la Société Générale est à cet égard intéressant. Fin octobre 2017, la banque a nommé un DPO (délégué à la protection des données) et a communiqué lors d’une conférence son programme face aux contraintes du RGPD. Plusieurs médias ont relayé l’annonce, sous le titre « La Société Générale dévoile son plan de bataille sur la donnée », notamment le MagIT. Le sujet de la protection des données à caractère personnel est rapproché des projets Big data et Intelligence Artificielle dans un grand projet de gouvernance de la donnée. Le point d’orgue est la constitution d’un « lac de données » (Data Lake) qui centralise toutes les données avec une sécurité pointue dans et autour de ce lac. « Nous avons investi énormément d’argent afin d’aboutir à une gestion des droits d’accès très fine à l’intérieur de ce Data Lake. Nous sommes en capacité de gérer les accès au niveau de chaque donnée, pour chaque cas d’usage » dit un responsable de la banque.
Ce choix autour des technologies de sécurité du stock et de recherche très fine autour d’un lac de données est défendu par bien d’autres ténors du monde numérique, par exemple par dans cet article Predictions 2018: How GDPR is Forcing Big Changes in Storage. Le droit à l’oubli du client, de l’internaute, de l’employé, etc. (article 17 du Règlement) y est pris en compte par une technologie qui fait des outils de meilleurs connaisseurs des données gérées (data aware).
Tout ceci est très séduisant mais pas complètement convaincant au regard des exigences du RGPD. En effet, si les questions de sécurité et de recherche à l’intérieur du lac sont majeures (toutes les entreprises n’auront sûrement pas les moyens d’y parvenir tout de suite), les questions de collecte de données (quels critères ?), de conservation (quelles durées pour quels motifs ?) et de destruction (à échéance des durées) le sont aussi. On a vu que la technologie du lac permet d’identifier très vite l’exhaustivité des données impliquant une personne qui demanderait l’effacement de ce qui la concerne, mais faut-il comprendre que la destruction des données périmées ne se ferait que sur demande des individus et que, sans sollicitation expresse de l’extérieur, les données resteraient dans le lac ?
Concernant la sécurité des données, on peut remarquer que le RGPD, traite la question dans le chapitre IV (Responsable du traitement) à l’article 32, c’est-à-dire après le chapitre II (Principes) et après le chapitre II (Droits de la personne concernée). Dans l’article 5 énonçant les principes de la protection (chapitre II), la sécurité clôture une liste de six items : les données à caractère personnel doivent être licites, exactes, dotées d’une durée de conservation… et sécurisées. Et dans l’article 30 relatif au fameux « Registre des activités de traitement », la sécurité clôture une liste de sept items : le registre doit mentionner les coordonnées des responsables, les finalités du traitement, les catégories de personnes et les catégories de données, les destinataires des données, les délais prévus pour l’effacement … et des mesures de sécurité.
Tout miser sur la technologie, sans qualifier au préalable les données gérées, n’est-ce pas mettre la charrue devant les bœufs ?
Peut-être bien.
Pour bien labourer sa terre, l’agriculteur a besoin d’une charrue et de bœufs. La force de traction des bœufs laboure efficacement si le soc de la charrue est bien positionné par la main de l’homme. Et le modèle de charrue doit être proportionné aux animaux de labour. Recourir à des taureaux ou à des bisons pour augmenter la puissance n’est pas une solution efficace si la charrue est trop légère et mal dirigée.
Autrement dit, pour bien gérer ses données, l’entreprise a besoin d’outils puissants mais en relation avec une solide méthodologie d’organisation de l’information dans la durée, par exemple Arcateg™.