La conférence de l’ADIJ (Association pour le développement de l’informatique Juridique) du 20 octobre avait pour thème : « la protection des données à caractère personnel : comprendre les réponses apportées par le règlement européen aux défis numériques ».
Les intervenants ont notamment abordé les apports du nouveau texte, le rôle du consentement des personnes et l’arrêt de la Cour de Justice de l’Union Européenne du 6 octobre dernier. Au travers des différentes interventions a émergé la problématique de la mise en conformité des entreprises avec leurs pratiques de traitement. J’ai voulu dans mon article, en me basant sur les points abordés lors de la conférence, aborder le problème sous-jacent de la gestion des données personnelles au titre de l’archivage.
Ce nouveau texte, au-delà du renforcement de la protection des citoyens et de leurs données personnelles, a un véritable impact sur la gestion des données personnelles et sur le processus d’archivage des documents et données liés au process de collecte et d’utilisation de ces données.
Ce qui pourrait apparaître comme une exigence, une contrainte supplémentaire à la charge des entreprises, peut aussi se voir comme un réel acte de management des documents engageants concourant à la mise en visibilité de bonnes pratiques de gestion de l’information des entreprises.
Le nouveau règlement européen va limiter (et définir) les finalités de traitement (collecte, utilisation, transfert…des données personnelles), mieux identifier les types de données pouvant être traitées en fonction des finalités et, enfin, limiter les durées de conservation de ces données.
Le texte, sans le savoir ( !), déroule un process d’archivage managérial. Avant de décider de conserver ou non des documents, on se doit d’analyser le process métier qui génère ces documents, à quoi ils servent et pendant combien de temps ils pourront servir de preuve (document engageant) ou en quoi ils contribueront à la connaissance. L’objectif du texte est de mettre en place une conservation en complète adéquation avec les finalités qui ont justifié de leur collecte, et pas plus longtemps.
En outre, le projet prévoit l’obligation pour le responsable de traitement de documenter toutes les mesures internes prises afin de démontrer la conformité de l’entreprise aux différentes règles (traitement, accès, consentement, information des personnes…).
Cette obligation est lourde de conséquence en matière d’archivage. L’entreprise va devoir documenter son process, et cette documentation devient, par voie de conséquence, un document engageant. Ces documents engageants auront un cycle de vie, et leur traitement devra être adapté à leur utilisation dans le temps. L’entreprise devra rendre cette documentation accessible et utilisable par les collaborateurs concernés, être en mesure de la produire chaque fois que nécessaire et lui attribuer la durée de conservation adaptée (et la détruire à échéance).
De plus, le nouveau règlement rappelle que le traitement de données personnelles ne pourra avoir lieu sans un consentement et sans information des personnes. Ces informations étant notamment la durée de conservation des données, le droit à l’introduction d’une réclamation auprès de l’autorité de contrôle, la possibilité de demander rectification ou l’effacement de données ainsi que toute information sur le transfert de ces données.
Le consentement ne peut pas être déduit. La CNIL indique que le consentement n’est pas nécessairement écrit, pour autant, un écrit reste sans doute la solution la plus solide dans le cas d’un conflit.
Considérant que le texte indique d’une part, que le consentement au traitement des données personnelles doit être express et que d’autre part la charge de la preuve quant à l’existence de ce consentement incombera au responsable de traitement, la nécessité d’un archivage est clairement prononcée.
Le nouveau règlement européen a aussi pour objectif de re-définir les données personnelles. Ainsi le projet de texte indique que pour déterminer si une personne est identifiable, il sera considéré « l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre ». Actuellement les adresses IP et les cookies ne sont pas considérés comme des données à caractère personnel. Mais le texte va prendre en compte les nouvelles technologies et leurs capacités à relier les informations entre elles afin de déterminer ce qu’il faut entendre par « raisonnable ». On peut donc légitimement penser que les adresses IP et les cookies seront inclus dans la liste des données personnelles.
Pour certaines finalités de traitement, les données personnelles pourront être conservées mais des exigences d’accès seront à respecter.
Les techniques d’anonymisation apportent des garanties de protection dans la mesure où leur application est correctement conçue. L’anonymisation constitue un traitement ultérieur des données, et cette information devra être portée à la connaissance de la personne dont les données seront conservées. D’où l’importance de pouvoir tracer à la fois les documents d’informations et les consentements, nécessité de tracer l’acte d’information.
La fiabilité des techniques d’anonymisation est basée sur trois critères :
- Est-il toujours possible, après anonymisation, d’identifier une personne ?
- Est-il toujours possible de relier entre eux les enregistrements relatifs à une personne ?
- Peut-on déduire des informations concernant une personne ?
A côté des techniques d’anonymisation, existe la pseudonymisation qui réduit simplement la corrélation d’un ensemble de données avec l’identité originale d’une personne concernée et constitue par conséquent une mesure de sécurité qui peut être utile.
La pseudonymisation exige une séparation stricte et étanche entre les données personnelles et les données qui seront réutilisées. Ainsi la conservation de photos exige qu’il soit impossible d’identifier les personnes même par les premières lettres de leur nom par exemple.
Le nouveau règlement européen met donc l’archivage au cœur du dispositif de protection des citoyens et de leurs données personnelles :
- Conservation des informations faites aux personnes lors de la collecte de leurs données personnelles : indiquer ce que l’on va faire ;
- Conservation des procédures et règles internes des entreprises quant au traitement des données collectées : indiquer comment l’on fait et pourquoi ;
- Conservation des consentements : prouver que l’on avait l’autorisation de traiter ces données.
Cette conservation reposant sur des règles clairement définies en termes d’organisation et de durées de conservation.
Au-delà des contraintes « administratives » de gestion des données, ce texte est une formidable opportunité pour faire prendre conscience aux entreprises de l’intérêt d’adopter une conservation raisonnée et adaptée des données et documents. Les données personnelles sont aujourd’hui, pour beaucoup d’entreprises un produit de consumérisation et dont la collecte et le traitement fondent leur stratégie de développement. Mais c’est aussi un produit à risque s’il est mal maîtrisé. L’impact sur l’image de marque, sur la responsabilité des entreprises en matière d’éthique et du respect des personnes va être proportionnel à l’engagement des entreprises de respecter le texte européen.
C’est par la mise en place de véritable process d’archivage que les entreprises pourront montrer et démontrer leur respect du texte européen et par conséquent le respect envers les données personnelles des citoyens. L’archivage managérial contribuera à la conformité des entreprises par une conservation juste, raisonnable et adaptée aux besoins de traitement.
