Gestion des données personnelles, qu'est ce que la RGPD va changer ?

par Julien

Qu’est-ce que la RGPD ?

Avec la tendance médiatique liée au “Big Data”, la course au stockage et à la revente d’informations est devenue incontrôlable. Il faut bien avouer que les instances en place, comme la CNIL, ont énormément de mal à encadrer, réguler et contrôler les dérives technologiques.

Le Règlement Général sur la Protection des Données (RGPD) a été établi pour mettre à jour la législation concernant les données jugées sensibles des internautes et des entreprises.

L’unification des réglementations à l’échelle Européenne va permettre d’économiser pas mal de procédures et bénéficiera d’un bien meilleur contrôle, ainsi que d’une meilleure capacité d’adaptation aux problématiques futures.

Sincèrement, qui contrôle ses informations circulant sur Internet ? Au vu des lois et règlements concernant la justice, tout contenu ou média doit être stocké et archivé, en vue d’être potentiellement utilisé dans une affaire judiciaire. Ce n’est pas parce que vous avez supprimé vos photos du cloud ou de facebook qu’elles sont pour autant inaccessibles. Elles sont juste dépubliées, invisibles.

Bien des informations restent accessibles et peuvent être revendues accidentellement - ou pas - sans aucune notion de consentement ou d’avertissement vis-à-vis des personnes concernées.

Petite démonstration

Choquant n'est-ce pas ?

Tout ceci étant bien abstrait, nous allons prendre un moment pour décortiquer les nouvelles réglementations, comprendre leur utilité et comment les respecter.

Qui est concerné ?

Les organismes et entités concernés sont :

  • Entreprises & Sous-traitants + Prestataires
  • Administrations
  • Associations

A noter que cela ne concerne pas les particuliers. Un blog personnel ne sera pas menacé par les clauses pénales, la logique étant d’encadrer l’usage commercial des données personnelles. Il est toutefois recommandé de suivre les consignes, par respect pour les données privées de vos visiteurs, et par anticipation des réglementations futures, qui seront - un jour - appliquées à tous.

Zone légale

Toute entreprise exerçant une activité dans la zone UE, ainsi que tout serveur qui stocke des données personnelles dans cette même zone UE.

On reparlera plus bas de la question internationale.

Date d'application

Toutes les règles de la RGPD entrent en vigueur à partir du 25 Mai 2018.

Concernant l’analyse d’impact, tout système ayant bénéficié d’une autorisation de la CNIL n’aura pas pour obligation d’adapter tout de suite leur système, bénéficiant d’un délai de 3 ans pour se mettre en conformité avec la RGPD.

Glossaire

Définition et exemples de données personnelles
Toute information pouvant servir à identifier une personne, directement ou non. Ca peut-être évident comme son nom, son adresse, sa géolocalisation, ses identifiants, mais également des éléments qui -  recroisés - permettent d’établir un profil, comme ses informations de santé, ses revenus, ses achats etc…

Portabilité des données
Export des données personnelles, sous un format aisément réutilisable par un ordinateur

Droit à l’oubli
Permettre aux utilisateurs disposant de données personnelles sur un serveur d’y accéder et de pouvoir demander leur suppression

Profilage
Toute collecte ou tout traitement d’une donnée personnelle visant à établir un profil marketing.

Opt-in
Quand on parle de consentement par opt-in, on demande explicitement à l’utilisateur de cocher une case “J’accepte” puis de soumettre cette acceptation via un bouton.
Ces deux éléments doivent être précédés d’un texte explicite sur ce que l’utilisateur accepte, accompagné d’un éventuel lien vers des conditions générales additionnelles.

PIA
Privacy impact assessment, ou “Analyse d’impact sur la protection des données”. C’est une démarche visant à accompagner les structures dans la mise en conformité à la RGPD.
C’est une interface pour assimiler la loi en gros : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

Voilà pour la théorie, il est temps de concrétiser tout ça.

Bon, et je dois faire quoi ?

A priori, la RGPD repose plus sur une obligation de moyens que de résultats. En effet, l’échelle de sanction est assez progressive, et il y a beaucoup d’étapes et avertissements avant la sanction pénale.

Lister les données personnelles utilisées

Avant toute chose, vous devez répertorier toute donnée personnelle collectée et définir son utilité. Cela vous permettra de tenir des registres et d’établir des conditions d’utilisation conformes avec la RGPD.
Vous devriez également retirer de votre collecte toute donnée n’ayant pas d’utilité. Cela est plutôt mal vu par la commission qui montre un souhait de maîtriser chaque information stockée sur un système informatique.

Voilà quelques exemples de données personnelles :

Explicites (renseignées par un visiteur) Implicites (récupérées informatiquement)
Nom Pages visitées avec heures de visite
Prénom Géolocalisation
Adresse Paniers de commande
Adresse Email Abonnement aux newsletters
Téléphone Navigateur utilisé
Identifiant Support utilisé (PC / Mobile)
Informations de santé Adresse IP
Âge & Date de naissance Recherches effectuées
  Cookies

Plus d’exemples à cette adresse : https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_fr

Obtenir un consentement explicite

En gros, il faut être le plus clair possible sur l’utilisation des données. Pas besoin d’être grandiloquent, soyez honnêtes quand il s’agit d’expliquer à vos visiteurs à quoi vont servir leurs données. Indiquez leur pourquoi vous les utiliser, pour combien de temps vous les conservez et un moyen de visualiser l’ensemble de leurs données.

Un consentement explicite est également requis, via une case à cocher d'acceptation et un bouton comme le système actuel des cookies (opt-in). Ce consentement doit pouvoir également être retiré à tout moment.

Accorder le droit à l’oubli

Vous devez également leur octroyer un “Droit à l’oubli”, cela signifie que vous devez supprimer les données d’un utilisateur lorsqu’il en fait la demande. Il faut toutefois que la personne qui fait la demande puisse prouver son identité au préalable. Cela ne doit également pas rentrer en contradiction avec les lois en vigueur.

Permettre la portabilité des données

L’objectif de la RGPD est de permettre à tout utilisateur de pouvoir consulter ses données, dans un format lisible et réutilisable numériquement. La loi prévoit donc que chaque système informatique bénéficie de fonctionnalités universelles de consultation et d’exports de ces données personnelles.

Pour l’anecdote, avec la loi Hadopi, l’opérateur Free avait envoyé toute la liste d’informations au sujet de ses utilisateurs au gouvernement au format… papier. La loi ne précisant pas le format, Free s’est fait une joie de leur fournir lesdites informations demandées de la manière la plus chiante possible.

Leçon retenue pour la RGPD !

Problématiques

Comment gérer l’opt-in quand on a pas de système de compte utilisateur ?

Ah, la bonne question. Car la RGPD indique qu’un utilisateur doit pouvoir retirer son consentement à n’importe quel moment de sa navigation. Sauf que… c’est juste un visiteur. Il n’a potentiellement pas encore d’informations stockées.

Selon votre système, vous devez donc mettre en place une page qui lui permettra de gérer ce consentement, et de supprimer toutes les données en rapport avec sa session courante dès que le consentement est retiré.

Vous pouvez utiliser la page qui explique tout cela : on présente un système plus bas dans l’article :)

Une session, c’est pas fixe, donc c’est pas une donnée personnelle ?

Votre session est dite “grise”, c’est à dire qu’elle n’est pas explicitement nominative. Cependant, elle est rattachée à une adresse IP, qui est une donnée personnelle.

Une FAI - Fournisseur d’Accès Internet (Orange…) - stocke et peut connaître la personne rattachée à une adresse IP à une date donnée. C’est d’ailleurs comme ça que Hadopi pouvait savoir que c’était bien votre box qui avait téléchargé illégalement, même 1 ou 2 mois après.

Cependant, il est difficile d’envisager de stocker les sessions de toutes les personnes visitant vos sites ou applications. Cela représente une quantité astronomique de données, mais si vous les utilisez à des fins commerciales, cela devient obligatoire et vous allez devoir adapter vos outils en conséquence.

Le poids de cet archivage

Ce n’est pas vraiment une problématique car si la donnée est utilisée, c’est qu’elle est déjà stockée quelque part.

Cependant, comme l’UE semble vouloir mieux contrôler le respect de la loi, il est vivement recommandé de prévoir des aménagements de vos bases de données pour garantir votre bonne foi. Nous vous recommandons de prévoir un peu large, histoire d’anticiper les futures évolutions de la RGPD, qui va certainement s’ajuster ou se complexifier dans les prochaines années.

Cela permettra également de faciliter la portabilité de vos données, qui est un des enjeux de la loi.

Et hors de l’UE, il se passe quoi ?

Alors, en théorie, les données doivent être conformes à la législation européenne avant de sortir, et avant de rentrer sur un serveur/service européen. Le tout étant de respecter les règles d’entreprise et clauses contractuelles émises par la commission Européenne ou système agréé par cette dernière.

Mais en pratique, c’est un peu plus difficile que ça, car cela sous-entend que si l’on récupère des données qui proviennent des USA et que celles-ci ne peuvent être mis en conformité avec la législation européenne, et bien elles sont bloquées à la frontière.

Sauf que c’est des données informatiques, pas des bagages physiques, et la Commission Européenne a bien conscience qu’il ne faut pas grand chose pour rendre des données conformes à ses lois, avec un peu de bricolage…

Faut y voir un élan.

J’utilise Google Analytics, qui récolte tout un tas de trucs, c’est grave pour moi ?

Non, cela ne change rien à votre niveau. La réglementation s’applique pour la personne qui collecte et stocke les données personnelles, votre devoir sera d’avertir qu’un système tiers récolte des données personnelles à des fins statistiques.

Cela deviendra votre responsabilité si vous recueillez ces données sur votre serveur par la suite par contre.

Un délégué à la protection des données, c’est quoi et suis-je concerné ?

Ce n’est pas obligatoire. Cela dépend de votre activité et de l’échelle à laquelle vous traitez les données personnelles.

L’approche devrait être la même qu’avec un avocat. Si vous établissez des contrats qui dépassent votre compréhension, vous devriez vous protéger en engageant un expert dans ce secteur. Et bien là, c’est la même chose.
A partir du moment où votre activité principale ou qu’un contrat tourne autour de la collecte / transformation des données personnelles, cela devient obligatoire.

Exemples :
Si vous récupérez la totalité du comportement de vos visiteurs, pour les traiter dans le cadre de publicités ciblées, ou que vous obtenez et transformez des données personnelles dans le cadre d’un contrat de prestation, vous devez avoir un délégué.
Par contre, si vous êtes un médecin et que vous récoltez des informations sur la santé de vos patients, ou que votre agence web envoie de temps en temps de la publicité ciblée à des potentiels clients, cela ne sera pas nécessaire.

Un système idéal ?

Arriver à concilier la technique, la législation et les autres contraintes du web, type ergonomie ou SEO n’est clairement pas une chose facile.

La CNIL avait déjà fourni des scripts et des exemples pour être en accord avec la régulation sur les cookies. Chaque bandeau disposait d’un texte explicite ainsi qu’un lien vers une page plus fournie en détails : https://www.cnil.fr/fr/exemple-de-bandeau-cookie

On peut aisément envisager partir de là, et utiliser la page de destination comme gestionnaire des contenus utilisateurs.
Vous trouverez ci-dessous un storyboard incluant les pré-requis de la RGPD. Bien entendu, en fonction de l’outil utilisé, ce sera plus ou moins proche.

  1. Formulaire incluant la case à cocher de consentement - opt-in - ainsi que le bouton de soumission, pour permettre à l’utilisateur de modifier son choix.
  2. Liste de toute donnée personnelle stockée ainsi que l’intention de la collecte :
    1. En base de données
    2. En session
    3. En cookies
    4. En localStorage et sessionStorage
  3. Liste de tout logiciel tiers utilisé amené à utiliser des données personnelles ainsi que l’utilité du logiciel
    1. Ex : Google Analytics - Statistiques
    2. Ex : Server AdSens - Ciblage de publicités
  4. Un module permettant d’exporter toutes les données relatives à un utilisateur au format JSON / XML / CSV
    1. Ce système est à prendre avec des précautions pour éviter qu’un utilisateur usurpe les informations personnelles d’une autre personne
    2. Une des précautions serait d’avoir forcément un compte utilisateur + mot de passe, pour garantir l’identité de la personne. Une machine de guerre pour pas grand chose au final, mais cela serait conforme.
    3. L’autre façon de faire est de ne pas automatiser cela et de traiter chaque demande au cas par cas, avec un envoi de carte d’identité en pièce jointe. On ne retire pas la problématique de l’usurpation, mais dans ce cas là, ce n’est pas votre responsabilité… Pas idéal, mais conforme. Attention toutefois à bien stocker la carte d’identité uploadée, si vous la conserver sur vos serveurs...
  5. Un formulaire permettant de vous contacter sur une boite spéciale, consacrée à la protection des données privées, afin de répondre au “droit à l’oubli” de la RGPD.

Conclusion

La RGPD touche à des concepts très abstraits pour le commun des mortels, et tente d’apporter un véritable encadrement là où les organismes nationaux ont échoués.

Cependant, malgré le pouvoir pénal qui lui est conféré, la RGPD a pour but d’éduquer les utilisateurs et les créateurs d’outils et de contenus. C’est la même démarche que pour les cookies, avant la sanction, il y aura plusieurs étapes, de l’avertissement, à la suspension de service, avant de passer à la vitesse supérieure.
Donc, il faut être particulièrement de mauvaise foi pour se prendre une prune.

Pour finir, je vous recommande surtout d’utiliser votre bon sens.

Si une situation numérique - transposée en situation physique - vous semble étrange, inquiétante, anormale, c’est qu’il y a à matière à réflexion.
Cela vous surprendrait qu’un caissier d’un supermarché adapte son discours car il connaît votre âge, votre travail, vos revenus et vos habitudes de consommateur - “Bonjour Mr Dupont, vous êtes en avance. Ah, pas de steak frais aujourd’hui ? C’est votre nouveau régime minceur que vous avez recherché hier non ?”. Agaçant rien que de l’imaginer.

Et bien sur Internet, c’est pareil.

Placez-vous toujours à la place de vos utilisateurs et imaginez ce qu’ils peuvent ressentir quand vous leur demandez une autorisation pour traiter des données personnelles, voire sensibles.

Prenez du recul également lorsque vous faites la liste de tout ce que vous collectez. Si c’est difficile à expliquer, ou que l’intention derrière est inconfortable, c’est qu’il ne faut peut-être plus collecter ces données, ou qu’il va falloir prêter attention sérieusement aux nouvelles lois.

Vous trouverez ci-dessous des liens pour aller plus loin, et notamment cette infographie minimaliste très bien faite de la Commission Européenne : http://ec.europa.eu/justice/smedataprotect/index_fr.htm

Dernière petite chose : Faites très attention aux logiciels disponibles sur Internet.
Comme à chaque fois qu’une loi technologique passe, un tas d’escrocs et d’experts apparaissent soudainement pour vendre un logiciel qui vous accompagnera dans la transition etc…
Il est préférable de n’utiliser que les logiciels recommandés par l’organisme en vigueur dans votre pays comme la CNIL.

Sources et Liens utiles