Temps de lecture : 6 minutes
Découvrez le Brief de la Démat, la newsletter thématique gratuite d'Archimag dédiée aux datas et à la transformation numérique des organisations.
Les cordonniers sont les plus mal chaussés, paraît-il. Lors du salon Big Data 2018, l’ancien secrétaire d’État au Numérique Mounir Mahjoubi s’était amusé à raconter la mésaventure qui lui était arrivée. Désireux de savoir ce que les géants du numérique savaient de lui, il avait demandé la communication de ses données personnelles à Google, Amazon, Uber et Facebook…
« Sur les quatre, deux l’ont fait extrêmement rapidement, et deux avec qui cela a été extrêmement long ».
Lire aussi : RGPD, données personnelles : la Cnil connaît un nouveau pic d'activité
Des jeux de données "qui font flipper"
Résultat : Amazon lui a fourni un cédérom représentant douze années de commandes.
« Mais le jeu de données qui m’a fait vraiment flipper est celui d’une application de transport en voiture ». Uber avait en effet compilé quatre années de déplacements, mais aussi sa position géographique avant la prise en charge.
« Je ne savais pas que j’avais donné mon accord pour le stockage de telles données », reconnaissait le secrétaire d’État au Numérique.
Mounir Mahjoubi a rapporté cette histoire au mois de mars 2018. Soit deux mois avant l’entrée en vigueur du RGPD. Le Règlement général sur la protection des données accorde désormais aux internautes de nombreux droits : accéder aux données à caractère personnel détenues à leur sujet, demander que les données à caractère personnel incorrectes, inexactes ou incomplètes soient corrigées, etc.
Lire aussi : Données personnelles après la mort : avez-vous pensé à votre héritage numérique ?
Registre des traitements
Les organisations, de leur côté, doivent mettre en place un certain nombre de règles. À commencer par la cartographie des traitements des données personnelles.
Ce recensement doit être réalisé sous la forme d’un registre des traitements.
La notion de traitement est définie par l’article 4 du RGPD :
« Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
Concrètement, les traitements concernent les opérations suivantes : la consultation d’une base de données de contacts contenant des données à caractère personnel, l’envoi de courriels promotionnels, la publication d’une photo d’une personne sur un site internet, la conservation d’adresses IP, l’enregistrement de vidéosurveillance (liste non exhaustive).
Lire aussi : Cookies : la recommandation de la Cnil inquiète les acteurs du digital
Anonymisation et pseudonymisation des données personnelles
« L’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible », rappelle la Commission nationale de l’informatique et des libertés (Cnil) ; elle ne doit pas être confondue avec la pseudonymisation qui « est un traitement de données personnelles réalisé de manière à ce qu’on ne puisse plus attribuer les données relatives à une personne physique sans information supplémentaire ».
Les organisations qui doivent mettre en place un processus d’anonymisation doivent, entre autres, supprimer les éléments d’identification directe qui pourraient permettre une réidentification aisée des personnes (par exemple, la présence de l’âge des individus peut permettre de réidentifier très facilement les personnes centenaires).
Lire aussi : Protection des données personnelles : les Français deviennent vigilants
Randomisation ou modification de l'échelle des attributs des jeux de données
À partir de là, elles ont le choix entre deux techniques d’anonymisation. La randomisation consiste à modifier les attributs dans un jeu de données afin de les rendre moins précises. Il est par exemple possible de permuter les données relatives à la date de naissance des individus de manière à altérer la véracité des informations contenues dans une base de données.
Autre technique, « la généralisation consiste à modifier l’échelle des attributs des jeux de données, ou leur ordre de grandeur, afin de s’assurer qu’ils soient communs à un ensemble de personnes. Cette technique permet d’éviter l’individualisation d’un jeu de données. Elle limite également les possibles corrélations du jeu de données avec d’autres », précise la Cnil. Par exemple : dans un fichier contenant la date de naissance des personnes, il est possible de remplacer cette information par la seule année de naissance.
Lire aussi : Archivage électronique : comment (bien) archiver des données sensibles ou confidentielles ?
Du côté des outils
Plusieurs éditeurs proposent des outils dédiés à la cartographie des traitements des données personnelles. Le français BMI Systems commercialise la solution Oryga qui prend en charge le processus de cartographie : gestion des droits et des demandes des personnes, gestion des notifications de violations des DCP (données à caractère personnel), tableaux de bord et statistiques, suivi des audits, etc. La solution est disponible en mode Saas et peut être installée sur les serveurs de l’organisation.
Autre acteur du marché, Varonis propose une solution qui permet de rechercher et de classer automatiquement les données RGPD. Le logiciel est en mesure de générer des rapports sur les données concernées par le règlement européen, de limiter l’accès aux données sensibles, de détecter les fuites et de signaler les activités suspectes et les fuites de données potentielles. Concrètement, le délégué à la protection des données peut à tout moment évaluer l’état de protection des données et verrouiller les données sensibles. Il peut également procéder à l’analyse des comptes dont le comportement est suspect.
Signalons enfin l’initiative de la Cnil qui met gratuitement à disposition des organisations le logiciel PIA destiné à l’analyse d’impact. Disponible en vingt langues, cet outil permet de réaliser une collecte de données personnelles à large échelle notamment celles qui concernent les personnes vulnérables (patients, personnes âgées, enfants, etc.)
Lire aussi : Vidéo : la responsabilité éditoriale sur internet
Rappel : qu’est-ce qu’une donnée personnelle ?
« Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable », rappelle la Cnil ; « mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise ».
Une personne physique peut être identifiée directement (par son prénom et son nom) ou indirectement (par un numéro de téléphone, une plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image). L’identification d’une personne physique peut être réalisée par une seule donnée (son patronyme) ou par un croisement de données (une femme vivant à telle adresse, née tel jour et membre de telle association).
En revanche, la Cnil précise que « des coordonnées d’entreprises (par exemple, l’entreprise “Compagnie A” avec son adresse postale, le numéro de téléphone de son standard et un courriel de contact générique « compagnie1@email.fr ») ne sont pas, en principe, des données personnelles ».
