Saisissez-vous de l’esprit de la réglementation
On pense souvent qu’une règle de droit est claire et non négociable. C’est souvent vrai… Pour autant, les règles sont parfois « molles », et laissent une place importante à l’interprétation. Cette interprétation devra s’inspirer de ce que l’on appelle l’esprit du texte, c’est-à-dire la volonté initiale des rédacteurs. Premier exemple : le Privacy by design.
Privacy by design ?!
En bon français, on parle de respect de la vie privée dès la conception : ça impose de prendre en compte les questions de données à caractère personnel dès la conception d’un nouveau produit ou d’un nouveau service, et non pas une fois que tout a été mis en place ! Ainsi, vous économiserez temps, argent et énergie à ne pas corriger les erreurs que vous allez éviter !
Pour appliquer ce principe, votre DPO doit travailler main dans la main avec vos équipes métiers. Recherche d’outils alternatifs, réorientation à la marge des produits, etc. Votre DPO est au service du produit, et non pas un frein !
Autre exemple, l’accountability, qui désigne la responsabilisation des acteurs. Dans la plupart des cas, finies les déclarations à la CNIL ! Finies les autorisations ! Vous pouvez utiliser des données personnelles sans aucun accord, mais vous devez mettre en place une documentation interne qui prouvera, en cas de contrôle, que vous respectez les règles relatives à la protection des données.
En d’autres termes, vous devrez produire les documents obligatoires, comme le registre de traitement, la politique de confidentialité de vos sites internet, les contrats de sous-traitance ou encore l’analyse d’impact sur la vie privée, pour n’en citer que quelques-uns.
Utilisez le droit comme un outil à votre service
Il n’est pas facile d’imaginer le droit comme un outil plutôt que comme une contrainte. Pourtant, le raisonnement juridique doit être vu comme une arme ou un bouclier en votre possession !
Prenons un exemple d’utilisation du droit comme outil : je souhaite développer une application smartphone qui va traiter des données de santé, et vais donc opter pour un hébergeur de données de santé (HDS) – hébergeur plus sécurisé mais également plus cher. C’est une obligation légale !
Pourtant, lors des 12 premiers mois de développement de mon application, je n’ai pas forcément besoin de ces données car je veux me concentrer sur le développement des fonctionnalités de mon application, et ne veux pas encore faire de remontées statistiques de mes utilisateurs.
Je peux donc développer mon produit en ce sens, et stocker les données de chaque utilisateur dans son propre téléphone ! Ainsi, plus besoin d’HDS : j’économise du temps et de l’argent. Le droit est ici un outil de réflexion qui coconstruit mon projet. Posez-vous ces questions dès le début !
On entend souvent dire que :
« Le RGPD empêche… ».
C’est faux ! Le RGPD n’interdit pas de traiter des données, il encadre simplement la façon de le faire. De manière générale, le RGPD repose sur deux grands piliers :
La documentation : il y a effectivement un travail de compilation des traitements de données réalisés, et du cadre juridique et technique qui s’applique à eux.
L’information : il faut obligatoirement informer les personnes de l’utilisation de leurs données.
« Le consentement doit être demandé systématiquement. ».
C’est faux ! Là encore, une erreur courante consiste à se fonder systématiquement sur le consentement pour traiter des données, alors qu’il n’est qu’une des bases légales parmi cinq autres – nous l’avons vu juste avant ! Et très souvent, on en privilégie d’autres.
Le droit est au service du produit, et non pas l’étape finale d’un projet qui vient valider juridiquement l’ensemble, ou vous dire ce qui est illégal.
À titre d’exemple, la durée de conservation est un des ces éléments. Comment définir un délai de conservation pour une donnée ? Parfois, vous devez respecter un « délai légal », c’est-à-dire un délai fixé par une loi : par exemple, les données issues des cookies doivent se conserver 13 mois maximum.
Mais parfois, il n’y a pas de délai légal : c’est à vous de fixer un délai, de « construire » ce choix.
« Construire » ce choix ?
Vous devez établir un délai raisonnable qui correspond à vos finalités et à la sensibilité de vos données. Plusieurs solutions sont alors possibles, à la condition que vous soyez en capacité de justifier votre choix, de l’expliquer, et de le documenter.
Là encore, le droit vous oblige tout en vous aidant à mieux utiliser vos données.
En résumé
Il est important de comprendre que le droit n’est pas quelque chose qui va vous empêcher de faire, mais qui va vous accompagner. C’est un outil comme les autres !
Il faut intégrer les réflexions juridiques dès la création d’un produit, pour éviter de perdre du temps et de l’argent à posteriori.
Il vous faudra par contre être capable de justifier vos choix, et de les documenter.
Et voilà ! On en a fini avec le sujet de la sécurisation ! Passons maintenant à l’évaluation des résultats de votre gouvernance des données. Mais pas si vite : un quiz vous attend pour valider cette partie. Bonne chance !