J’ai suivi un cursus d’informatique et obtenu mon diplôme d’ingénieur en 1999. Ce sont probablement les raisons qui ont forgé ce caractère rationnel qui est le mien, ne jurant que par les vérités absolues. Beaucoup de mes collègues ont la même façon de penser. J’entends par là qu’ils ne jurent également que par un raisonnement structuré, quantifiable et binaire. En devenant Délégué à la Protection des Données (DPD), je commence à réaliser à quel point cette décision qui va à l’encontre de mon raisonnement, risque de déclencher l’incompréhension de mes confrères.
Mais quel est le rapport avec le RGPD me direz-vous ? Continuez à lire et vous comprendrez…
Le RGPD n’est pas une réglementation basée sur des règles, mais plutôt une réglementation basée sur des principes. Adhérer à des règles requiert à la fois interprétation et réflexion (par exemple le choix d’imposer une limite de vitesse). D’un autre côté, adhérer à des principes nécessite une compréhension plus profonde du contexte. Et dans ce sens, la limite de vitesse n’est rien d’autre que l’interprétation d’un principe (vous devez être vigilant, prudent et prévenant sur les voies de circulation). Pour y voir plus clair prenons l’exemple de mes confrères et de leur compréhension de ce qu’est le RGPD. Cette interprétation peut se traduire par de nombreux questionnements dont voici quelques exemples :
“Peut-on considérer un identifiant interne comme une donnée personnelle ?” DPD: “Ça dépend. Peut-il servir à identifier directement ou indirectement une personne ?”
“Sommes-nous autorisés à traiter cette donnée à caractère personnel ?” DPD: “Ça dépend. Est-ce requis par l’objectif initial du traitement des données ? Le traitement est-il légal ? La sécurité est-elle appropriée pour le traitement ?”
“Cette nouvelle fonctionnalité est-elle suffisamment sécurisée ?” DPD: “Ça dépend. Avons-nous évalué le risque qu’elle peut représenter pour les droits et libertés des personnes physiques ?”
Cela ne veut pas dire qu’il n’y aura pas de restrictions (limites de vitesse) plus claires liées au RGPD. Au fil du temps, les règlements, certifications et les directives émergeront, facilitant ainsi des réponses « binaires ».
Bien évidemment, cela ne représente pas uniquement un défi pour moi et mes confrères, mais également pour nos clients. Ils doivent aussi évaluer les données qu’ils sont autorisés à traiter, ce qui doit être considéré comme donnée personnelle et/ou si un système donné et suffisamment sécurisé pour le traitement.
Peut-être que le plus grand défi pour beaucoup de nos clients représente les droits des utilisateurs. Le RGPD renforce les droits des utilisateurs, avec notamment le droit à la transparence, le droit à l’oubli, le droit à la mobilité etc. Mais voici le dilemme. Certes ces droits sont fondamentaux, mais ils ne sont pas absolus. Ces droits doivent être pesés au regard d’autres obligations légales et d’autres droits fondamentaux. Bon nombre de nos clients naviguent dans des eaux où les obligations légales sont légions. Parmi elles, des lois relatives à l’éducation, à la fonction publique, à la protection des mineurs, etc.
Prenons un exemple concret afin d’illustrer le défi de l’évaluation des droits des utilisateurs. Un parent contacte l’établissement scolaire de son enfant afin d’exercer son droit à l’accès aux données. Il demande une copie de toutes les données personnelles de son enfant qui sont stockées dans leur ENT. En termes RGPD, cela s’appelle un droit fondamental. Cependant, l’établissement scolaire doit peser cette demande au regard des obligations qu’ils ont vis-à-vis des lois sur l’éducation (certaines de ces données peuvent-elles nuire au droit à l’éducation de l’apprenant ?), des lois sur la confidentialité (même les mineurs ont un droit partiel à la confidentialité), les règles de confidentialité pour un agent de la fonction publique, etc.
Etre conforme au RGPD, que vous développiez un ENT ou dirigiez un établissement d’enseignement, nécessitera une mûre réflexion. Il y a quelques réponses « binaires » en ce qui concerne la conformité. Rassurez-vous, en assimilant les principes et en prenant des décisions réfléchies, vous aurez déjà parcouru la moitié du chemin !
Finalement, nous pouvons dire que nous naviguons dans des eaux troubles actuellement. Sans parler des autorités de contrôle telles que la Cnil, qui est à même de décider si telle ou telle décision est la bonne ? Personnellement, je pense qu’il est bien mieux d’avoir pris une mauvaise décision basée sur une mûre réflexion plutôt que de rester dans l’ignorance. Et ça tombe bien car les autorités de contrôle ne considèrent pas l’ignorance comme quelque chose de positif…
Retrouvez l’intégralité de notre plan d’action sur notre FAQ.
