MicroStrategy Bordeaux : parlons RGPD sans dramatiser

Pour finir la matinée du symposium MicroStrategy à Bordeaux du vendredi 9 mars, CGI évoque la RGPD. “Le 25 mai, on va tous mourrir car mon entreprise n’est pas conforme”. En réalité, il faut relativiser la situation :

- est-ce une révolution ? Non pour 80 % du contenu de la réglementation et que l’entreprise doit déjà connaître et implémenter

- la différence majeure est que demain tout le monde doit l’appliquer

- oui le 25 mai prochain, la réglementation est applicable uniquement si on collecte des données personnelles. Attention à ne pas partir dans l’excès comme on le lit trop souvent !

- aujourd’hui l’entreprise utilise beaucoup de technologies différentes et oui toutes les entreprises ne seront pas 100 % RGPD à la date. 

Effectivement, la sanction vont jusqu’à 4 % du CA monde de l’entreprise. Mais attention, là encore, il faut rester calme : la sanction n’est pas automatique. 

Une des idées du RGPD est de responsabiliser l’entreprise. L’entreprise devient réellement responsable des données, des traitements. Il faut réfléchir sur comment on se conforme, les bonnes pratiques à mettre en place. Et pourquoi on choisit tel outil, tel processus. Il n’existe pas une unique manière de faire, chaque entreprise doit trouver ses bonnes pratiques. 

Comme dit plus haut, le RGPD n’est pas une révolution (il faut arrêter de le dire et surtout de faire peur) car l’entreprise est censé avoir mis en pratique de nombreux aspects de sécurité sur les données personnelles.  

Un des grands changements est le périmètre de la donnée personnelle. Ce n’est pas uniquement le nom mais aussi toutes les données connexes : les données professionnelles liées à mon profil personnelle ou encore les logs de connexion. 

Fondamentalement, l’entreprise aura toujours des traitements sur ces données et les acteurs restent identiques. Par contre, il faut que la chaine soit responsabilisée de bout en bout.

- il faut être capable de tracer les flux

- justifier l’usage de tels traitements, de tels outils, etc. : en cas de contrôle et de plainte l’entreprise doit pouvoir répondre aux demandes et agir en conséquence

- les animaux ne sont pas concernées par la RGPD (cette question a déjà été posée aux experts CGI)

On peut retenir 6 principes :

- pourquoi je fais la collecte de données

- minimisation des données : selon la RGPD on collecte que le minimum de données donc uniquement ce qui est indispensable

- exactitude des données : avoir des données à jour

- conservation limitée : on ne doit plus conserver sur le long terme

- confidentialité et intégrité. on conserve en assurant la sécurité des données. On utilise les pratiques du marché : niveau 27001 par exemple. Il faut une approche responsable, anticiper et prévenir.

- légalité et loyauté : quelle base légale pour le traitement, etc. consentement explicite des personnes indiquant la collecte de données. 

Une des questions qui se pose est de savoir si la RGPD s’oppose au Big Data et notamment au Big Data analytics. Effectivement, si on prend les grands volumes de données vs la minimisation de la RGPD n’a-t-on pas une opposition ? La question se pose mais peut être qu’il faut être capable de mieux cibler les sources de données, être capable de les identifier et d’extraire les données (réellement) utiles. 

Un des problèmes que l’on peut avoir est que la multiplication des sources de données ne facilite pas l’identification des sources et donc induit une difficulté à les traces. Quelle est la base légale de ces sources ? Et savoir si la source utilisée est réellement légale (question bête mais pas inutile à se poser).

Une des solutions est de ne pas tout garder. Il faut pouvoir cartographier les données et mettre en place l’anonymisation même si cette pratique n’est pas simple car certaines bases peuvent être très difficiles à manipuler ou encore selon la nature de la données car finalement, certaines données vont poser problème comme les vidéos, les images, même si des techniques existent. 

Autre question qui se pose à certaines entreprises : quid du profilage des données dans le RGPD ? Là encore, il ne faut pas dramatiser. RGPD vise des cas d’usages précis et pas l’ensemble des pratiques. 

Une des clés pour une bonne pratique de la RGPD est la transparence.