Règlement général sur la protection des données: privacy AND security by design

Lors de la conférence organisée à la Maison du Savoir, dans le cadre de l’initiative Digital Lëtzebuerg, des centaines de personnes sont venues pour découvrir le nouveau règlement sur la protection des données personnelles, qui est entré en vigueur le 24 mai 2016.

Confiance

Le 1er ministre Xavier Bettel a fait un flash-back presque nostalgique sur l’époque pas si lointaine où les smartphones n’existaient pas. Xavier Bettel  s’est interrogé sur l’apparition d’une certaine « cyberdépendance », dans laquelle toute déconnexion de quelques minutes est vécue comme un manque. « Maintenant on a des piles pour recharger les piles au cas où elles ne seraient plus là pile au moment où on en a besoin… », s’est-il exclamé.

Le mot-clé de la fin pour Xavier Bettel: la confiance que le citoyens doit pouvoir placer dans les services digitaux car il est en droit de savoir qui traite ses données, dans quel but et comment.

Pascal Steichen a plutôt proposé une vision futuriste du monde numérique, dont certains aspects peuvent inquiéter. Il a mis en scène une application fictive permettant d’orienter notre choix entre 2 candidat(e)s à épouser. L’adage « Le cœur a ses raison que la raison ignore » appartiendra-t-il bientôt au passé, balayé par les algorithmes ? Ce n’est pour l’instant qu’une fiction, mais la réalité dépasse souvent la fiction. Dans un monde rempli de capteurs, de caméras et de GPS qui remplacent nos 5 sens, nos moindres mouvements et humeurs sont enregistrés et envoyées sur le réseau. La sécurité est devenue une obsession. La vie privée est menacée. Les 2 sont cependant inséparables, il ne peut pas y avoir de cybersécurité sans vie privée et vice-versa.

Pascal Steichen a cependant délivré un message positif pour conclure : rien ne sert de vouloir ignorer ou esquiver le nouveau monde digital. Il nous faudra l’affronter d’une manière globale, car il s’agit d’un seul monde avec un seul réseau».

« Aujourd’hui, L’Europe montre le chemin et je suis convaincu que le Luxembourg peut être « first mover » en matière de protection des données et leader dans l’implémentation de la GDPR au profit des citoyens et des entreprises, afin de construire pour nos enfants un monde meilleur », a conclu Pascal Steichen.

Nouveaux droits pour la protection des données

Irina Vasiliu Data protection Unit, DG JUST Commission européenne et le Dr Mark D. Cole (Université du Luxembourg) ont fait une présentation générale du nouveau règlement qui se situe dans la lignée des précédentes directives, mais introduit quelques nouveaux droits pour l’utilisateur :

  • Le droit à l’oubli
  • Le droit à la restriction de certains traitement
  • Le droit à la portabilité des données
  • Le droit de ne pas être évalué sur base de processus automatisés (« profiling »).

Le droit à l’oubli constitue une avancée par rapport au droit à l’ « effacement » des données.

Concernant portabilité des données, le règlement précise que d’utilisateur aura le droit de recevoir une copie de ses données dans un format usuel et structure, lisible par une machine, de manière à pouvoir le transférer à un autre fournisseur. Il aura également la possibilité de transférer ses données directement de fournisseur à fournisseur.

La question de la rétroactivité du nouveau règlement a été posée par la salle. Pas d’inquiétude à avoir, cependant : aucune rétroactivité ne sera imposée aux contrats existant.  Mais il est sage de commencer à réfléchir concernant les consentements obtenus par le passé, pour voir s’ils sont conformes…

Nouvelles responsabilités

Le nouveau règlement impose des responsabilités accrues pour les responsables de traitement et sous-traitants.Données personnelles, big datat et vie privée...

Le responsable traitement doit limiter le traitement aux données strictement nécessaires à la délivrance du service. Conséquence : la « pseudonymisation » des données doit être utilisée pour leur faire perdre leur caractère nominatif ce caractère n’est pas nécessaire.

Ensuite, les principes « Privacy by design » et « by default » sont à appliquer dès le choix du moyen de traitement.

En outre, les responsables du traitement auront l’obligation de tenir un registre.

Il devra mener des analyses d’impact préalables si le risque est élevé, dans les 3 cas (liste pourra être allongée) :

  • Évaluation systématique et approfondie d’aspects personnels (profiling)
  • Traitement à grande échelle de catégories particulières de données
  • Surveillance systématique à grande échelle d’une zone publique.

Suite à cette analyse, des mesures devront être adoptées en fonction du risque et moyennant consultation des autorités compétentes.

Des nouvelles obligations sont également prévues pour les sous-traitants de 1er et de second niveau.

Pour les entreprises traitant des données, la check-list minimale serait la suivante :

  • bonne gouvernance ;
  • désignation d’une personne en charge (cas échéant DPO) ;
  • formation du personnel ;
  • vérification conformité et suivi régulier ;
  • mise en place de process.

Droits du patient et patience du droit

La plateforme nationale eSanté a été présentée par Mme Violaine Langlet, de l’agence eSantéLe nouveau réglement sur la protection des données personnelles

Le dossier de santé électronique gratuit, personnel et sécurisé, qui regroupe les données de santé essentielles pour le suivi du patient. Il permet au patient de voir par qui et pour quelle raison son dossier a été consulté.

La mise en place de ce dossier de santé électronique a requis une Analyse d’impact approfondie, eu égard aux risques sur les droits et libertés des personnes physiques.

Enfin, quelques explications ont été données sur les procédures d’assistance mutuelle et d’opérations conjointes entre les états membres. L’adoption d’un texte unique qui sera directement applicable dans tous les états est progrès notable par rapport à la situation actuelle, mais il faudra sans doute un certain temps pour que les états coordonnent leurs pratiques administratives et judiciaires afin de rendre un service optimal au citoyen.

Security AND Privacy by design

Au final le nouveau « GDPR » apportera une harmonisation de la régulation au niveau européen et mettra l’Europe à la pointe de la protection des données personnelles. Sécurité et vie privée sont devenus inséparables. Le principe du Privacy by design est consacré par cette nouvelle réglementation. Il faut maintenant qu’il rentre dans les pratiques de tous les acteurs de la société numérique. Il faut aussi que le « Security by design » devienne le nouveau credo des développeurs d’applications et de systèmes de traitement des données, sans quoi les fuites de données massives se multiplieront et la GDPR ne pourra que constater les dégâts…

Share with care: