atoma

Publications extra-professionnelles: RGPD - les questions à se poser

RGPD

La règlementation sur les données personnelles a pour but de mettre en transparence l'intérêt légitime du collecteur d'information par rapport à l'intérêt de la personne concernée. Cela concerne tout ce qui est à caractère personnel; à savoir tout ce qui identifie de manière certaine une personne (directement ou indirectement) et qui la qualifie.

Il y a 3 aspects par rapport à la donnée collecter sur une personne:
  • son cadre légal de collecte, de traitement et de diffusion
  • l'appréciation effectuée sur la personne
  • la transparence aux informations collectée vis-à vis de cette personne

Obligations légales

Le cadre légal de collecte, de traitement et de diffusion de la donnée sur les personnes se base sur ces 6 points "légaux", auxquels vous devez avoir une réponse claire sont:
  1. Fondement licite et légitime: par quel moyen et comment la donnée est-elle collectée?
  2. Finalité de l'usage: à quel enjeu, à quelle fin cette donnée est-elle collectée
  3. Minimisation de la donnée: Quels sont les champs impératifs à stocker? Contentez-vous de données standards ou bien cherchez-vous à récupérer le maximum d'information sur la personne?
  4. Exactitude: Quel(s) contrôle(s) et règle(s) pour contrôler que la donnée est juste (au moment de sa saisie) et qu'il n'y a pas de doute d'homonymie?
  5. Durée d'usage: Historisez-vous la donnée collectée (dans le cas de mise à jour d'une donnée). Y'a-t-il un droit à l'oubli, une suppression de la donnée au bout d'un certain temps?
  6. Confidentialité et sécurité:
    • Sur la collecte (des données autres que les champs impératifs): êtes-vous déjà déclaré auprès de la CNIL, du privacy Shield, etc?
    • Sur la portabilité de la donnée (publication et rediffusion): La donnée est publiée ou revendue. Avec-vous bien un filtre opt-in / opt-out dans le cas de la revente ou rediffusion.
    • Sur l'accès à ces données: qui a accès à ces données, l'accès est-il nominatif et sécurisé?
Ce sont les questions essentielles, et une réponse à vos partenaires que vous gérez bien ces 6 points suffit amplement.

La complication dans le RGPD est surtout quand vous revendez la donnée sur les personnes. En effet, vous devez vous assurer également que votre client/partenaire répond à ces 6 points (sinon, vous êtes complice de recelle de données), et en premier lieu à:

  • Finalité de l'usage: est-le même que le vôtre (la prospection, la conformité; la lutte contre la fraude, etc.
  • Durée d'usage: est-il en mesure de bloquer une information?
  • Confidentialité et sécurité: la donnée revendue est-elle bien accessible à des personnes pré-identifiés avec des moyens sécurisés

Devoirs de vigilance dans le report de données de qualification et d'interprétation

Au travers du principe de la balance entre l'intérêt légitime du collecteur et du collecté, la question clé porte sur le jugement que vous sur la personne collectée.Portez-vous un jugement (subjectif et même objectif) sur la personne?
Tant que vous collectez des éléments factuels (nombre de connexions, d'interrogations, de consommations, etc.) et que ces informations ne soient pas transmis à des tiers, vous restez dans un cadre de collecte impératif (au bon fonctinnement de votre logiciel et de votre service client. il n'y a rien à justifier par rapport aux 6 points légaux.

Dans le cas contraire où vous qualifiez ou vous portez un jugement, vous vous confrontez directement à la législation RGPD et à la fameuse balance des intérêts.
Vous ne pouvez plus indiquer textuellement que c'est un mauvais/bon client; une crème ou un emmerdeur, ses avis politiques et morayx, etc.

Pour juger et catégoriser une personne: rien ne vous empêche de faire parler les algorithmes. Reprennez n'importe quel questionnaire psychologique de magazine d'été et en 10 questions, un profil psychologique et de jugement est fait. C'est votre matrice qui interprète et non plus un de vos salariés. C'est donc un jugement impartial et factuel.

Obligations de moyens

Outre l'aspect licite et la finalité de votre collecte, vos obligations de moyens consistent surtout:

  • Consentement: indiquer clairement que vous collectez et stockez des données sur l'utilisateur et à quelle(s) fin(s)
  • Confidentialité et sécurité:
    • dans la collecte: ce sont bien des personnes assermentées, à savoir qui ont signé votre charte interne sur la protection des données et qui sont bien authentifiés
    • dans la visualisation (backoffice); idem, des personnes (salariés ou prestataires) connues et authentifiées
    • dans la rediffusion/revente: des accès sécurisés et authentifiés
  • Mise à transparence et rétractation: permettre à une personne du fichier de bien:
    • avoir une copie de ses données stockés
    • avoir la possibilité à bloquer la rediffusion, voire de supprimer toutes les données non impératives

Modèle de réponse

Voici un modèle de réponse que je vous propose lorsqu'un de vos clients/ partenaires vous demande si vous appliquez bien la réglementation RGPD.

Concernant la règlementation et les données personnelles que nous collectons, traitons et diffusons (sur nos utilisateurs), je vous confirme que nous répondons bien aux 6 principes de la loi :
  • Fondement licite et légitime ; lié à l’identification des personnes qui utilisent nos services
  • Finalité de l'usage : d'une part suivi de la relation client et d'autre part revente à nos partenaires intéressés par les utilisateurs de l'un de nos services
  • Minimisation de la donnée livrée : nous ne livrons que la donnée utile à ces besoins : civilité, nom, prénom, fonction, téléphone, email, dates (naissance; 1er achat, etc.) afin d'écarter tout homonyme.
  • Exactitude : c’est d’une part une information que l'utilisateur à déclaré et revalidé lors de nos entretiens téléphoniques par notre service client
  • Durée d'usage : seul les utilisateurs actifs sur l'année sont retransmis. Nos données sont en locations, à savoir qu'après échéance de contrat, nos clients doivent supprimer de leur base tout contact inactif.
  • Confidentialité et sécurité :
    • Sur la collecte: nos collecteurs sont bien assermentés à notre charte interne du RGPD et qu'ils ne doivent pas porter de jugement de valeur sur les personnes qu'ils gèrent
    • Sur la visualisation: les gestionnaires et personnes ayant accès à notre back-office sont bien identifiés et assermentés
    • Sur la diffusion/rediffusion: nos clients, partenaires et prospects doivent s'identifier de manière nominatives pour visualiser ces informations.
    • Concernant les données personnelles publiées : nos clients ont bien le droit de transparence / rétractation. Nous gérons par ailleurs la notion d’opt-in / opt-out.
Dans le cas d'un partenaire, il convient de rappeler la phrase suivante:
En tant que partenaire (ou revendeur de nos données), pouvez-vous également nous confirmer
  • Données non rediffusées / revendues sans notre accord, tel décrit au contrat liant nos 2 sociétés
  • Que vous êtes bien en mesure de gérer la notion d'opt-in / d'opt-out
  • Que vos utilisateurs internes et externes sont bien identifiables de façon nominative.

En conlusion, tant que vous êtes factuels, et que la donnée reste en interne, l'impact de la réglementation de la RGPD reste infime. La jurisprudence nous le dira à l'avenir...