La Structure de la Data Governance dans les entreprises
La Data governance ou gouvernances des données correspond à l’ensemble des organisations et des procédures mises en place au sein d’une entreprise afin d’encadrer la collecte de données et leur utilisation. Selon une étude menée par Reach Five et Opinion Way, 78% des entreprises françaises récolte les données pour personnaliser l’expérience client. Pourtant, la simple collecte des données est insuffisante pour améliorer sa compétitivité : les entreprises doivent apprendre à utiliser de manière optimale ces données. Cette collecte est soumise à des restrictions telles que le respect de la vie privée des utilisateurs. Par conséquent, dans leur procédure de gouvernance des données, il est nécessaire pour les entreprises de prendre en compte les limitations posées par la législation, autant nationale, qu’européenne.
Une donnée à caractère personnelle renvoie à toutes les informations qui permettent d’identifier une personne physique. La France fut un précurseur dans l’encadrement des données de ses citoyens. Dès 1978 elle a mis en place une législation avec une logique protectrice pour les utilisateurs alors même qu’à cette époque, internet était étranger au grand public. La loi française du 6 janvier 1978 a posé le principe de liberté de constitution de fichiers nominatifs et de traitement informatique des données mais cette liberté connait des limites : la collecte de données doit respecter un principe de loyauté et de transparence. Cela signifie que les entreprises ont l’obligation d’informer les personnes concernées du caractère obligatoire ou facultatif de leurs réponses, de la liste des personnes morales destinataires de leurs réponses et des conséquences de ces réponses. Pourtant, si l’absence de réponse entraine une incapacité d’accéder au service proposé, peut-on encore considérer que l’utilisateur a toujours le choix dans la divulgation de ses données ?
L’une des notions fondamentales de cette loi, est le droit d’opposition et de rectification des informations collectées. Cette question a fait l’objet de contentieux et le juge s’efforce de faire respecter cette règle. Par un arrêt du 14 mars 2006, la chambre criminelle de la cour de cassation française a considéré que : « Constitue une collecte de données nominatives le fait d’identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques. Est déloyal le fait de recueillir, à leur insu, les adresses électroniques personnelles de personnes physiques sur l’espace public d’internet, ce procédé faisant obstacle à leur droit d’opposition. ». On constate que les données ne sont pas traitées comme des marchandises qu’il est possible de s’échanger mais plutôt comme la propriété d’un individu qui doit donner son consentement pour leur exploitation et pour en avoir connaissance.
La directive du 1995 et le réglement RGPD
Pour rendre cette solution, les juges se sont fondées sur la directive du 7 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, qui a entrainé la modification de la loi du 6 janvier 1978. Pourtant le but de cette législation européenne reste le même que l’ancienne législation française : l’encadrement des flux de données et la protection des informations des utilisateurs.
Pour respecter ces règles, les entreprises doivent mettre en place une politique de collecte des données claire et précise. Il convient dans un premier temps, de s’interroger sur la méthodologie à adopter dans le processus de collecte de données. En effet, celle-ci est primordiale pour s’assurer du respect de la réglementation ainsi que d’une utilisation efficace des données. Pour cela il convient de définir un plan de gestion des données qui définira les méthodes de collecte de données, les systèmes d’organisation de celles-ci mais aussi tout le cadre légal et éthique autour de ces informations : comment les données seront-elles partagées ? Comment protégerez-vous l’identité de vos utilisateurs ?
De plus, il est nécessaire de définir de manière précise comment les données seront stockées pour mettre en place un système de sécurité empêchant la fuite des données. En tant qu’entreprise vous devez prévoir des systèmes pour vous prévaloir contre les failles qui pourraient entrainer la divulgation des informations des utilisateurs et quel sera votre réaction si cet incident se produit. Anticiper les risques et votre attitude face à cela est primordiale : savoir que vous êtes préparé en cas d’incident permet aux utilisateurs d’être en confiance.
Pour finir, il est impératif, en tant qu’entreprise de vous assurer de la qualité des données. Comment s’assurer de la fiabilité de vos données ? Ce contrôle passe par la mise en place de méthodes de surveillance et de traitement. Des données de mauvaise qualité ou mal structurées sont un risque pour la sécurité car il sera plus complexe de déterminer quelles sont les données menacées et quel est réellement le niveau de risque. Comment contrôler et déterminer quelles sont les données menacées ? La mise en place d’outils de data gouvernance est une nécessité pour gérer les données et pour déterminer les zones à risques.
Certains Etats n’ont pas réglementé tout de suite les données et ont attendu une intervention européenne avant de mettre en place des règles relatives à cette matière, c’est le cas du Luxembourg qui n’a mis en place une législation qu’à partir de 2005, dans le but de transposer la directive européenne 2002/58/CE (abrogée depuis) vie privée et communications électroniques. Par la suite 2 lois ont été promulguées le 1er août 2018 : la loi portant organisation de la Commission national pour la protection des données et du régime général sur la protection des données et la loi relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale. Mais finalement on constate que cette réglementation est essentiellement issue des règles européennes : ce sont principalement elles qui encadrent la protection des données.
Facebook problematics
Aujourd’hui, une bonne gestion et une protection des données des utilisateurs est fondamentale pour l’image d’une entreprise. Le géant Facebook en est la preuve : en avril 2021, des données de 533 millions d’utilisateurs de Facebook ont été divulguées. Facebook a affirmé que ces données provenaient d’une collecte illégale qui exploitait une faille de sécurité découverte et réparée en 2019. Cette affaire n’améliore pas l’image du géant en matière de protection des données. Ce n’est pas la première fois que Facebook est confronté à une divulgation des informations de ses utilisateurs. En 2018, l’affaire Cambridge Analytica avait beaucoup fait parler d’elle : les presses anglaise et américaine ont révélé un détournement massif des données personnelles des utilisateurs à des fins politiques. Cette affaire illustre à quel point les informations personnelles des individus peut jouer un rôle dans l’orientation des comportements.
Malheureusement, la délivrance d’informations personnelles est aujourd’hui indispensable dès lors que l’on souhaite naviguer sur internet, mais alors, comment se protéger en tant qu’utilisateur ? Il convient d’être vigilant. Dans le cas de Facebook, les utilisateurs ont eu connaissance de la fuite de données, mais dans de nombreuses situations les individus ne savent pas que leurs données ont été divulguées, dès lors que vous recevez un SMS, un e-mail, vous devez vérifier qui est l’émetteur. Si ce message vous demande de vous connecter à votre espace personnel, ne cliquez jamais sur le lien directement mais tapez l’adresse du site dans votre banque.
L’introduction du RGPD dans le système de data governance
L’Union Européenne est intervenu pour garantir aux utilisateurs de plateformes sur internet la protection de leurs données via le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données qui a abrogé la directive de 1995 sur la protection des données. Tout d’abord, le RGPD a mis l’accent sur le consentement et la transparence, ces deux principes sont au cœur des règles sur la protection des données : « Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités. ». C’est sur ce fondement que les entreprises doivent informer les utilisateurs sur la manière dont seront traitées leurs données : aucune opération ne peut être réalisée sans le consentement du propriétaire de celle-ci. Se pose la question de savoir qui devra prouver le consentement. Il n’empêche qu’il doit être claire et dénué d’ambigüité.
Le RGPD accorde de nouveaux droits : le droit à la portabilité des données implique qu’il est possible de récupérer ses données et de les transférer à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.
Pour la première fois, l’Union Européenne est intervenue en prenant des dispositions spécifiques pour les mineurs de moins de 16 ans : l’enfant doit pouvoir comprendre les informations sur le traitement des données et le consentement des titulaires de l’autorité parentale doit être recueilli.
Ce règlement offre des garanties toujours plus importantes aux utilisateurs, avec notamment une simplification des démarches en cas de préjudice avec notamment l’introduction de recours collectifs. De plus, le RGPD institue un code de conduite afin de veiller à la bonne application du règlement. Ce code impose notamment aux fournisseurs de Cloud computing en Europe de mettre en place des moyens matériels de sauvegarde et de traitement des données sur le territoire européen. Microsoft a pris des engagements face à cette réglementation : les données des Européens resteront sur le territoire européen.
On a pu constater la portée très large du règlement sur la protection des données durant la crise du covid-19. La CNIL française a dû intervenir pour rappeler aux employeurs leurs obligations quant à la collecte des données. Le caractère sensible des données relatives à l’état de santé d’une personne justifie la protection particulière dont elle fait l’objet : mais comment concilier respect de la vie privée et sécurité des personnes ? En principe la CNIL affirme que : « l’employeur n’a pas à organiser la collecte de données de santé de l’ensemble des salariés ». L’employeur n’a l’autorisation de prendre des mesures individuelles à l’encontre d’un salarié que si ce dernier signale lui-même qu’il avait été exposé ou avait exposé une partie de ses collègues au virus.
Le RGPD a cherché à répondre à cette problématique de manière plus globale en introduisant 2 exceptions permettant de divulguer les données médicales d’une personne :
- Les employés signalent eux-mêmes leur situation
- La nécessité, pour un professionnel de santé, de traiter ces données aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation (sanitaire) de la capacité de travail du travailleur, de diagnostics médicaux etc.
Comme les autorités françaises, la Commission national pour la protection des données luxembourgeoise est intervenue, notamment en émettant des avis concernant des projets de lois portant sur les mesures de lutte contre la pandémie Covid-19. Dans son avis sur la proposition de loi n°7808 relative à la stratégie de dépistage du virus Covid-19 dans les structures pour personnes vulnérables et dans les réseaux d’aides et de soins.
La CNPD affirme que le traitement des données effectué dans le cadre de la proposition de loi n°7808 qui prévoit l’obligation la réalisation de test de dépistage du Covid-19 pour les prestataires de service externe et les visiteurs de certaines structures, devra « reposer sur une des bases de licéité énumérée à l’article 6 du RGPD ainsi que respecter l’une des conditions visées à l’article 9, paragraphe (2), du RGPD dans la mesure où des données relatives à la santé des personnes concernées seraient susceptibles d’être traitées. ».
De plus, la réflexion de la CNPD est intéressante car elle soulève des problématiques qui ne relèvent pas de la protection des données mais qui devront être encadrées : « la CNPD s’interroge, en termes de droit du travail, sur les conséquences d’un refus par un employé ou un prestataire de service externe de se soumettre à de telles obligation. L’employé devra-t-il travailler à un autre poste ? Quelles seront les conséquences pour un prestataire de service externe alors que la structure n’est pas son employeur ? ».
La CNPD conclu en soutenant qu’elle ne peut se prononcer plus en détail sur les questions relatives à la protection des données dans la mesure où « le texte sous avis ne respecterait pas les exigences de clarté, de précision et de prévisibilité auxquelles un texte légal doit répondre ». Cette réponse démontre l’importance de cette institution, et de manière générale, des institutions de contrôle car c’est grâce à elle que le législateur a pu prendre conscience qu’il ne répondait pas aux critères de clarté et d’intelligibilité de la loi exigés par les textes européens.
On constate que la protection de nos données et sa législation sont un domaine très large. La réglementation devra continuer à s’adapter en même temps que les nouvelles technologies évoluent. Les entreprises doivent vérifier la conformité de leur politique de traitement des données avec la législation en vigueur et les utilisateurs se doivent d’être vigilant quant à la manière dont ils divulguent leurs informations personnelles.