Règles et Normes

Protection des données et open data, un équilibre à trouver entre transparence et opacité

Les données suscitent beaucoup de questions : comment les partager, les réutiliser, mais aussi protéger celles qui sont sensibles ? Plusieurs législations dans le domaine se percutent. Les praticiens devront faire preuve d’habileté. Une association existe pour les aider à se préparer à l’échéance du 25 mai, date à laquelle le règlement général sur la protection des données (RGPD) entrera en vigueur.

Entreprises et personnes publiques doivent jongler avec une multitude de législations pour gérer les données qu’elles détiennent. A l’ère de l’open data, de l’e-administration et de la smart city, la création d’applications et de télé-procédures implique de manipuler des données, de les partager tout en protégeant celles à caractère personnel ou encore celles relevant du secret des affaires. Un savant équilibre entre transparence et opacité à trouver. « Tout l’enjeu est bien de libérer et de protéger à la fois », résume Pierre-Olivier Gibert, président de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP).

 

Accompagnement et lieu d’échanges

 

Créée en 2004, l’association compte un millier d’adhérents, principalement des délégués à la protection des données (DPD ou DPO en anglais) dans les entreprises, collectivités locales et associations, mais aussi des cabinets de conseil, avocats, etc. Elle enregistre une croissance de 4% par mois. « Notre taille a doublé par rapport à 2016 du fait du fort intérêt des acteurs pour la problématique des données à caractère personnel », explique son président. Lieu d’échange de pratiques, l’association travaille à l’anonymisation fiable des données. Ses groupes de travail thématiques sont, par exemple, dédiés aux collectivités locales, à la réutilisation des données publiques et l’open data ou encore à la géolocalisation.

 

Baromètre et petites annonces

 

L’AFCDP tient un baromètre semestriel pour sonder le niveau de mise en conformité des acteurs avec le règlement général sur la protection des données du 27 avril 2016, dit RGPD. Ce dernier entre en vigueur au 25 mai prochain. Il contraint notamment les acteurs publics et certaines entreprises à désigner un DPO chargé d’assurer la conformité des traitements de données. Il ressort du baromètre d’avril 2017 que : « Si la majorité des répondants maîtrisent bien les enjeux du RGPD [indice de maturité individuelle], il n’en va pas de même au niveau global de leurs entreprises [indice de maturité collective]. D’ailleurs, au final peu d’entre eux pensent que leurs organisations seront en conformité le 25 mai 2018 ».

L’association a, par ailleurs, lancé en février une « Place de marché RGDP ». Les acteurs, même non-membres, peuvent y exprimer leur besoin de prestataires chargés de protéger les données à caractère personnel (inventaire des traitements, audit de conformité, plan de mise en conformité, réalisation d’analyses d’impacts, sensibilisation, prestation ou outil d’anonymisation, etc.). Cette place de marché complète le job board proposé pour trouver un collaborateur.

 

« Le Big Bang du RGPD »

 

La prochaine assemblée générale de l’association s’intitule « Le Big Bang du RGPD ». Son président l’explique : « Nous entrons dans une période où l’histoire sur les données personnelles ne sera plus la même. La législation prévoit des sanctions plus fortes auxquelles il faudra faire plus attention. Ces dernières sont légitimes, car les acteurs gèrent de plus en plus de données sur les personnes. Le paysage change aussi : les citoyens ont plus de droits – portabilité, effacement, etc. Les associations activistes donneront un nouveau ton au débat. Pourtant, les acteurs n’ont pour l’instant pas tous les textes pour être en conformité avec le RGPD, à un mois et demi de son entrée en vigueur. »

 

Une loi toujours attendue

 

En effet, le projet de loi relatif à la protection des données personnelles, dit « Cnil 3 », est toujours au Parlement. Après l’échec de la commission mixte paritaire (CMP) le 6 avril, le texte est examiné le 12 avril par l’Assemblée nationale, puis le 19 avril par le Sénat. Il modifie la réglementation actuelle pour la toiletter, mais aussi pour trancher sur la cinquantaine de cas d’adaptations nationales permis par le règlement européen. Le texte renforce également les pouvoirs de contrôle et de sanctions de la Commission nationale de l’informatique et des libertés (Cnil).

 

Des textes à articuler

 

A cette future législation s’ajoutent de nombreux textes existants ou à venir, tels que la proposition de loi sur le secret des affaires transposant la directive européenne du 8 juin 2016 et la loi relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite Sapin 2, du 9 décembre 2016. D’ailleurs, cette dernière « pose un problème technique pour les DPO qui à la fois doivent alerter la Cnil sur des conflits d’intérêts, et peuvent se retrouver en faute s’ils ne préviennent pas leur hiérarchie », alerte Pierre-Olivier Gibert. Ce dernier ne manque pas de rappeler que les DPO doivent pouvoir conseiller leur organisation sur l’usage et le métier, la technique et la législation sur les données. Un vaste programme.

Vous souhaitez réagir

Pour commenter l'article, vous devez être identifié ou vous inscrire
S'identifier

Pour accéder aux contenus et services en accès libre, identifiez-vous

Mot de passe oublié
S'inscrire

Vous souhaitez vous inscrire aux services proposés en accès libre.

Newsletter quotidienne et thématiques, alertes e-mail, commentaires sur les articles...

S'inscrire
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X