RGPD

RGPD : Vers une nouvelle réglementation pour nos données !

Baptiste A

Baptiste A

4 min

  Le RGPD ou Règlement Général sur la Protection des Données a été mis en place par le Parlement Européen pour encadrer l’utilisation des données personnelles. Le RGPD a été adopté en 2016 mais n’est effectif que depuis le 25 mai 2018 dans les 27 pays membres de l’Union Européenne. 

Cela a donné aux institutions concernées une période de transition pendant laquelle elles pouvaient se préparer aux nouvelles exigences. Cette législation s’applique à toute entreprise qui collecte des données de citoyens européens sur son site internet incluant les réseaux sociaux tels que Facebook, Twitter, etc. 

Ce texte réglemente la circulation et le traitement des données et peut ainsi représenter une contrainte pour les Data Scientists et Data Analysts. En effet, leur travail consiste à extraire des informations utiles d’un grand nombre de données pour ensuite répondre à des problématiques propres à chaque secteur d’activité.

Pourquoi le RGPD ?

Le RGPD est une réaction à la croissance exponentielle qu’a connu l’exploitation des données personnelles ces dernières années sur l’ensemble des sites en ligne. Ces mêmes données sont de plus en plus utilisées dans des algorithmes de prédiction par exemple, très utiles aux prises de décisions stratégiques pour les entreprises. De plus, cette nouvelle législation vient remplacer une loi de 1995 devenue obsolète compte tenu de l’évolution constante du secteur du numérique.

Ce nouveau règlement européen répond également aux inquiétudes des utilisateurs concernant leurs données récoltées notamment par des applications reposant sur de l’intelligence artificielle. Plusieurs polémiques ont nourri ces inquiétudes, notamment celle de FaceApp, qui permet de vieillir artificiellement une personne à partir d’une photo. Il s’est avéré qu’en acceptant les conditions de l’application, l’utilisateur lui cède le droit d’utiliser sa photo, son nom et toute autre donnée fournie.

Selon le Parlement Européen, ce règlement qui a suscité des années de débat entre les grands groupes et les autorités de protection, n’est pas une contrainte pour les entreprises mais vise plutôt à les responsabiliser et empêcher la surexploitation des données. En effet, la forte compétitivité à l’échelle mondiale semble justifier un manque de considération envers les questions éthiques que pose la collecte des données. Le RGPD intervient donc dans l’idée de contrôler cette « course à la donnée ».

Transparence, Sécurité, et Consentement : les 3 piliers du RGPD

Le premier objectif du RGPD est d’améliorer la transparence entre les entreprises et leurs clients. Celles-ci doivent mettre en œuvre des moyens pour informer leurs clients de la raison pour laquelle chaque information personnelle est collectée. Le client doit également avoir accès aux informations relatives à la conservation des données : savoir qui y a accès et combien de temps celles-ci seront conservées. 

Cette transparence implique un consentement du consommateur dès le début de l’utilisation des services collectant ses données. L’une des idées clés de cette disposition est de divulguer aux clients comment leurs données seront utilisées et qui les utilisera. Cette mesure explique les nouveaux mails du type “notre politique de données change …” envoyés par les réseaux sociaux. L’âge minimum pour consentir aux politiques de confidentialité a suscité des débats au sein de l’Union Européenne. Celui-ci varie selon les pays où la réglementation s’applique. Par exemple, la France l’a fixé à 15 ans tandis que l’Italie ou l’Autriche ont préféré 13 ans. En-dessous de cet âge, les mineurs doivent être accompagnés d’un responsable légal qui donne son autorisation. Les entreprises doivent alors mettre en place les dispositifs nécessaires à la vérification de ces autorisations.

Outre la transparence et le consentement du client concernant ses données sensibles, le RGPD demande à toute entreprise qui collecte des données de prendre toutes les mesures possibles pour les protéger et éviter qu’elles soient accessibles à un tiers. La CNIL (Commission nationale de l’informatique et des libertés) recommande une approche par le risque qui consiste à évaluer les impacts négatifs potentiels comme la violation de données c’est-à-dire tout incident, accidentel ou non, compromettant les données privées stockées par l’entreprise. En cas de violation des données, les personnes doivent être informées dans les 72 heures suivant la détection de la violation par le sous-traitant ou le responsable du traitement des données.

rgpd

Des nouveaux modes de conceptions

La personne dont les données sont détenues doit également pouvoir demander la suppression de toutes les données que possède l’organisme à son sujet, sur présentation d’un justificatif d’identité. Cette idée de « droit à l’oubli » existe depuis un certain temps, mais elle est en train de devenir une obligation légale dans le RGPD. Fondamentalement, elle exige que la protection des données soit incluse lors de la conception des produits numériques, plutôt que comme un complément. Ainsi, les restrictions concernant les données sont prises en compte dès la construction du projet pour éviter les pertes de temps liées à la mise en conformité des applications existantes.

On parle alors de Privacy by Design qui se traduit par une protection de la vie privée dès la conception des services en ligne ou applications mobiles. Cette nouvelle approche de la conception dans le respect du RGPD vise à instaurer une relation de confiance entre le client et l’entreprise.

On parle également de Privacy by Default lorsqu’un utilisateur souscrit à un service et qu’on attribue à son profil le plus haut niveau de protection de la vie privée. Toute modification de ce niveau de protection ne se fait que par son consentement. C’est pour cela que certaines applications demandent une autorisation d’accès au micro, à la caméra ou encore aux contacts lors de la première ouverture.

Quel impact pour la data science ?

Pour en revenir à l’idée de consentement, les consommateurs devant donner leur accord pour chaque utilisation des données, le volume de données disponibles pour la Data Science devrait diminuer. De plus, comme cette permission devra être renouvelée à intervalles réguliers pour respecter la loi, les consommateurs devenus inactifs ne donneront certainement pas leur consentement, surtout si cela ne représente aucun avantage pour eux.

Cependant, le RGPD et les Data Sciences ne sont pas complètement incompatibles. Si les données n’identifient pas un individu, elles peuvent être utilisées sans consentement et à des fins de recherche. Ce processus passe par un cryptage des identifiants et informations permettant de relier un individu à des données que possède l’entreprise. Ces méthodes permettent ainsi de respecter les restrictions mais réduisent les champs d’action de l’analyse de données, par exemple en marketing, l’anonymisation rendant impossible les offres personnalisées.

Le RGPD va donc avoir un impact sur les Data Sciences, plus ou moins important selon les secteurs d’activité. Les data scientists ont désormais un rôle à jouer dans la préparation des entreprises au RGPD. Toutes les données stockées des utilisateurs devront être évaluées et leur consentement devra être recueilli, la sécurisation des données devra être assurée et chaque algorithme de traitement devra impérativement être vérifié sur le plan légal avant d’être opérationnel. La gestion et le contrôle du respect de la protection des données vous intéressent ? Démarrez prochainement notre programme de Data Management