Pourquoi un responsable de la protection des données personnelles n’est pas la solution pour se conformer au RGPD
Mettre en place une plateforme de gestion des accès et des identités client prépare mieux une entreprise au règlement général sur la protection des données (RGPD).
L'époque où le jargon juridique complexe et les notes de bas de page étaient considérés comme des informations suffisantes pour l'utilisateur est révolue. Il en va de même des moments où les utilisateurs consentant à ce que leurs données soient partagées n'avaient aucun moyen de savoir qui y aurait accès. La transparence de l'accès aux données et du traitement des données est primordiale dans le cadre du règlement général de l'Union Européenne sur la protection des données (RGPD) qui affectera toutes les organisations traitant les données des citoyens de l'UE à partir de mai 2018.
Le RGPD est un très long document contenant plus de 90 articles juridiques complexes. Toutefois, les entreprises ne doivent pas présumer que leur équipe juridique ou leur nouveau responsable de la protection des données personnelles (le data protection officer) pourront, à eux seuls, résoudre cette question. Bon nombre des nouvelles exigences sont d'abord et avant tout des questions de capacité technologique, notamment la possibilité de tagger l'analyse complète des données de la plateforme ou un modèle de gestion des identités et des accès des consommateurs, tandis que d'autres fonctions telles que les tableaux de bord des utilisateurs finaux, les trajets d'enregistrement et les cadres de consentement devront être mis à jour.
Heureusement, certaines de ces exigences peuvent être satisfaites par la mise en place d’une plateforme de gestion des accès et des identités client. Voici quelques conseils destinés aux organisations souhaitant mieux comprendre les exigences du RGPD en matière d’identité, et pourquoi et comment les plateformes doivent être utilisées au sein de ce nouveau cadre réglementaire.
Données personnelles
Le RGPD vise à s’assurer que les données personnelles sont traitées légalement, et que les données sont uniquement stockées durant le délai nécessaire et pour une raison précise. En outre, il exige la création d’une interface complète destinée à l’utilisateur final afin de lui permettre de vérifier la validité et l’exactitude de ses informations.
Les organisations recueillent aujourd’hui plus de données que jamais, et plus fréquemment qu’auparavant. Certaines de ces données sont explicites, telles que vos noms et dates de naissance lorsque vous vous inscrivez à un service, tandis que d’autres sont plus subtiles, telles que votre géolocalisation, votre historique et vos préférences personnelles.
Bien sûr, l’ensemble de ces données personnelles doivent être soumises à des contraintes de sécurité, de confidentialité, d’intégrité et de disponibilité, ce qui nécessite l’introduction de contrôles administratifs et de garanties de persistance des données, tels que les fonctions de hachage ou de chiffrement. Pour une bonne gestion de ces différents éléments, il est conseillé de commencer par instaurer un système de gestion des accès et des identités client.
Licéité du traitement des données
"Licéité du traitement des données" évoque tout de suite l’équipe juridique ou le responsable de la protection des données personnelles. En réalité, il s’agit principalement de questions de sécurité, d’identité et de technologie. Conformément au RGPD, la licéité du traitement des données comporte également des exigences fondamentales en matière de collecte des données et de gestion du consentement.
Que signifie le consentement explicite ? Avant de donner son consentement, le propriétaire des données doit être pleinement informé des données collectées, de la raison et des personnes qui y ont accès.
De son côté, le fournisseur de services doit obtenir le consentement explicite de l’utilisateur final, et non un renoncement implicite. Cela nécessite de mettre en place un système de consentement transparent axé sur l’utilisateur final, doté d’une option de partage, et plus important encore, d’une option de révocation de l’accès aux données en temps voulu. Les protocoles tels que le User-Managed Access peuvent ici s’avérer très utiles.
User-Managed Access (UMA), protocole standard approuvé par Kantara Initiative, fournit un mécanisme à l’utilisateur final ou au propriétaire des données lui permettant de contrôler les personnes qui ont accès à ses données, et à quel moment. Les protocoles d’autorisation traditionnels se basent sur la génération de politiques d’accès par des administrateurs informatiques centralisés. Ces politiques forment ensuite les fondations du système, du service ou de l’accès aux données par des particuliers ou des tiers. Mais désormais, dans un contexte axé sur le consommateur, l’utilisateur final est explicitement en charge des décisions d’autorisation. UMA confie donc la prise de décisions à l’utilisateur final, lui permettant pro-activement de partager – ou, plus important encore, de révoquer – l’accès à ses données. C’est un fondement capital de la gestion du consentement selon le RGPD.
Le droit des particuliers à être informés.
L’information des utilisateurs finaux découle directement de l’aspect légal du traitement des données. Au cœur de ces nouvelles exigences, il est stipulé que l’utilisateur final doit être en position de prendre des décisions raisonnées sur un ensemble de questions importantes, dont le partage de données, l’inscription à un service, la révocation de données, etc.
En outre, il est désormais indispensable d’utiliser des formulations non techniques accompagnées d’explications claires sur les raisons de la collecte de données et sur les tiers qui y ont accès. Ce processus est étroitement lié au modèle de consentement. Le propriétaire des données doit être en mesure de donner son approbation, ou non, et pour cela, il doit disposer d’informations faciles à comprendre. Les processus d’inscription doivent devenir progressifs et ne recueillir des données que lorsque cela est nécessaire, en expliquant clairement pourquoi ces données sont nécessaires, et à quel type de traitement elles seront soumises. Les formulaires d’inscription à attributs multiples vont disparaitre.
Droits des particuliers à la rectification, à l’exportation et à l’effacement
Le RGPD est très exigent sur ce point. Un fournisseur de services doit avoir un système permettant à ses utilisateurs finaux de voir les données qu’il recueille à leur sujet. Ces informations doivent être consultables dans un tableau de bord simple d’utilisation leur permettant d’effectuer des modifications et de mettre à jour leurs données. Il doit aussi permettre au propriétaire des données d’exporter ces informations dans un format standard ou lisible par une machine, tel que le CSV ou le JSON. De nombreux éléments sont donc à prendre en considération pour choisir la bonne technologie et la bonne interface utilisateur.
Un autre aspect intéressant concerne le droit à la suppression ou « droit à l’oubli », car il part du principe que l’utilisateur sait où sont stockées ses données, ainsi que les systèmes, attributs, corrélations et conversions qui ont eu lieu. Une entreprise doit donc pouvoir émettre une demande de cessation de transfert de données visant à les supprimer, les nettoyer ou assurer leur anonymat.
Pas seulement un exercice de conformité
La confidentialité est devenue un avantage concurrentiel. Le RGPD ne doit donc pas être vu comme une simple démarche interne de conformité, mais comme une opportunité de créer des liens plus forts avec ses utilisateurs finaux.
Alors que de nombreuses organisations envisagent de faire appel à un responsable de la protection des données personnelles pour étudier l’ensemble du jardon juridique et concevoir des processus d’analyse et de tag des données, beaucoup devraient d’abord analyser et comprendre les capacités de leurs plateformes de gestion des accès et des identités client.