Protection des données : la relation entreprise-client évolue
La collecte de données personnelles est essentielle pour offrir aux clients l’expérience sur mesure qu’ils souhaitent et ne choque désormais plus personne dans bien des cas.
Que ce soit pour publier des commentaires sur des sites tels qu’Amazon, Netflix ou YouTube, ou pour bénéficier d’expériences personnalisées dans les applications que nous utilisons au quotidien, l’accès aux informations et préférences personnelles est nécessaire.Des collectes massives de données sont réalisées même dans le cadre d’initiatives telles que les "villes intelligentes". Par exemple, le projet "Smart city" de Sidewalk Labs en cours d’évaluation à Toronto vise à démontrer comment les technologies émergentes peuvent rendre les villes plus abordables, accessibles et écologiquement durables. Dans cette optique, des informations seront recueillies à l’aide de capteurs, de caméras et d’applications mobiles en vue d’améliorer la qualité de l’air, la circulation automobile et piétonne, ainsi que de nombreux autres aspects de la vie urbaine. Cependant, d’importantes quantités de données personnelles seront également collectées sur les personnes qui vivent, travaillent ou se rendent dans le quartier.
À partir de quand l’utilisation de données personnelles devient-elle préoccupante pour les individus, et comment ces derniers peuvent-ils les protéger ? Dans le cas du projet de ville intelligente à Toronto, Sidewalk Labs a indiqué que les données recueillies par les capteurs seront en libre accès. Cela a provoqué un tollé chez les spécialistes de la protection de la vie privée comme Ann Cavoukian, pour qui les droits de la personne doivent constituer une priorité dans la conception et la gouvernance de tels projets.
Ann Cavoukian, ancienne commissaire à l’information et à la protection de la vie privée de l’Ontario est considérée comme celle qui a inventé le concept de privacy by design (protection des données dès la conception), l’un des éléments majeurs du RGPD de l’UE. La nécessité de prendre en compte la protection des données personnelles lors de la conception des technologies a en effet été introduite dans la législation par le RGPD.
L’objectif de celui-ci est de redéfinir la propriété des données personnelles, en la retirant des organisations pour l’attribuer directement aux individus. La protection de la vie privée dès la conception doit être envisagée sous l’angle des droits de la personne concernée, tels que le droit à l’information, le droit d’accès, le droit à la limitation du traitement, le droit d’opposition, sans oublier le droit à l’oubli.
Le RGPD témoigne de l’évolution des mentalités en matière de propriété des données. Les individus auront de plus en plus de contrôle sur leurs données personnelles et la manière dont elles sont utilisées. En dehors de l’UE, d’autres pays et régions choisissent également cette voie. Les pays les plus avancés sur le plan numérique – le D7 – montrent l’exemple à travers des initiatives de gouvernement ouvert et de marchés ouverts qui mettent l’accent sur la protection des données. L’un des membres du D7, l’Estonie, a même créé la première ambassade des données au monde, accordant à ses données un statut diplomatique !
Du "propriétaire des données" au "gardien des données"
C’est dans ce contexte que les entreprises peuvent construire une relation différente avec leurs clients. Le concept de gardien des données existe depuis longtemps et il est temps de lui donner un nouveau souffle. Depuis l’entrée en vigueur du RGPD, l’entreprise entière joue le rôle de gardien des données et accompagne les personnes concernées dans le choix des modalités d’utilisation de leurs informations personnelles. Un dialogue bilatéral est instauré entre l’entreprise qui demande le consentement de l’individu et ce dernier qui consent au traitement de ses données à des fins spécifiques.
Pour ce faire, vous devez être en mesure d’identifier les données personnelles en votre possession, le lieu et les modalités de stockage et de traitement de celles-ci, les personnes qui les utilisent ainsi que les finalités du traitement. Vous devez pouvoir vérifier si la personne concernée vous a donné son consentement. Les services de conseil en e-dicovery peuvent vous aider à identifier les preuves juridiques dont vous avez besoin, et pour cela, une plate-forme EIM est indispensable à la gestion conforme des données de l’entreprise et des processus associés.