Sous certaines conditions, le règlement européen consacre le droit des citoyens à l’effacement de leurs données personnelles. Un véritable défi technique pour les entreprises au système d’information siloté et aux bases de données redondantes.
L’article 17 du RGPD est peut-être celui qui donne le plus de fil à retordre aux responsables de traitement. Il accorde au citoyen de l’Union européenne un droit à l’effacement de ses données personnelles. Plus connu dans le grand public sous l’expression de « droit à l’oubli », ce droit n’est pas en soi nouveau. La loi Informatique & Libertés l’évoquait déjà et la loi pour une République numérique d’octobre 2016 l’a introduit pour les mineurs.
Enfin, il y a eu le droit au déréférencement créé suite à l’affaire dite Google Spain. Un particulier espagnol attaque Google car les premiers résultats qui s’affichent quand on tape son nom dans le moteur de recherche lui portent préjudice. Ils pointent sur une annonce légale concernant une saisie immobilière l'ayant frappé pour recouvrement de dette.
En 2014, la Cour de justice européenne lui donne raison obligeant Google à mettre en place une procédure de déréférencement en ligne. Un déréférencement qui n’est pas systématiquement accepté puisque pondéré par le droit à l’information.
Avec le RGPD, plus de flottement juridique. Le règlement européen consacre définitivement le droit à l’effacement. Les organisations publiques et privées doivent être en mesure de garantir aux personnes qui leur en feront la demande - pour peu que celle-ci soit légitime - que leurs données seront bien définitivement supprimées de l’ensemble de leurs systèmes, et ce, dans un délai de 30 jours.
Le droit de l’effacement n’est pas inconditionnel
Manager de l’offre RGPD chez Micropole, Eliott Mourier rappelle néanmoins, qu’à la différence du droit d’accès, le droit à l’effacement n’est pas inconditionnel et ne s’applique pas dans tous les cas de figure. « L’entreprise mènera d’abord une instruction avant de l’accorder. Par exemple, si la donnée en question est liée à l’exécution d’un contrat, elle demandera à l’intéressé s’il souhaite mettre fin audit contrat. »
Il y a aussi les données dont la collecte relève d’une obligation légale comme le numéro de sécurité sociale pour l’établissement d’un bulletin de paie ou le taux d’imposition dans le cadre du prélèvement à la source.
De même, le droit à l’oubli ne peut s’appliquer durant les délais légaux de conservation. Un contrat d’assurance vie doit, par exemple, être conservé jusqu’à 20 ans après la fin de son exécution. « Dans la banque, secteur soumis à de fortes contraintes règlementaires, environ 95 % des demandes d’effacement sont refusées. »
Enfin, une entreprise peut se retrancher derrière l’article 6 du RGPD qui invoque comme fondement d’un traitement « les intérêts légitimes » poursuivis par celle-ci, à moins, précise le texte, qu’ils contreviennent aux intérêts ou aux libertés et droits fondamentaux de la personne fichée.
Un article fourre-tout qui prête à interprétation. L’intérêt légitime de l’entreprise, cela peut être sa sécurité, la lutte contre la fraude mais aussi la prospection commerciale. Dans ce dernier cas, le consommateur a toujours la possibilité de se désinscrire (lien de désabonnement, stop SMS…).
Le RGDP, un sujet avant tout de gouvernance des données
Reste tous les autres cas d’usage pour lesquels l’entreprise doit se mettre en capacité de supprimer techniquement les données de l’individu qui en fait la demande. « Cela constitue un défi technique dont la difficulté est proportionnelle à la complexité du système d’information, estime Eliott Mourier.
Ce n’est pas un problème pour les GAFA. « Customer centric », leur SI est nativement « designé » pour trouver ce type d’information. Il n’en est pas de même pour les entreprises traditionnelles aux SI silotés dont les données sont répliquées dans de multiples bases en local et maintenant dans le cloud. »
Face à cet enjeu, l’expert a observé un changement d’interlocuteur. Alors que durant les deux dernières années, le sujet était accaparé par les juristes – qui ont notamment passé en revue les contrats de sous-traitance et mis à jour les conditions générales d’utilisation – il revient aujourd’hui dans les mains du RSSI, du DSI ou du CDO.
A charge pour ces hommes de la technique d’assurer la conformité dans la durée en posant le cadre d’une gouvernance de la donnée. Ce qui nécessite un data lake en ordre de marche et la mise en place d’une solution de master data management (MDM).
En créant un référentiel maître des données clients, il suffira de supprimer une seule fois les données concernant M. Martin sans faire le tour de toutes les bases de données où son dossier a été répliqué. Un système centralisé et « propre » permettra, par ailleurs, de fournir une preuve unique de cet effacement comme un log de la suppression.
Le droit à l’effacement concerne les données « à chaud », de production, mais aussi les données « à froid ». A cet égard, l’entreprise doit prévoir des purges automatiques de ses archives. Ce qui lui permettra également de respecter les délais de conservation.
Avec le RGPD, les organisations doivent se départir de leur proportion à conserver toutes leurs données ad vitam aeternam. Avec un coût de stockage toujours plus bas, elles ont perdu le réflexe de faire le tri entre leurs données et d’en supprimer régulièrement. Une mauvaise habitude à perdre.
Source : Cette information et actualité qui a suscité notre intérêt, a été publiée sur le site zdnet.fr par Xavier Biseul que nous remercions. il nous a semblé pertinent de vous en faire profiter.