Attention à la vie privée durant le data journey

Le data journey est un cadre qui couvre tous les aspects des données professionnelles : de la collecte des données à leur utilisation. "Une première question se pose d’emblée", explique Jan Leonard, Data Protection Officer chez Orange Belgium. "Les données collectées sont-elles des données à caractère personnel qui relèvent du RGPD (règlement général sur la protection des données) ou des données professionnelles ? Bien que ces dernières soient également confidentielles et doivent être traitées de la même manière, il y a une différence en termes juridiques." Les sanctions susceptibles d’être imposées aux organisations en cas de non-respect du RGPD sont un aspect important. Il peut s’agir d’avertissements, mais aussi d’amendes pouvant atteindre plusieurs millions d’euros.

Première étape du data journey : la collecte des données. "Le principal défi à ce stade est de savoir si les appareils sont bien sécurisés. Pensez par exemple aux thermostats et aux caméras. On n’a commencé que récemment à mieux protéger ces données IoT, y compris en Europe." La Commission européenne travaille sur une législation visant à retirer de la vente les appareils IoT qui présentent un faible niveau de sécurité.

Dans notre récapitulatif, Jan Leonard se concentre sur les données obtenues dans le cadre de l’Internet of Things, par le biais de machines. Sa conclusion ? Les données revêtent rapidement un caractère personnel et sont donc soumises au RGPD. "Dans le cas des compteurs intelligents, par exemple, ces données semblent anonymes, mais elles sont personnelles parce qu’elles peuvent être liées à un lieu précis", explique-t-il.

Deuxième volet : le transport des données. "Cet aspect fait partie intégrante de la mission de l’opérateur télécom. La confidentialité est son cœur de métier."

Cette mission s’inscrit dans le prolongement de la troisième partie du data journey : le stockage des données. "Tout dépend ici du lieu de stockage : le centre de données du client ou celui du fournisseur", précise Jan Leonard. "En marge de la protection des données, il s’agit aussi de garantir la disponibilité des données à tout moment et dès qu’on le souhaite." Sachez d’ailleurs que, conformément au RGPD, une personne concernée peut exiger à tout moment un accès aux données que vous détenez sur elle. Elle peut même en demander une copie pour vérifier si les données sont correctes.

L’étape suivante du data journey, l’analyse des données, comporte aussi des points à prendre en compte. "La transparence est cruciale à ce stade. L’utilisateur final doit savoir exactement ce qu’il advient de ses données. Cette transparence fait encore souvent défaut pour le client, qui est le propriétaire des données. C’est un point d’attention essentiel pour les entreprises", souligne Jan Leonard.

En plus d’être légal et transparent, le traitement des données à caractère personnel doit poursuivre des objectifs spécifiques. Une organisation ne peut collecter de données à caractère personnel à des fins non définies. Elle ne peut, en outre, collecter et traiter que les données à caractère personnel nécessaires pour atteindre cet objectif. Les données ne peuvent d’ailleurs pas être conservées plus longtemps que nécessaire.

Etape suivante : le partage et l’utilisation des données. "La transparence est encore plus importante à ce stade", indique le Data Protection Officer. "Un client peut accepter qu’un certain fournisseur conserve ses données, mais pas forcément d’autres fournisseurs et pas pour toutes les données. Les entreprises doivent tenir compte des souhaits des clients finaux."

Dernière étape : la protection des données. Cet aspect intervient en réalité à chaque étape du data journey. "Il est à tout moment crucial que ces données soient correctement protégées, qu’il s’agisse de données professionnelles ou personnelles. La sécurité est toujours primordiale, tout comme la confidentialité." Ce point concerne néanmoins toute l’organisation, du business à l’IT, en passant par le Data Protection Officer.