Glossaire Data Protection & Privacy

Qu'est-ce qu'un catalogue de données ?

Un entrepôt destiné au stockage des métadonnées (metadata). Les métadonnées sont des données sur les données. Elles fournissent un contexte et des détails essentiels qui décrivent différents aspects des données, tels que leur contenu, leur structure, leur source, leur classification et leur signification. Les métadonnées aident les utilisateurs à comprendre, gérer et utiliser efficacement les données. Résultat  : les données sont mieux organisées et plus faciles à retrouver et à analyser. Les métadonnées jouent un rôle essentiel dans les processus de gestion et de gouvernance des données.

Qu’est-ce qu’un « contrat de sous-traitance » ?

Le GDPR va encore plus loin pour garantir une sécurité appropriée. Le Règlement exige ainsi que vous soumettiez à un examen préalable tous les sous-traitants tiers (partenaire de marketing par e-mail, partenaire de publipostage, partenaire de marketing en ligne, partenaire d’hébergement, outils de cartographie thermique, outils d’analyse, outils CRM dans le cloud, outils de génération de leads...) qui traitent des données à caractère personnel en votre nom. Une collaboration avec de tels partenaires implique qu’ils fournissent des garanties suffisantes en matière de sécurité des données. En vertu de l’article 28 du GDPR, ces garanties doivent obligatoirement être stipulées dans un contrat de sous-traitance (ou Data Processing Agreement en anglais). Collaborer avec un sous-traitant qui n’offre pas de garanties suffisantes ou qui n’a pas signé de contrat de sous-traitance peut entraîner des amendes très élevées.

Qu'est-ce qu'un "Data lake" ?

Un lieu de stockage de données conçu pour accueillir toutes vos données structurées et non structurées. Vous pouvez y enregistrer vos données telles quelles, sans les structurer au préalable. Vous pouvez réaliser différents types d’analyses, des tableaux de bord et visualisations à la science des données, en passant par l’analyse en temps réel et le machine learning, dans le but de prendre de meilleures décisions.

Qu’est-ce qu’un « délégué à la protection des données » (DPP) ou un « Data Protection Officer » (DPO) ?

Un DPO est une personne (ou, de plus en plus souvent, une équipe) nommée en interne ou en externe et chargée de surveiller le respect de la protection des données au sein de votre organisation. Le DPO est également le point de contact interne et externe pour les plaintes des personnes et les questions de l’Autorité de protection des données. 

Les responsables du traitement et les sous-traitants sont tenus de désigner un DPO dans les cas suivants :

• le traitement est effectué par une autorité ou un organisme public ;
• leurs activités de base consistent en des traitements qui, par leur nature, leur portée et/ou leurs finalités, nécessitent un suivi régulier et systématique des personnes à grande échelle ;
• leurs activités de base consistent à traiter à grande échelle des catégories particulières de données à caractère personnel ou des données à caractère personnel relatives à des condamnations pénales et à des infractions ;
• ils traitent des données à caractère personnel pour le compte du gouvernement fédéral (cette obligation ne découle pas du GDPR lui-même, mais de la loi-cadre belge qui transpose le GDPR en droit belge).

Dans d’autres situations, la désignation d’un DPO est souvent très utile, mais pas obligatoire. Remplir correctement le rôle de DPO soulève de nombreuses questions et défis, sur lesquels nous reviendrons en détail plus tard. 

Qu’est-ce qu’une « donnée à caractère personnel » et qu’est-ce qu’un « traitement » ?

Les marketeurs et les juristes donnent parfois un sens différent aux « données à caractère personnel » et ont une perception différente des circonstances dans lesquelles elles doivent être traitées. Il s’agit alors principalement de données « indirectes ». On entend souvent dire : « J’ai configuré notre compte analytique pour qu’il fonctionne de manière anonyme et ne traite donc pas de données à caractère personnel ». Du point de vue du marketeur, cela semble justifié. Il ne « sait », en effet, pas qui se cache derrière un identifiant analytique et ne peut pas associer directement les données analytiques à une personne.

Mais que dit le règlement ? Les données à caractère personnel sont toutes les informations qui permettent d’identifier directement ou indirectement une personne, aujourd’hui ou à l’avenir, seule ou avec d’autres. « Identifier » ne signifie pas nécessairement que vous pouvez mettre un nom sur une personne, mais que vous pouvez isoler cette personne du groupe et la reconnaître en tant qu’individu. En d’autres termes, vous devez toujours considérer les informations relatives à une personne qui sont traitées « sans nom » comme des données à caractère personnel. Pour votre marketing, vos ventes ou votre boutique en ligne, cela comprend, par exemple, les informations de profil (identifiants analytiques et toutes les données connexes), le comportement de navigation, le comportement d’achat, les résultats de la cartographie thermique ou des tests A/B s’ils sont liés à un identifiant. Même les adresses IP, les adresses MAC, les empreintes numériques ou les profils clients dans les solutions de suivi côté serveur sont généralement des données à caractère personnel.

Quels sont les « droits de la personne concernée » ?

Le GDPR accorde un large éventail de droits à la personne dont les données sont traitées (la « personne concernée »). Ces droits sont pratiquement absolus et ne laissent que peu de place aux exceptions, d’ailleurs très limitées.

Toute personne concernée a ainsi le droit d’accéder à ses données à caractère personnel, d’en recevoir une copie, de demander la rectification d’erreurs ou d’omissions dans ses données, de révoquer ultérieurement un consentement donné ou de s’opposer à un traitement ultérieur pour des motifs autres que le consentement ou même de faire effacer ses données, ainsi que certains autres droits moins courants.

Si une personne concernée vous demande d’exercer ses droits, vous devez, en tant que responsable du traitement, y répondre « dans les meilleurs délais » et, en tout état de cause, dans les 30 jours à compter de la réception de la demande. Si vous avez besoin d’informations supplémentaires pour traiter la demande (par exemple, une preuve d’identité), le délai ne commencera à courir qu’au moment où vous aurez reçu ces informations supplémentaires. Dans des cas très spécifiques et exceptionnels, le délai de réponse peut être prolongé de deux mois supplémentaires.

Qu’est-ce que la « limitation des durées de conservation » ?

L’article 5, I., e du GDPR indique que les données doivent être conservées « sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».   

En d’autres termes, vous ne pouvez pas conserver les données à caractère personnel indéfiniment. La durée de conservation est limitée et dépend du but pour lequel vous les collectez ou les traitez. Une fois cette finalité atteinte, vous devez soit supprimer les données, soit les rendre définitivement anonymes.  

La difficulté réside dans le fait que le GDPR lui-même ne précise pas les périodes de conservation. Le principe fondamental d’obligation de responsabilité vous oblige à examiner et à documenter (dans le registre des données ou le registre des activités de traitement) la durée pendant laquelle un ensemble donné de données à caractère personnel reste pertinent pour chaque opération de traitement. En bref : la période de conservation varie au cas par cas. 

Qu’est-ce que la « minimisation des données » ?

L’article 5, I., c du GDPR stipule que les données personnelles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».  

En termes clairs, vous ne pouvez collecter des données à caractère personnel que si elles sont réellement nécessaires pour atteindre l’objectif fixé. Le GDPR part du principe que « moins, c’est plus ». Ce principe diffère souvent de l’approche du big data et du profilage détaillé, fondée sur l’IA ou autre. Selon cette approche, chaque information peut être pertinente un jour.

Le principe de minimisation des données exige donc beaucoup de discipline. Lors de chaque collecte de données, vous devez vous demander si certaines informations sont effectivement pertinentes et nécessaires. Dans le cas contraire, vous ne pouvez tout simplement pas les conserver, même si la personne concernée consent à les partager. Cela va clairement à l’encontre de la tendance à collecter de plus en plus de données et qui suppose que tout ce qui n’est pas utile aujourd’hui peut l’être demain.

En quoi consistent la « prise de décision automatisée » et le « profilage » ?

Le GDPR contient des dispositions spécifiques pour limiter la « prise de décision individuelle automatisée » (prise de décision basée uniquement sur des moyens automatiques, sans intervention humaine) et le « profilage » (traitement automatisé de données à caractère personnel dans le but d’évaluer certains aspects d’une personne). Pour les campagnes de marketing, il s’agit d’actions basées sur des publics cibles, des segments, des audiences ou des profils spécifiques. 

La prise de décision automatisée et le profilage requièrent une transparence absolue, (presque toujours) un consentement explicite et le droit de s’opposer à la décision prise automatiquement ou au profilage.   

Qu’est-ce qu’un « registre de données » ou un registre des « activités de traitement » ?

Le registre des données est une vue d’ensemble que le responsable du traitement des données et le sous-traitant doivent établir. Il reprend un aperçu complet et détaillé de toutes les activités de traitement au sein de l’entreprise. Pour chacune de ces activités de traitement, vous devez dresser la liste des informations requises par le GDPR. Par exemple, le détail des données traitées, le fondement juridique, l’origine des données, le lieu de conservation des données, les personnes avec lesquelles les données sont partagées, la durée de conservation des données, etc. 

Le registre est donc une sorte de « comptabilité » obligatoire de la manière dont vous traitez les données à caractère personnel. Vous devez le tenir à jour : l’Autorité de protection des données peut en demander l’accès à tout moment. Il existe quelques exceptions à l’obligation de tenir un registre, mais elles ne s’appliquent pratiquement jamais.

Qu’est-ce que la « sécurité des données » ?

La presse relate tous les jours le cas d’entreprises victimes de cyberattaques. Les attaques de type Cryptolocker attirent certes l’essentiel de l’attention. Mais, dans l’ombre, les entreprises sont tout aussi souvent victimes de piratage informatique et de vol de données. La cybercriminalité de ce type est, en effet, largement payante : les profits tirés de ces délits sont énormes et les risques d’être pris sont minimes. De plus en plus de collaborateurs internes des entreprises sont, en outre, rompus au numérique. Dans les situations de conflit, ils savent bien comment exploiter les vulnérabilités numériques de leur employeur. En d’autres termes, les cyberrisques sont permanents et proviennent souvent de sources inattendues.

La sécurité des données est néanmoins l’une des pierres angulaires du GDPR. L’article 5, I., f, l’article 24 et l’article 28, 3, e du GDPR exigent que le responsable du traitement et tout sous-traitant prennent toutes les « mesures techniques et organisationnelles appropriées » pour assurer une « sécurité appropriée », y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, en utilisant les technologies appropriées. La cybersécurité et le GDPR sont donc inextricablement liés.

Il s’agit sans nul doute de l’une des dispositions les plus vagues du GDPR. Qu’entend-on par « mesures techniques et organisationnelles appropriées » et en quoi consiste exactement une « sécurité appropriée » ? Ces concepts ne peuvent être appréhendés qu’à la lumière de l’obligation de responsabilité que nous avons décrite plus haut. Chaque entreprise ou département doit procéder à une analyse des risques pour ses opérations internes. Sur la base d’une « approche fondée sur les risques », il convient ensuite d’éliminer en premier lieu les risques les plus importants en tenant compte du risque, mais aussi des possibilités techniques, financières et organisationnelles. L’important est de bien documenter le tout. Cette documentation doit démontrer que vous avez choisi la solution la plus « appropriée » pour chaque risque identifié, au mieux de vos capacités et en fonction du contexte.

En quoi consistent ces risques et les mesures techniques et organisationnelles appropriées au sein d’un service de marketing ou d’une boutique en ligne ? À titre d’exemple, voici quelques grands « classiques ». Cette liste n’est pas exhaustive et dépend de votre situation spécifique.  

• Partager le mot de passe du compte Mailchimp ou Google Analytics avec tous les membres de l’équipe.
• Consigner ces mots de passe dans un fichier sur le réseau de l’entreprise ou sur un post-it dans les bureaux.
• Utiliser ses propres appareils ou réseaux domestiques lors de l’utilisation de comptes en ligne tels que Mailchimp, Hubspot, les systèmes CMS ou plus généralement lors du traitement de données à caractère personnel appartenant à l’entreprise sans assurer une sécurité appropriée (antivirus, firewall, VPN double authentification...).
• Utiliser des outils Adtech sans examen préalable de leur conformité au GDPR et les garanties de sécurité que ces outils peuvent fournir. Les points d’attention typiques comprennent l’offre d’un contrat de sous-traitance, la localisation des données à l’intérieur ou à l’extérieur de l’EEE, la protection des données dès la conception et par défaut...
• L’utilisation par les collaborateurs de leurs propres outils, choisis par leurs soins, ou de « l’informatique fantôme », à l’insu de la direction et/ou des services informatiques et sans analyse préalable des risques.

Recourir à des partenaires externes (partenaire de marketing par e-mail, partenaire de publipostage, partenaire de marketing en ligne, etc.) sans garanties préalables de conformité au GDPR sous la forme d’un contrat de sous-traitance.

Qu’est-ce que la « transparence » ?

La transparence est la condition préalable à la confiance. La transparence sur l’identité de l’organisation, sur ses valeurs et sur la manière dont elle traite la vie privée de ses clients et de ses suiveurs est la base de toute relation à long terme. La transparence est payante, mais c’est aussi l’une des obligations fondamentales de la réglementation en matière de protection des données. Quiconque souhaite traiter des données à caractère personnel doit faire preuve de la plus grande transparence à l’égard de la personne concernée.

La manière dont vous mettez en œuvre la transparence est expliquée plus loin dans ce guide. L’élément central en est une « politique de confidentialité » détaillée, dans laquelle : 

• vous détaillez précisément qui vous êtes ;
• vous indiquez les données que vous collectez ;
• vous mentionnez à quelles fins vous utilisez ces données ;
• vous indiquez avec qui exactement vous partagez ces données ;
• vous mentionnez le fait que certains des destinataires des données se situent hors de l’UE (étendue à l’Islande, au Liechtenstein et à la Norvège) ; 
• vous stipulez la période pendant laquelle vous conservez et utilisez les données ; 
• vous indiquez les droits que le Règlement confère à la personne concernée en ce qui concerne ses propres données à caractère personnel.