Ma semaine en ligne : Design Thinking et Données personnelles

Cette semaine a été l’occasion pour moi de publier des articles sur différents domaines. Par ordre chronologique, le Design thinking, méthode propice à l’innovation au sein des entreprises. J’ai également publié deux autres articles sur la question de la bonne gestion des données personnelles. Le dernier article avait été commencé il y a maintenant 10 ans. C’est bien la preuve que cette question n’est pas d’une actualité toute récente.

Un outil au service de l’innovation

  • Le design Thinking, une discipline au service de l'innovationLa carte des attentes au service du Design thinking. C’est un outil utilisé dans le Design thinking qui implique d’enquêter puis  cartographier ce que les clients attendent d’une entreprise quand ils interagissent avec elle.
    Cette carte peut ainsi  se limiter à un seul produit ou service ou englober l’ensemble des produits et services que vous proposez une entreprise ou même toute autre organisation.

La gestion des données personnelles

  • Données personnelles : une infraction peut en cacher une autre. La cour d’appel de Paris a rendu un arrêt intéressant le 15 septembre 2017. Cet arrêt concerne la question du téléchargement indu de données à partir d’une base de données mise en ligne par un concurrent.
    Un tel comportement pose deux questions sur le plan juridique. La première est de savoir ce qu’il en est de l’infraction d’accès, maintien et extraction frauduleuse des données. Puis, la seconde question est relative à l’infraction de collecte déloyale de données personnelles.
  • Données personnelles et entreprise : quelles obligations ? Cet article date d’une dizaine d’années et est resté pour une raison que j’ignore dans les brouillons de WordPress. Cet article permet de faire un rapide point sur la réglementation sur les données personnelles déjà en vigueur.
    Moralité : il n’est pas nécessaire d’attendre l’entrée en vigueur du RGPD pour se préoccuper de la bonne gestion des données personnelles en votre possession.

Enfin, le RGPD est également une excellente occasion de remettre à plat votre organisation et de mettre les données au cœur de votre stratégie d’entreprise.

Déclarer un fichier à la CNIL pour une seule personne ?

Le RGPD, même s’il n’est pas encore entré en vigueur a le mérite de mettre en avant la nécessité de déclarer les traitements de données personnelles auprès de la CNIL.

Habituellement le traitement de données personnelles concerne des centaines voire des milliers de personnes, notamment quand il s’agit des clients.

Il a fallu attendre 2015 pour que la question suivante soit posée. Doit-on  déclarer à la CNIL un fichier contenant les données personnelles d’une seule personne ?

En effet, les modalités nécessaires cette déclaration, ou en cas de besoin, la demande d’autorisation concernant une seule personne peuvent sembler disproportionnées au regard du contenu du fichier. On peut donc être tenté de s’en affranchir.

C’est un arrêt de la chambre criminelle de la cour de cassation daté du 8 septembre 2015 (pourvoi n°13-85587) qui est venu trancher la question.

Déclarer un traitement de données personnelles pour une personneRevenons sur les faits à l’origine de l’arrêt. Un collaborateur d’un établissement public avait déposé plainte en raison de la mise en place d’un traitement automatisé de données à caractère personnel sans autorisation. À l’origine de la plainte ? Deux notes de son responsable, destinées au directeur de l’établissement public et contenant des appréciations personnelles sur lui. Ces deux notes avaient été enregistrées dans un texte, dans un répertoire informatique accessible à l’ensemble du personnel l’établissement.

L’arrêt dispose ainsi que « que la loi du 6 janvier 1978 s’applique à la création d’un seul fichier de données personnelles accessible à des tiers même si ce fichier ne concerne qu’une seule personne, sans qu’il soit besoin d’atteindre un certain seuil de données traitées« .

La cour rappelle ainsi que la loi de 1978 ne prévoit aucun nombre de personnes concernées pour qu’un traitement de données doivent être déclaré.

Les juges ont appliqués la loi de 1978 ensemble l’article 226-16 du code pénal pour juger « qu’est réprimé pénalement le fait, y compris par négligence, de procéder ou de faire procéder à un traitement de données à caractère personnel sans qu’aient été respectées les formalités préalables prévues par la loi susvisée qui s’applique aux traitements de données à caractère personnel et n’exige pas le franchissement d’un seuil de données ou de fichiers« .

En conséquence, vous devez effectuer une déclaration CNIL avant notamment votre premier client ou votre premier salarié.

Pour éviter un risque d’oubli, appuyez vous sur le privacy by design dans le cadre de la cartographie de vos traitements de données personnelles !

RGPD : à quoi devez-vous vous attendre ?

Avec le RGPD la protection des données personnelles change de philosophie. D’une obligation déclarative, le nouveau régime juridique se base sur la responsabilité de l’entreprise qui recueille et traite les données. Cette nouvelle philosophie appelle logiquement un nouveau mode organisationnel. Dans le cadre de la nouvelle réglementation, les données personnelles doivent être protégés avec des leurs origines : cela s’appelle le privacy by design. L’idée est que les données personnelles doivent être protégées dès leur conception.

Quelles sont les données concernées par le RGPD ?

le RGPD : une nouvelle manière de gérer les données personnellesDe manière générale, toutes les données se rattachant à une personne identifiable directement ou indirectement sont concernées. Par exemple, le nom et le prénom d’une personne sont des données permettant de l’identifier directement. De la même manière, une adresse IP est vue comme une donnée personnelle dans la mesure où elle permet d’identifier un individu de manière indirecte. Le fait que les données soient chiffrer n’entre pas en ligne de compte. (suite…)