Le chiffrement est recommandé en amont, notamment s’il s’agit de procédures de paiement ou de transactions financières. (cf. protocole Pci-Dss). « En revanche, pour certaines organisations, cela peut être très fastidieux, très long, trop lourd pour des bases historiques de très grande volumétrie et peu renseignées, comme les fichiers de destinataires d’une newsletter. On ne le recommande pas systématiquement. Ce peut être disproportionné dans certains contextes. La CNIL et l’agence nationale ANSSI fournissent des recommandations concrètes sur le sujet », explique Anthony Coquer.
Appliquer le principe de minimisation permet d’exposer moins de données en ne collectant que les données réellement utiles et nécessaires dans le cadre de la finalité déclarée.
Il ne faut pas se focaliser sur les cartographies techniques, mais sur l’identification, le droit à l’identité dans un espace limité, et la qualification. « Est-ce que l’on peut détenir ces données ? Oui, si on ne peut pas faire autrement ».
L’anonymisation, qui est irréversible, constitue une bonne approche au regard de la loi, s’il faut verrouiller une confidentialité forte, alors que la pseudonymisation (qui permet de revenir en arrière) reste discutable, même si elle est règlementairement valide. « Mais là encore, les processus sont fastidieux et coûteux s’ils sont effectués a posteriori », souligne Anthony Cosquer.
Le droit à l’information, qui est aussi le droit au questionnement, doit également rester une préoccupation, « dans une dynamique proactive ».
L’obligation d’effacement ou purge pose la question de la durée de conservation des données, qui dépend de leur nature et d’engagements contractuels ou de conditions générales. Il y a donc incidence sur le traitement. Ce chapitre pose également des questions sur le devoir de mémoire, droit à l’Histoire, mais renvoie également la liberté de la presse, qui a vocation à conserver la mémoire des faits.
Au bilan, la mise en conformité avec le RGPD est une démarche en continu. La jurisprudence apportera des précisions. « Le règlement RGPD, c’est une inflation d’articles, une vingtaine de plus, par rapport à la loi de 1978, soit 99 articles, lesquels sont introduits par 173 ‘considérants’, soit autant d’interprétations possibles. Rien ne sera suffisamment clair. Les contentieux porteront sur certains points », observe l’avocat Alain Bensoussan. Il ajoute : « Il existe au moins 57 possibilités de faire différemment dans les transpositions nationales, d’un pays membre à un autre. L’Allemagne et la France présentent déjà des différences d’interprétations ».
On retiendra, enfin, que « l’enjeu est mondial et frontal. Car c’est en Europe que le principe juridique est le plus important. Ce n’est pas une question de liberté mais de dignité, de respect de la dignité des personnes », conclue l’avocat.
Lire aussi :
– Partie 1 / RGPD : les 8 priorités pour être prêt le 25 mai
– Partie 2 / RGPD : les 6 étapes obligatoires pour la mise en conformité
Page: 1 2
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…