Le chiffrement est recommandé en amont, notamment s’il s’agit de procédures de paiement ou de transactions financières. (cf. protocole Pci-Dss). « En revanche, pour certaines organisations, cela peut être très fastidieux, très long, trop lourd pour des bases historiques de très grande volumétrie et peu renseignées, comme les fichiers de destinataires d’une newsletter. On ne le recommande pas systématiquement. Ce peut être disproportionné dans certains contextes. La CNIL et l’agence nationale ANSSI fournissent des recommandations concrètes sur le sujet », explique Anthony Coquer.
Appliquer le principe de minimisation permet d’exposer moins de données en ne collectant que les données réellement utiles et nécessaires dans le cadre de la finalité déclarée.
Il ne faut pas se focaliser sur les cartographies techniques, mais sur l’identification, le droit à l’identité dans un espace limité, et la qualification. « Est-ce que l’on peut détenir ces données ? Oui, si on ne peut pas faire autrement ».
L’anonymisation, qui est irréversible, constitue une bonne approche au regard de la loi, s’il faut verrouiller une confidentialité forte, alors que la pseudonymisation (qui permet de revenir en arrière) reste discutable, même si elle est règlementairement valide. « Mais là encore, les processus sont fastidieux et coûteux s’ils sont effectués a posteriori », souligne Anthony Cosquer.
Le droit à l’information, qui est aussi le droit au questionnement, doit également rester une préoccupation, « dans une dynamique proactive ».
L’obligation d’effacement ou purge pose la question de la durée de conservation des données, qui dépend de leur nature et d’engagements contractuels ou de conditions générales. Il y a donc incidence sur le traitement. Ce chapitre pose également des questions sur le devoir de mémoire, droit à l’Histoire, mais renvoie également la liberté de la presse, qui a vocation à conserver la mémoire des faits.
Au bilan, la mise en conformité avec le RGPD est une démarche en continu. La jurisprudence apportera des précisions. « Le règlement RGPD, c’est une inflation d’articles, une vingtaine de plus, par rapport à la loi de 1978, soit 99 articles, lesquels sont introduits par 173 ‘considérants’, soit autant d’interprétations possibles. Rien ne sera suffisamment clair. Les contentieux porteront sur certains points », observe l’avocat Alain Bensoussan. Il ajoute : « Il existe au moins 57 possibilités de faire différemment dans les transpositions nationales, d’un pays membre à un autre. L’Allemagne et la France présentent déjà des différences d’interprétations ».
On retiendra, enfin, que « l’enjeu est mondial et frontal. Car c’est en Europe que le principe juridique est le plus important. Ce n’est pas une question de liberté mais de dignité, de respect de la dignité des personnes », conclue l’avocat.
Lire aussi :
– Partie 1 / RGPD : les 8 priorités pour être prêt le 25 mai
– Partie 2 / RGPD : les 6 étapes obligatoires pour la mise en conformité
Page: 1 2
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…
Confronté à un bannissement généralisé, Kaspersky va se retirer progressivement du marché américain, à partir…
Voilà X officiellement accusé d'infractions au DSA. La Commission européenne ne valide pas le système…
Un groupe de banques et de créanciers obligataires ont accepté le financement du plan de…
L'AI Act comporte des dispositions qui n'entreront en application qu'en 2027 et pose des échéances…