Axe juridique du Big data par Berger-Levrault
Big data : axe juridique
Big data et réglementation européenne
Quels sont les grands changements selon vous en termes de réglementations ? La protection des données personnelles sera-t-elle mieux préservée avec les nouveaux textes de lois selon vous ?
Avant de répondre à ces questions, il faut bien comprendre que la valorisation des données est devenue primordiale dans tous les secteurs d’activité à l’ère du Big data. Certaines données sont libres de droits mais d’autres sont heureusement très réglementées aujourd’hui à l’exemple des données personnelles ou encore des données protégées par le droit d’auteur. Tout projet Big data doit donc être cadré en fonction des données traitées, mais aussi par la finalité du projet. Dans le cadre des données à caractère sensible, comme les données personnelles, nous avons un encadrement strict avec la Loi Informatique et Libertés depuis 1978 ; que vient renforcer le nouveau règlement européen d’avril 2016 en la matière. Cette réglementation européenne permet aux citoyens de reprendre le droit sur les données qui leur appartiennent tout en prenant en compte les enjeux économiques actuels du Big data.
L’adoption du règlement européen sur la protection des données personnelles est l’aboutissement de longues négociations depuis 2012. Il renforce les droits des citoyens en leur permettant un plus grand contrôle de leurs données personnelles. L’accès aux données est légiféré pour qu’il soit plus clair et compréhensible par tous, tout en confortant le droit à l’oubli et le droit à la portabilité des données. Cette maîtrise des données personnelles sera effective d’ici à moins de 2 ans ; c’est le temps qui est imparti aux entreprises et administrations pour se conformer à ces nouvelles règles. C’est une réelle avancée pour le droit des citoyens avec de nouveaux droits assurant leur protection.
Du coté des entreprises et des éditeurs de logiciels en particulier, les formalités sont désormais simplifiées avec un cadre juridique unifié dans toute l’Union européenne. Certaines obligations de traitement, comme la gestion des données personnelles liées à la gestion classique de l’entreprise sont encore plus simplifiées qu’auparavant. Trois points changent en profondeur. Le premier est le partage des responsabilités plus équilibré entre le responsable de traitement chez les clients finaux avec leurs sous-traitants que sont les éditeurs et les hébergeurs Big data. Chaque entreprise ou administration est désormais responsable de ses propres activités. En second lieu, c’est l’apparition d’outils de conformité et de moyens de certification modulables selon le risque sur les droits et libertés des personnes. Finalement, les sanctions minimes jusqu’alors pourront être indexées jusqu’à 4 % du CA global de l’entreprise si une infraction est constatée.
Data Privacy Officer pour le Big data
Ce nouveau règlement européen va-t-il changer alors la conduite de projets chez Berger-Levrault ? Comment les éditeurs peuvent-ils se structurer face à ces changements législatifs selon vous ?
Nous appliquons depuis de nombreuses années le concept de “privacy by design” en structurant nos processus de conception logiciel autour de la protection des données personnelles. « Les procédures liées aux traitements des données à caractère sensible ou personnel sont déjà systématiquement formalisées en interne dans le strict respect de la législation française et européenne » explique alors Mustapha Derras avant de préciser « Nous réalisons de plus des audits, des analyses d’impact ou encore des plans de formation et de sensibilisation en interne ». Nous nous sommes organisés donc bien avant l’arrivée de la fonction de DPO (ndlr : Data Privacy Officer) qui sera prochainement obligatoire pour les entreprises en liens avec un traitement particulier autour des données sensibles ; comme celles réalisant des activités massives de profiling par Big data.
Nous avons toujours été très vigilants sur cette thématique. D’ailleurs, le gouvernement français prépare un projet de loi complémentaire, dit République Numérique, qui devrait étendre d’ici à fin juin cette fonction de DPO pour toute entreprise de plus de 250 collaborateurs. Un salarié en interne dans ces entreprises devra allouer une partie de son temps de travail dans ce nouveau rôle à la fois technique et réglementaire. Bien entendu, ce rôle pourra être réalisé avec un prestataire externe prenant à sa charge ces activités de structuration et de transparence sur les moyens de traitement des données personnelles pour le Big data.
Notre force chez Berger-Levrault est d’avoir accompagné depuis toujours les administrations et collectivités dans les différentes évolutions réglementaires et législatives en la matière. Non seulement en tant que partenaire informatique des administrations, mais aussi en tant que force de proposition par nos activités d’accompagnement au changement.
A lire également :