Seraphin.legal participait, le 14 décembre dernier, à l’atelier organisé par la CNIL et hébergé par la French Tech à la Station F.

La CNIL était représentée par Sophie Genvresse, juriste, Amandine Jambert, ingénieure experte  et Geoffrey Delcroix, du département Innovation et Prospective qui nous ont accueillis.

Les participants à cet atelier venaient d’horizons divers et ont été sélectionnés par les organisateurs de l’évènement pour la pertinence de leur présence : Fintech, AssurTech, Healthtech, assurance automobile connectée à l’usage, ou encore solution d’anonymisation des données à destination des banques et des assurances.

Les représentants de la CNIL ont présenté l’autorité pour laquelle ils œuvrent et ont rappelé ses pouvoirs et ses missions. Ils ont également présenté le LINC, le Laboratoire d’Innovation Numérique de la CNIL, qui réfléchit, expérimente et informe sur les tendances et les usages dans les domaines du Numérique et des données.

Les membres de la CNIL ont commencé par une introduction volontairement générale au RGPD pour assurer un minimum de connaissance du sujet à tous les participants.

C’était l’occasion de rappeler la définition des données personnelles et de rappeler aux entrepreneurs présents, responsables de traitement, leurs obligations vis-à-vis des utilisateurs de leurs services.

Trois grands thèmes ont été abordés : profilage et décision individuelle automatisée, blockchain et RGPD, ainsi que portabilité des données.

Profilage et Décision Individuelle Automatisée

 

Les notions fondamentales du RGPD au prisme des services financiers ont été exposées, notamment concernant les bases légales et la Directive européenne sur les services de paiement (DSP2).

À ce sujet, la CNIL rappelle que la notion de “profilage” se caractérise par trois éléments :

  • c’est un traitement automatisé,
  • qui porte sur des données,
  • en vue d’émettre un jugement ou de tirer des conclusions sur une personne.

La prise de décision individuelle a, par définition, un impact significatif ou un impact juridique sur une personne. Le responsable de traitement qui utilise le profilage doit garantir l’intervention d’une personne humaine, pour que la personne “profilée” puisse exprimer son point de vue sur la décision ou la contester.

 

Blockchain et RGPD

 

Lors de son atelier, la CNIL distingue deux types de blockchain :

  • la blockchain publique, accessible à tous : tout le monde peut créer des transactions ou se joindre aux mineurs ;
  • la blockchain à permission, dont l’accès, l’écriture ou le minage sont accessibles sous conditions.

L’autorité rappelle la blockchain peut être utilisée à des fins de traitement de données personnelles. Par exemple, une fac qui utilise une blockchain pour assurer la traçabilité des diplômes, doit l’inscrire dans son registre car elle est responsable de traitement.

Elle tient aussi à rappeler que “RGPD et blockchain ne sont pas incompatibles”.

 

En outre, le format de stockage des données peut constituer, une partie de la solution.

De préférence, la donnée ne devrait pas être stockée sur la blockchain.

Si cela n’est pas possible, il faut un engagement cryptographique avec dépôt d’un témoin, ou une empreinte de la donnée obtenue par une fonction de hachage à clé, ou que la donnée soit chiffrée.

Dans le cas où aucune de ces solution ne peut être mise en œuvre et que la donnée est mise en clair dans la blockchain, cela doit être justifié par la finalité du traitement et faire une étude d’impact qui démontre que des risques résiduels sont acceptables (avec une fonction de hachage sans clé ou en clair).

Pour utiliser la blockchain conformément au RGPD, il convient donc, avant tout, de se poser ces 3 questions :

  1. Dois-je recourir à une blockchain ? Est-ce qu’une solution de cryptographie ne serait pas suffisante ?
  2. À quel type de Blockchain dois-je avoir recours ? Par exemple, le choix d’une blockchain publique implique que des mineurs du Monde entier peuvent être concernés par les traitements de données : ils bénéficient d’un niveau de protection renforcé, comment les protéger efficacement ? Les accès étant publics, comment faire en sorte que les données ne soient transférées qu’au sein de l’Europe ou uniquement vers des pays disposant d’un niveau de protection adéquat ?
  3. Quelles données j’y inscris et sous quelle forme ?

Répondre à ces questions est primordial pour respecter les principes de Privacy by Design/Privacy by Default.

Par exemple, toute personne, qu’elle soit professionnel du Droit ou non, qui a pour ambition de développer son propre “smart contract”, doit anticiper une clause de sortie pour les personnes utilisant son système. De la même manière, une décision individuelle automatisée, mise en place grâce à un dispositif de blockchain privée, pourrait être remise en cause par une personne extérieure. Le responsable de traitement doit être en mesure de répondre aux demandes d’exercice de droit des personnes concernées par le tels traitements.

Enfin, la CNIL rappelle qu’il convient de réaliser une analyse d’impact sur la protection des données (AIPD, ou PIA).

 

Portabilité des données

 

Pour la CNIL, le droit à la portabilité des données “vise à rendre les données personnelles “utilisables” directement par l’individu ou sous contrôle et à son initiative, en dehors du contrôle du responsable de traitement qui a collecté les données”.

En pratique, cela veut dire que l’organisme qui détient des données sur une personne ne peut pas s’opposer à ce que cette même personne lui demande de transférer directement ses données à un autre organisme.

Le droit à la portabilité des données est une forme d’innovation juridique qui permet de relancer le sujet de la propriété des données : les responsables de traitement ne sont pas propriétaires des données qu’il recueillent.

 

 

Par ailleurs, la CNIL note que le droit à la portabilité des données est limité : il ne concerne que les traitements de données dont la base juridique est le consentement ou le contrat et n’est utilisable que pour les données fournies par la personne (par exemple, les données renseignées pour créer un compte en ligne) et les données générées par son activité (par exemple, achats enregistrés, historique d’évènements, etc).

La portabilité revient à transférer des données d’un système à un autre, facilement et en “préservant leur caractère interprétable”. La notion d’ “interprétabilité” renvoie directement à la notion d’ “interopérabilité”, laquelle se traduit par l’envoi des données dans un format structuré, communément utilisé et lisible par une machine.

Comme pour tous les autres droits des personnes (information, accès, rectification, limitation, opposition, effacement), cela implique de ne pas attendre qu’un utilisateur demande à exercer son droit : il faut anticiper les demandes, et ce d’autant plus concernant la portabilité.

 

 

Pour répondre à une demande de portabilité, les responsables de traitement doivent choisir entre :

  • une transmission directe de l’intégralité des données portables
  • un outil automatisé permettant l’extraction des données pertinentes.

Pour l’instant, peu d’entreprises proposent des solutions pour la portabilité des données.

Il s’agit d’une problématique complexe, qui demande l’établissement de différents standards et référentiels : l’association Privacy Tech porte le programme Portability Commons : ce projet a pour objectif d’élaborer une solution qui permettra de standardiser les formats de fichiers pour assurer l’interopérabilité des différents acteurs et permettre de répondre à cette obligation.

Enfin, le droit à la portabilité des données emporte avec lui d’importants enjeux en matière d’UX/UI. L’expérience utilisateur (UX/UI) est un véritable enjeu de la mise en conformité des organismes au RGPD.

La Privacy Tech travaille sur le sujet, notamment concernant le recueil du consentement des utilisateurs : à travers le projet Privacy UX, l’association ambitionne de proposer un guide de bonne conduite à destination des responsables de traitement européen pour qu’ils puissent se mettre en conformité avec le règlement sans renoncer à la fluidité et à l’ergonomie de leurs interfaces.

Le but : faire du RGPD un véritable levier d’innovation en restaurant la confiance entre l’utilisateur et la plateforme.