SSI

Le RGPD, ce mot qui nous fait frémir...

Tout a commencé il y a fort fort longtemps, avec le projet SAFARI (SystèmeAutomatisé pour les Fichiers Administratifs et le Répertoire des Individus) au début des années 70. L’objectif de l’Etat français était de collecter des données sur tous ses citoyens et d’interconnecter les administrations entre-elles.
«Que nenni!» ont dit les français, suite à un article paru dans Le Monde («SAFARI, ou la chasse aux Français») en 1974.

Les enjeux de liberté publique étaient grands. Il fallait mettre en place des règles de protection garantissant qu’une administration ne fichait pas des pathologies, des ethnies, des religions... et ne mixe ses données entre-elles. Des libertés fondamentales comme la liberté du culte par exemple, pouvaient être menacées.

Le gouvernement a dû prendre des décisions: exit SAFARI, transformé en RNIPP (Répertoire National d’Identification des Personnes Physiques) et publication rapport du Conseiller d’Etat Bernard TRICOT qui mènera à la création de la première autorité administrative indépendantede la France – la CNIL – et à la publication de la loi informatique et libertés le 6 janvier 1978.

La CNIL avait alors, dès sa création, la mission de veiller à ce que «"l’informatique ne porte atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques".

D’autres textes sont venus compléter la protection des personnes physiques, tant au niveau national qu’européen : notamment la directive européenne de 1995, transposée en droit français par la loi du 6/08/2004,  qui modifie alors la loi informatique et libertés.
Le RGPD, en 2016, abroge cette directive et modifie surtout le système de gestion de la conformité.

Aujourd’hui c’est du RGPD dont on parle beaucoup, dont on s’inquiète. Mais nous avons tendance à oublier que les principes fondamentaux de la protection des données personnelles étaient déjà bien présents en France, et qu’ils devaient déjà être respectés sous peine de sanction.

Mais alors… qu’est-ce qui a changé ? Pourquoi tant d’engouement et d’inquiétude ?

C’est que désormais, nous sommes RESPONSABLES.

Auparavant, tout le système de gestion de la conformité reposait sur des déclarations à la CNIL, des avis ou des autorisations. Nous envoyions toutes nos informations à cet organe de contrôle et ensuite... nous étions rassurés d’avoir fait notre devoir, sans pour autant nous poser la question de la sécurité de nos données au début des projets.


Aujourd’hui, disais-je, nous sommes responsables. De nos traitements. De leur sécurité. Sans attendre qu’un organe de contrôle ne nous dise « il faut revoir votre projet, les conditions de sécurité ne sont pas suffisantes ».

Les termes clés du RGPD :
PRIVACY BY DESIGN1: nous devons penser sécurité dès la phase de conception de nos projets, l’intégrer dès le départ, ce qui implique de former nos chefs de projets.

Et PRIVACY BY DEFAULT2: les systèmes, les applications que nous développons doivent par essence protéger les données personnelles et permettre aux utilisateurs finaux de verrouiller les paramètres qu’il souhaite (comme la géolocalisation3par exemple).

Désormais, nous devons gérer notre conformité, rédiger nos procédures, valider nos choix, être transparents, et démontrer notre respect de la réglementation. C’est ce que l’on appelle le principe d’Accountability4.

En cela, nous devenons plus matures.

Le RGPD nous grandit ! 

Contact-blog

Sur le même sujet 

Ne manquez aucune actualité en vous abonnant à la newsletter IPgarde                                                                      

Vous recevrez mensuellement un récap de nos infos pour parfaire votre veille informatique et télécom'  ➡️

3 clics et c'est parti pour la veille !