Louis-Marie GUERIF est DPO chez AT Internet. Dans notre dossier consacré à la data quality et paru dans notre livre blanc Data for CX, il a accepté de répondre à nos questions sur l’importance de la qualité des données dans le cadre du RGPD et sa place dans la mission du DPO.

JD: En tant que DPO et garant de la conformité chez AT Internet, pouvez-vous nous dire pourquoi selon vous la qualité des données est indispensable dans le cadre du RGPD ?

L-MG: Tout d’abord, il faut savoir que l’exigence de l’exactitude de la donnée est présente à plusieurs reprises au sein du cadre réglementaire du RGPD, notamment au niveau du considérant (point 39), dans l’article 5.1.d et dans l’article 16  relatif au droit de rectification dont dispose l’internaute.

De plus, on peut considérer qu’une donnée à caractère personnelle (DCP) qui est collectée de manière illicite n’est pas exploitable, et donc non qualitative. L’article 6 sur la licéité du traitement veille à ce point.

Il y a donc un fort lien entre le fait de maîtriser ses flux de DCP, ainsi que la qualité de ceux-ci au travers de l’intégralité de son écosystème digital. Ce sont des points fondamentaux pour le bon respect du RGPD qui permettent de limiter les risques à une non-conformité.

Article 39 – Missions du DPO (délégué à la protection des données)

• Informer et conseiller toute personne intervenant dans le process de traitement des données.
• Contrôler le respect du RGPD et autres réglementation en matière de protection des données à caractère personnel, 
• Dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données
• Coopérer avec l’autorité de contrôle;

Il fait office de point de contact pour l’autorité de contrôle ;

Cette interview est extraite du dossier « Qualité des données » rédigé par At Internet et seenaptic dans le cadre du livre blanc « Data for CX » publié par seenaptic. Téléchargez dès maintenant notre livre blanc pour découvrir l’intégralité du dossier.

Article 5 – Principes relatifs au traitement des données à caractère personnel

Les données à caractère personnel doivent être :

• Traitées de manière licite, loyale et transparente
• Collectées pour des finalités déterminées, explicites et légitimes, 
• Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités 
• Exactes et, si nécessaire, tenues à jour
• Conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités 
• Traitées de façon à garantir une sécurité appropriée des données à caractère personnel

Article 6 – Licéité du traitement

Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

• La personne concernée a consenti au traitement de ses données à caractère personnel 
• Le traitement est nécessaire à l’exécution d’un contrat, au respect d’une obligation légale,  à la sauvegarde des intérêts vitaux, à l’exécution d’une mission d’intérêt public aux fins des intérêts légitimes …

Note: la directive ePrivacy, et l’article 82 de la loi informatique et liberté en France, prévoit que l’on puisse collecter certaines données, informations sans consentement préalable. Pour plus de détails et pour voir les solutions auditées et validées par la CNIL.

Quels manquements en termes de qualité des données peut conduire à une brèche dans la conformité RGPD de votre site ?

Comme expliqué précédemment, ne pas traiter de la donnée à caractère personnel (DCP) de manière licite et/ou ne pas respecter l’exactitude des DCP collectées n’est pas conforme au RGPD.

Aussi, sur votre site web ou votre application mobile, si vous:

• Tracez vos utilisateurs sans respecter les directives de la CNIL et de la loi informatique et libertés 
• Etes dans l’incapacité de corriger des données inexactes collectées sur un utilisateur ;
• Etes dans l’incapacité de répondre à sa demande d’accès ou de suppression de ses données,

Alors vous violez les directives RGPD et ePrivacy.

Pour rappel, les conséquences d’une non-conformité RGPD peuvent conduire à des sanctions financières directes (2 à 4 % du chiffre d’affaires à titre d’amende administrative) ; indirectes (injonctions sous astreinte à modifications exigées par l’autorité de contrôle) ; pénales et/ou d’image de marque.

Quand faire intervenir un DPO dans une démarche de qualité des données ?

Les concepts de « Protection des données dès la conception et protection des données par défaut » sont fondamentaux dans le RGPD (art. 25).

Dans une démarche continue de recherche de qualité, qui permet in fine aux équipes exploitant la donnée collectée de le faire sans aucune contrainte, il est important de faire intervenir son DPO dès la réflexion d’un nouveau traitement de données à caractère personnel (DCP).

À titre d’exemple, nous pouvons prendre le projet de lancement d’une nouvelle application mobile qui permet l’accès à des contenus journalistiques gratuits ou payants. Il est impératif de se poser les questions suivantes : quels objectifs sont poursuivis par l’intermédiaire de ces contenus ; à qui sont-ils destinés ; quels outils tiers sont imbriqués dans cette application ; pour quelles finalités, etc. Ainsi, on peut adopter les bonnes mesures techniques et organisationnelles afin de garantir la conformité du produit et veiller à une bonne qualité des données.

Article 25 – Protection des données dès la conception et protection des données par défaut

[…] Le responsable du traitement doit mettre en œuvre, en amont et lors du traitement des données lui-même, des mesures techniques et organisationnelles appropriées : pseudonymisation, minimisation des données…

Le responsable du traitement doit mettre en œuvre ses mesures techniques et organisationnelles appropriées pour garantir que, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. […]

Contenu extrait du dossier « Qualité des données » rédigé par At Internet et seenaptic dans le cadre du livre blanc « Data for CX » publié par seenaptic.