Menu Fermer

LPD / RGPD : Valorisez votre mise en conformité à la protection des données !

Si vous n’avez pas vécu déconnecté sur une île déserte ces deux dernières années, il y a fort à parier que vous ayez entendu parler du RGPD et de la LPD. Avancées indéniables sur le plan individuel et social, ces réglementations imposent par ailleurs des contraintes et efforts conséquents aux acteurs économiques et institutions publiques.

Toutefois ce passage obligé recèle une étape particulièrement propice à une valorisation des données, comme nous allons le voir plus loin.

Dans notre précédent article nous avons mis en évidence les facteurs qui fondent l’intérêt de la valorisation des données. Nous avons également proposé une classification possible des formes variées de valorisation selon le mode de production des données. L’objectif de cet article et des suivants est de présenter une feuille de route permettant d’aborder concrètement et graduellement la valorisation des données.


Cet article est le second de notre série consacrée à la valorisation des données.


Etat des lieux

Il n’est pas inutile de rappeler les dérives auxquelles peuvent mener certains usages des données personnelles. On citera à titre d’exemple récent le scandale Cambridge Analytica, du nom de cette entreprise ayant exploité notamment des défauts de protection des données de Facebook, afin influencer massivement les électeurs lors des campagnes du Brexit et des élections présidentielles américaines de 2016. Facebook a ainsi été condamné à une amende de 5 milliards de dollars en juillet 2019 pour avoir trompé ses utilisateurs sur le contrôle de leur vie privée et de leurs données. A combien chiffrer le tribu que paye encore la démocratie ? Seule l’Histoire le dira.

Un dépoussiérage nécessaire de l’arsenal juridique était donc effectivement urgent… Qu’en est-il à ce jour ?

Il faut retenir que dans de nombreux domaines, les règles doivent être revues en permanence pour les adapter aux moyens de contournements qu’apportent les évolutions technologiques, et ce d’autant plus si le rythme de ces évolutions est élevé, comme dans l’informatique actuellement.

Ainsi la protection des données personnelles n’est pas une problématique nouvelle, et la juridiction en la matière a déjà évolué à plusieurs reprises, au gré de révélations de situations problématiques notamment.

  • En Suisse, la loi de référence est la LPD (Loi fédérale sur la protection des données), ainsi que son ordonnance relative, l’OLPD.
  • La LPD est entrée en vigueur sous sa première forme le 1er juillet 1993. A noter que d’autres lois contiennent également des dispositions relatives à la protection de la personnalité dans des domaines particuliers. Les articles 28 et suivants du Code civil (CC) fixent ainsi les voies de droit applicables en cas d’atteinte à la personnalité.
  • La LPD a connu une bonne douzaine de modifications depuis sa rédaction.
  • De son côté le RGPD européen (règlement général sur la protection des données) vise à unifier les cadres nationaux européens. Il a été adopté le 14 avril 2016 par le parlement européen et mis en application dans l’ensemble des états membres le 25 mai 2018. Dans chaque pays, un organisme a été désigné comme référent et autorité compétente pour la mise en œuvre de cette règlementation, comme la CNIL en France par exemple.
  • Une révision en deux temps de la LPD a donc été mise en chantier afin de prendre en compte l’impact du RGPD sur les données traitées en Suisse mais entrant dans son champ d’application :
    • Un premier volet en date du 28 septembre 2018 a déjà été publié afin de parer au plus pressé.
  • Un mot enfin sur la convention 108 du Conseil de l’Europe (dont la Suisse est membre), pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel : Adoptée le 28 janvier 1981 et entrée en vigueur le 1er octobre 1985, sa portée est plus large, mais ses termes plus flous que ceux du RGPD ou de la LPD. Elle est actuellement en cours de révision également.

In fine, le cadre suisse restera la nouvelle version à venir de la LPD, en principe fin 2019. Dans l’attente, la LPD partiellement révisée fait encore référence mais demande malgré tout un regard vigilant sur le RGPD si vous traitez des données personnelles de ressortissants européens, notamment en vue de proposer un bien ou un service.


La mise en conformité vous met les cartes en mains

L’objet de cet article n’est pas directement la mise en conformité, mais plutôt d’exploiter un constat intéressant : Cette initiative ardue a le mérite de partager avec la valorisation des données un certain nombre d’étapes.

En particulier, quelle que soit la méthodologie suivie, la conformité passe inévitablement par l’établissement :

  • d’une cartographie des données personnelles que vous traitez,
  • d’une solution de maintenance efficace de cette cartographie dans le temps,
  • vraisemblablement aussi d’un début de gouvernance des données, au moins sous la forme de la nomination d’un DPO (délégué à la protection des données).

A titre d’exemples, citons cette feuille de route proposée par EY aux PME genevoises en mars 2019 :

Source: EY, mars 2019, https://www.ge.ch/document/presentations-intervenants-du-petit-dejeuner-pme-start-mars-2019-protection-donnees/annexe/3

Ou également ce cadrage de la CNIL côté français :

Dans le cadre de leur plan d’action pour se mettre en conformité au règlement européen sur la protection des données (RGPD), les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer qu’ils respectent bien les nouvelles obligations légales.

Pour être en capacité de mesurer l’impact du règlement sur votre activité et de répondre à cette exigence, vous devez au préalable recenser précisément :

Les différents traitements de données personnelles,

Les catégories de données personnelles traitées ;

Les objectifs poursuivis par les opérations de traitements de données ;

Les acteurs (internes ou externes) qui traitent ces données. Vous devrez notamment clairement identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité ;

Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

Source: CNIL, 2018, https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

Que vous soyez “bon élève” ou en passe de rattraper votre retard dans cette mise en conformité, vous serez donc rapidement en possession d’une cartographie complète, ou du moins assez étendue, des données personnelles que vous traitez. C’est le point de départ qui nous intéresse précisément dans notre perspective de valorisation des données !


Opportunités de valorisations

Il faut garder à l’esprit que les réglementations en vigueur imposent de limiter l’usage des données à caractère personnel dans des proportions qui soient conformes aux objectifs poursuivis. On trouvera sur le site de la plate-forme ThinkData une liste variée et très instructive de scénarios ainsi que leur évaluation juridique. Par conséquent, si les valorisations envisagées ne comportent pas d’anonymisation, une étude juridique et des demandes d’autorisations peuvent s’avérer nécessaires.

Avec ou sans anonymat, les possibilités de valorisations de données personnelles sont nombreuses, quel que soit le contexte. Voici donc des suggestions de pistes que vous pourriez explorer dans cette perspective, en partant de la cartographie établie dans le cadre LPD/RGPD :

  • Mise en place, complément, nettoyage ou segmentation de carnets d’adresses.
  • Calculs d’indicateurs, de répartitions (marketing, RH, …) :
    • Ex : Turn-over par type de postes.
    • Ex : Données de répartition de clientèle par critères géographiques, professionnels, etc.
    • Ex : Taux de conversion de prospects en clients.
  • Recherche d’invariants ou de tendances dans des données datées :
    • Ex : Commandes dans un restaurant.
    • Ex : Tendance d’usage automobile à travers les données d’entretien dans un garage.
  • Mise à disposition de données hors silo, permettant par exemple :
    • Des optimisations de processus.
    • De nouvelles mises en relation de données (le résultat valant bien souvent plus que la somme des parties).

Notons également que la valorisation peut être plus indirecte :

  • Identification de données (ou de duplications) inutiles permettant des économies de stockage.
  • Mise en évidence de données stockées de manière inappropriée et réduction du risque par l’adoption d’une solution appropriée.
    • Ex : sécurité insuffisante.
    • Ex : stockage dans un pays tiers constituant un risque juridique ou autre.
    • Ex : sauvegardes insuffisantes.
  • Détection de traitements non optimisés. Possible réduction de coûts…

Ce ne sont là que quelques suggestions parmi de nombreuses possibilités! Nous espérons qu’elles vous auront montré l’intérêt indirect que la mise en conformité LPD/RGPD peut présenter pour entamer ou enrichir votre cheminement vers la valorisation des données.


Aviez-vous déjà entrevu cette opportunité? Cela suscite-t-il un intérêt nouveau pour la valorisation des données, ou peut-être êtes-vous déjà lancé dans une telle initiative consécutive à votre mise en conformité LPD/RGPD?

N’hésitez pas à nous faire part de votre propre expérience en commentaire!

…Et à très bientôt pour notre prochain article qui explorera les possibilités de valorisation des données internes, au delà du contexte LPD/RGPD.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *