Séquence 2 — Données personnelles et RGPD

Le RGPD adopte une définition large de la donnée personnelle, incluant toute information se rapportant à une personne physique identifiée ou identifiable. L'identification peut être directe — lorsque la donnée suffit à reconnaître immédiatement une personne — ou indirecte, lorsque l'identification résulte d'un recoupement avec d'autres informations. En informatique, cette approche est centrale : des données apparemment neutres ou techniques deviennent personnelles dès lors qu'elles permettent, seules ou combinées, de rattacher une information à un individu. Cette logique impose aux concepteurs de systèmes d'anticiper les capacités de corrélation et de ré-identification.

Certaines données présentent un risque juridique accru en raison de leur nature : données de santé, biométriques, génétiques, opinions politiques ou religieuses. Le RGPD leur applique un régime de protection renforcé, fondé sur le principe que leur traitement peut entraîner des discriminations ou des atteintes graves aux libertés. Leur utilisation est en principe interdite, sauf exceptions strictement encadrées.

L'anonymisation consiste à rendre impossible toute identification, directe ou indirecte, d'une personne. Lorsqu'elle est effective, les données sortent du champ du RGPD. La pseudonymisation, en revanche, consiste à remplacer les identifiants directs par des identifiants artificiels, tout en conservant une possibilité de ré-identification. Elle réduit les risques, mais ne supprime pas l'application du RGPD, ce qui impose des garanties supplémentaires.

Le RGPD poursuit un double objectif : renforcer la protection des personnes physiques et responsabiliser les organisations traitant des données. Il repose sur une logique d'accountability, selon laquelle les acteurs doivent être capables de démontrer leur conformité. Le règlement ne se limite pas à interdire, mais impose une gouvernance active et documentée des traitements.

Le RGPD s'applique dès lors qu'un traitement concerne des personnes situées dans l'Union européenne, indépendamment du lieu d'implantation de l'organisme responsable. Cette extraterritorialité étend considérablement la portée du règlement et impose aux acteurs internationaux d'adapter leurs systèmes aux exigences européennes.

Le RGPD distingue le responsable de traitement, qui détermine les finalités et les moyens du traitement, du sous-traitant, qui agit pour son compte. Cette distinction structure la répartition des obligations et des responsabilités. Elle impose une clarification contractuelle et organisationnelle, notamment dans les architectures distribuées ou externalisées.

La collecte des données doit être limitée aux informations strictement nécessaires aux finalités du service. Cette exigence implique des choix techniques précis dès la conception des interfaces : formulaires, champs obligatoires, paramètres par défaut. Une collecte excessive constitue un manquement, même en l'absence d'usage abusif.

Le stockage des données personnelles impose des exigences de sécurité, de limitation de durée et de séparation logique. Les données ne peuvent être conservées indéfiniment et doivent être protégées contre les accès non autorisés. Le stockage devient ainsi un enjeu juridique autant que technique.

La circulation des données, notamment via des API, des flux internes ou des transferts internationaux, constitue un point de risque juridique majeur. Chaque flux doit être maîtrisé, documenté et sécurisé. Les transferts hors UE sont soumis à des conditions strictes visant à garantir un niveau de protection équivalent.

Tout traitement doit reposer sur une base légale valide et être compréhensible pour les personnes concernées. La transparence impose une information claire sur les finalités, les usages et les droits. Ces principes se traduisent techniquement par des interfaces explicites et des politiques d'information accessibles.

Les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes. Toute réutilisation incompatible est interdite. Le principe de minimisation impose de limiter la collecte et le traitement à ce qui est strictement nécessaire, ce qui structure profondément l'architecture des systèmes.

La sécurité des données est une obligation juridique qui impose la mise en œuvre de mesures techniques et organisationnelles adaptées aux risques. Elle vise à garantir la confidentialité, l'intégrité et la disponibilité des données, et engage directement la responsabilité de l'organisation en cas de manquement.

Le principe de privacy by design impose d'intégrer les exigences du RGPD dès la conception des architectures logicielles. Il s'agit d'anticiper les risques et de structurer le système de manière conforme, plutôt que de corriger a posteriori des choix techniques inadaptés.

La protection des données repose sur la qualité du code, la sécurisation des flux et la prévention des vulnérabilités. Chiffrement, authentification, contrôle d'accès et tests de sécurité constituent des exigences juridiques indirectes, car leur absence peut caractériser un manquement au RGPD.

La documentation permet de démontrer la conformité du système et de justifier les décisions techniques en cas de contrôle. Elle constitue un élément central de l'accountability, transformant les choix techniques en éléments juridiquement opposables.

Une décision automatisée est produite sans intervention humaine significative et peut avoir des effets juridiques ou significatifs sur une personne. Le RGPD reconnaît le risque spécifique de ces décisions, notamment en matière de discrimination ou d'exclusion.

Le RGPD limite strictement les décisions fondées exclusivement sur des traitements automatisés, sauf exceptions encadrées. Ces limites visent à préserver les droits des personnes et à éviter une automatisation aveugle des décisions sensibles.

La supervision humaine constitue une garantie essentielle permettant d'expliquer, de corriger ou de contester une décision automatisée. Elle impose aux systèmes d'intégrer des points d'intervention humaine effectifs, et non purement formels.

Les personnes disposent du droit d'accéder aux données les concernant et d'en demander la rectification en cas d'erreur. Ces droits imposent aux systèmes d'information des mécanismes d'identification, d'extraction et de mise à jour fiables.

Le droit à l'effacement permet, sous certaines conditions, la suppression des données lorsque leur conservation n'est plus justifiée. La limitation du traitement offre une alternative permettant de conserver les données sans les utiliser activement. Ces droits imposent des mécanismes techniques précis et traçables.

La portabilité impose de fournir les données dans un format structuré, couramment utilisé et lisible par machine. Ce droit favorise la concurrence et l'autonomie des utilisateurs, tout en imposant des contraintes techniques d'interopérabilité.

Le registre des traitements recense l'ensemble des opérations de traitement et constitue un outil central de gouvernance RGPD. Il permet de cartographier les usages de données et de démontrer la conformité en cas de contrôle.

Toute violation de données personnelles doit être détectée, analysée et, le cas échéant, notifiée à l'autorité de contrôle et aux personnes concernées dans des délais stricts. Cette obligation impose une capacité de détection et de gestion de crise intégrée aux systèmes.

Le DPO accompagne l'organisation dans sa mise en conformité, conseille les équipes et agit comme interface avec l'autorité de contrôle. Son rôle est transversal et requiert une interaction étroite avec les équipes techniques.

Le RGPD prévoit des sanctions administratives et financières graduées, proportionnées à la gravité des manquements. Ces sanctions visent à assurer l'effectivité du règlement et à responsabiliser durablement les acteurs.

Les choix techniques peuvent engager indirectement la responsabilité juridique de l'organisation. Une architecture non conforme, une sécurité insuffisante ou une automatisation excessive peuvent caractériser un manquement, même sans intention fautive.

La conformité au RGPD n'est jamais définitivement acquise. Les évolutions techniques, organisationnelles ou réglementaires imposent des ajustements permanents des systèmes et des pratiques. La gouvernance RGPD s'inscrit dans le temps long.