L’avènement du Big Data a généré de nouvelles problématiques en matière de protection de la vie privée. Pour faire face à cet enjeu de taille, le Parlement européen a défini un cadre juridique visant à légiférer la collecte et l’exploitation des données à caractère personnel sur le territoire européen. Si la mise en place du RGPD est une bonne nouvelle pour les utilisateurs, elle l’est un peu moins pour les Data Scientists et Data Analysts désormais contraints de se conformer à des règles strictes lors du traitement des données personnelles.
Dans ce contexte, comment concilier Big Data et RGPD ? Comment mener à bien un projet Data Science sans outrepasser les exigences du Règlement Général sur la Protection des Données ?
Qu’est-ce que le RGPD ?
Depuis le 25 mai 2018, le traitement des données personnelles est soumis au RGPD (Règlement Général sur la Protection des Données – General Data Protection Regulation ou GDPR, en anglais). Véritable texte de référence en matière de protection des données, le RGPD a été pensé pour « renforcer le droit des personnes » et « responsabiliser les acteurs traitant des données ». Concrètement, cette réglementation restitue aux citoyens le contrôle de leurs données et garantit une sécurité accrue de leurs informations personnelles.
Qui est concerné par le RGPD ?
Le RGPD concerne toutes les entreprises publiques ou privées collectant ou exploitant des données personnelles, et ce, quels que soient la taille de leur structure et leur domaine d’activité. Il s’adresse à toutes les organisations installées en U.E ou hors U.E, dès lors qu’elles ciblent des résidents européens. Aussi, une entreprise basée en Chine distribuant des produits en France via son site e-commerce français est, elle aussi, soumise au RGPD. Ce règlement s’applique également aux sous-traitants qui collectent ou traitent des données pour le compte d’une autre entité.
RGPD : quel impact sur les entreprises ?
La mise en place du RGPD a contraint les entreprises à reconsidérer la manière dont elles manipulent les données personnelles. Désormais, elles doivent, entre autres :
● Adopter les mesures nécessaires pour garantir un niveau optimal de sécurité des données collectées.
● Obtenir le consentement préalable des utilisateurs pour exploiter leurs données et leur permettre de supprimer à tout moment les informations les concernant.
● Faire preuve de transparence en expliquant clairement aux utilisateurs la façon dont leurs données personnelles seront exploitées.
● Les administrations publiques ou organismes traitant des données personnelles sensibles à grande échelle devront nommer un DPO (Délégué à la Protection des Données), afin de garantir la protection des données au sein de l’organisation et veiller au respect du RGPD.
● Limiter la conservation des données qui devront être supprimées dès lors que la finalité recherchée est atteinte.
● Informer la CNIL (Commission nationale de l’informatique et des libertés) en cas de fuite de données ou de failles de sécurité.
En cas de plaintes ou de contrôle de la CNIL, les organismes non conformes au RGPD s’exposent à des sanctions (rappel à l’ordre, retrait d’une certification…) et/ou pénalités financières pouvant atteindre 20 millions d’euros ou 4% du chiffres d’affaires de l’entreprise.
RGPD et Data Sciences
Depuis l’entrée en vigueur du RGPD, les entreprises doivent se conformer à des règles strictes en matière de collecte et d’exploitation de données à caractère personnel. Même si cette réglementation semble redéfinir les règles du jeu, RGPD et Data Sciences ne sont pas incompatibles. Pour être conformes, les organisations doivent toutefois intégrer la notion de protection des données dès la conception de leur projet Data Science. C’est le principe du Privacy by Design. L’article 25 de la CNIL préconise la mise en œuvre de mesures préventives visant à limiter les risques de sanctions pour violation du RGPD : « […] Le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées […] » Cela passe notamment par la pseudonymisation des données et la minimisation des informations collectées. L’anonymisation des données permet quant à elle de réduire les risques de piratage et d’usages frauduleux des données personnelles collectées par l’organisation.
Data Science : apprivoiser le RGPD avec DSTI
Vous êtes intéressé par la science des données ? Vous souhaitez devenir Data Analyst ou Data Scientist en suivant une formation de haut niveau dans un environnement stimulant et dynamique ? Rejoignez le Data ScienceTech Institute (DSTI) et faites progresser votre carrière !
Nos programmes Applied MSc in Data Analytics et Applied MSc in Data Science & Artificial Intelligence vous permettront d’acquérir toutes les compétences théoriques et pratiques inhérentes à la science des données. Ces programmes incluent notamment un module Management, Ethics & Laws permettant aux étudiants d’être sensibilisés à la gestion des projets informatiques et de prendre connaissance des implications juridiques et éthiques liées à l’exploitation du Big Data.
Vous êtes intéressé par la science des données, l’intelligence artificielle, l’ingénierie du Big Data ou l’analyse des données ? Rejoignez Data ScienceTech Institute et faites progresser votre carrière !
Un conseil ? Des questions ? Contactez-nous.