RGPD et information des personnes : un nouveau métier ?
Il suffit pour le constater de consulter l'annexe de ce guide, qui commente point par point les informations à fournir. Le niveau de détail demandé est impressionnant. A titre d'exemple :
- L’information à fournir aux personnes concernées sur les « destinataires » de leurs données personnelles couvre non seulement les destinataires mais également les sous-traitants du responsable de traitement (et donc les sous-sous-traitants), et tous ces « destinataires » devraient être identifiés nominativement…
- Les droits des personnes doivent être détaillés de façon individualisée par traitement/base légale, et chacun des droits devrait être expliqué par un court résumé...
- Les durées de conservation des données ne peuvent pas être définies par une référence à la finalité du traitement...
Tout cela est très vertueux, et l'on en comprend bien l'objectif.
Mais la réalité est toute autre. Certains traitements sont d'une grande complexité par nature, et une application pure et simple de ces principes à certains types de traitements conduirait à des développements d'une complexité ubuesque, même en appliquant le principe de l'information "par couche", permettant d'affiner par degrés successifs le niveau d'information à fournir à la personne.
Jusqu'où faut-il aller ?
Plus que jamais le bon sens est de mise. Les recommandations de la CNIL n'en sont pas dépourvues, qui se terminent par un constat on ne peut plus juste : "le RGPD pousse ainsi à la mise en place de solutions innovantes".
Certes. Cela va prendre énormément de temps et d'énergie aux responsables de traitement pour trouver un compromis entre la "conformité" et la finalité première de cette obligation d'information, à savoir de donner à la personne concernée ce dont elle a réellement besoin pour évaluer ce que l'on fait avec ses données dans un contexte considéré, et si cela représente pour elle un risque non acceptable.
Pour finir sur une note optimiste, cela va créer de l'emploi.
