L’importance croissante des données dans notre société n’est plus à démontrer. Celles-ci sont de plus en plus en plus au cœur du débat public, politique et institutionnel. L’actualité récente l’a montré avec le cas des données personnelles de Facebook utilisées par Cambridge Analytica et qui auraient influencé les résultats de l’élection présidentielle américaine et du référendum concernant le Brexit. Lors de l’audition de Mark Zuckerberg devant le Sénat américain, le fondateur de Facebook a admis, tout en restant vague, qu’un règlement sur l’utilisation des données personnelles comme celui adopté par l’Union européenne pourrait être une solution.
Le Règlement Général sur la Protection des Données (GDPR) entrera en vigueur le 25 mai 2018. Chaque organisation qui détient et traite des données à caractère personnel devra s’y conformer. Cette réglementation vise donc toute personne ou toute organisation qui détient des données personnelles entendues comme un renseignement qui permet d’identifier toute personne, que ce soit directement ou indirectement, à l’exception d’une personne physique qui détiendrait des données dans un cadre strictement privé.
Le GDPR s’inscrit dans un débat plus général porté par la révolution numérique touchant également les acteurs du Secteur Jeunesse. Nous avions déjà mis l’attention sur l’intérêt et l’impact que pouvait avoir le numérique sur la vie des OJ dans le 10ème numéro de notre Libre². De même, les Jeunes MR, lors de leur congrès sur le numérique, ont voté 17 propositions permettant d’anticiper au mieux les changements induits par la révolution numérique.
Quatre grands principes régissent leur GDPR : le consentement, la transparence, le doit des personnes et la responsabilité.
Le consentement
Désormais, le consentement de la personne quant à la collecte et au traitement de ces données doit être explicite. A ce titre, la 2ème proposition votée par les Jeunes MR lors de leur Congrès numérique est particulièrement pertinente. En effet, ceux-ci « veulent obliger les propriétaires de site internet à synthétiser les conditions générales de l’ensemble des produits et services utilisant les donnée personnelles des consommateurs ou la collecte de celles-ci. »
La transparence
Les entreprises devront être totalement transparentes sur la manière dont les données seront traitées afin que chacun puisse consentir en toute connaissance de cause à l’utilisation de ses données.
Le droit des personnes
Le droit des personnes sera garanti par la possibilité pour chaque individu d’avoir accès facilement à ses données collectées. Le droit à l’oubli sera également garanti aux utilisateurs. Rappelons ici la troisième proposition des Jeunes MR qui « suggèrent la mise en place d’un passeport électronique qui faciliterait le droit à l’oubli. »
La responsabilité
Enfin, le principe de responsabilité vise à responsabiliser les entreprises dans leur traitement des données à caractère personnel. Ainsi, les entreprises devront notamment documenter les mesures et les procédures en matière de protection des données personnelles et mettre en place des mesures adéquates de sécurité. La 4ème proposition des Jeunes MR va d’ailleurs dans ce sens puisque ceux-ci « souhaitent développer plus encore le label certifiant qui récompense les entreprises/PME/ indépendants respectant les normes relatives à la protection des données. De plus, il est impératif de s’assurer à fréquence régulière que ce label, et les acteurs qui l’obtiennent, restent en lien avec les évolutions technologiques et normatives. »
Au regard de ces différents aspects, le Secteur Jeunesse sera dès lors impacté dans son fonctionnement. Notre secteur travaille avec une multitude de données personnelles utiles et nécessaires à ses missions. En effet, que ce soit des données relatives au personnel, aux administrateurs, aux volontaires ou encore aux jeunes prenant part aux activités des OJ, le Secteur Jeunesse mobilise de nombreuses données personnelles. De plus, au vu de leurs champs d’actions, certaines OJ traitent des données dites sensibles comme les convictions philosophiques, l’orientation sexuelle, la préférence politique ou encore des données médicales. Les OJ travaillant avec des données personnelles relatives aux mineurs devront y apporter une attention toute particulière.
Loin de considérer cette mise en conformité comme un fardeau, il convient de l’appréhender, comme tout changement lié au numérique, comme une opportunité pour les Organisations de Jeunesse et ainsi, mettre en place une gestion saine des données personnelles. Le GDPR repose d’ailleurs sur un postulat de base familier au Secteur Jeunesse, à savoir une obligation de moyens et non de résultats. Par conséquent, il est important que chaque responsable ait documenté le traitement des données qui est fait au sein de son OJ et que celui-ci puisse évaluer la politique actuelle de l’asbl en matière de gestion de données.
En pratique les Organisations de Jeunesse devront procéder en 6 étapes comme l’explique très bien le site français de la CNIL (Commission nationale de l’informatique et des libertés) :
- Désigner un pilote ;
- Cartographier le traitement des données personnelles ;
- Prioriser les actions à mener ;
- Gérer les risques ;
- Organiser les processus internes ;
- Documenter la conformité.
Diverses formations sur le GDPR à destination du Secteur Jeunesse sont organisées par la CESSoC et par la FESOJ afin de permettre à chaque association de se mettre en conformité suivant ses caractéristiques. Jeunes & Libres en organisera pour sa part une à destination de ses membres les 21 et 28 juin.