Charte éthique MDP pour une utilisation responsable des données à caractère personnel

Pourquoi cette charte ? 

Le traitement de données à caractère personnel au sein des entreprises est une réelle nécessité. Celui-ci, pour être au plus proche des valeurs citoyennes, nécessite qu’un cadre éthique soit instauré au risque de ne pas réussir à obtenir la confiance des citoyens et de partenaires économiques

Cette charte éthique pour une utilisation responsable de la protection des données part du constat suivant : alors qu’il existe une réglementation européenne pour la protection des données à caractère personnel, celle-ci n’est pas accessible pour l’ensemble des entreprises composant le maillage économique de notre territoire. Aussi, bien que prévoyant des exigences en termes de sécurité, il n’y a rien d’équivalent pour la cybersécurité. 

Cette charte est présentée publiquement dans une première version puis fera l’objet d’une coconstruction avec nos clients et partenaires afin d’aboutir à une deuxième version. Tant que nécessaire, elle fera l’objet de révisions, en fonction des évolutions de nos services, de notre clientèle et de nos partenaires. Chacun peut proposer sa contribution à l’amélioration de la charte en nous contactant directement par mail ou depuis le formulaire de contact du site internet de MDP. 

Cette charte poursuit les objectifs suivants : 

  • L’utilisation responsable de la protection des données et le déploiement de la cybersécurité dans le respect des droits et libertés fondamentaux des personnes
  • La définition d’un cadre éthique autour de l’utilisation de ces données à caractère personnel
  • L’accompagnement et le soutient des entreprises dans la transition numérique et plus particulièrement celle des associations et des TPE et PME. 
 

MDP a pour volonté de faciliter cette transition numérique par un transfert de compétences. Du fait des nombreuses difficultés que rencontrent les associations, petites entreprises et structures disposant de peu de moyens financiers, l’objet de notre action n’est pas de créer une dépendance à nos services mais plutôt de limiter nos interventions aux actions ne pouvant être réalisées par un référent RGPD. 

La présente charte a pour objectif d’instaurer les principes et valeurs que nous souhaitons partager. Elle est une adaptation de la charte éthique d’Ekitia, association dont nous sommes adhérents. Elle n’a aucune valeur juridique contraignante mais établit de grands principes éthiques destinés à définir la démarche que nous souhaitons partager avec les signataires de cette charte afin de faire de la protection des données une démarche vertueuse et non une simple obligation légale. 

Tous les principes seront ensuite déclinés en un ensemble de règles détaillées permettant leur application optimale par les Signataires. Autrement dit, ces règles encadreront de manière plus précise les traitements de données que MDP et les Signataires envisagent d’opérer. Enfin, cet ensemble de principes et de règles sera complété par des recommandations relatives à leur implémentation dans les politiques, les méthodologies, les outils informatiques et les technologies des Signataires.

En définitive ce triptyque « charte – règles – implémentation » reflète les conditions devant être réunies pour fonder une démarche vertueuse de traitements des données, au sein de laquelle les Signataires pourront poursuivre leurs activités. 

Nature de cette charte : 

La Charte constitue un socle de principes éthiques applicables aux activités de production, de collecte, d’hébergement et de traitements, internes ou mutualisés, des données, ainsi que l’utilisation qui est faite des résultats obtenus grâce à leur traitement. Ces principes font écho aux dispositions juridiques spécifiques applicables aux domaines d’activités des Signataires et ne peuvent être interprétés de façon à réduire leur portée ou à annuler leur application.

Cette Charte incarne 4 valeurs essentielles :

  • ETHIQUE, pour garantir une utilisation de la donnée dans le respect de l’humain et de notre planète,
  • CONFIANCE, pour permettre de réaliser toutes les potentialités de la gouvernance des données à caractère personnel 
  • INNOVATION RESPONSABLE, pour favoriser la création de nouveaux services dans l’intérêt des citoyens.
  • PLEINE COLLABORATION, permettant un juste équilibre entre les besoins et souhaits des Signataires avec les principes de protection des données et de cybersécurité que nous défendons.
  •  

Les principes exposés dans la Charte ne sont pas classés par ordre d’importance : ils forment un tout cohérent qu’il convient d’interpréter de manière globale et constructive. Cette Charte cherche à répondre aux enjeux éthiques soulevés par le traitement de données à caractère personnel et amenant à une responsabilité collective dans l’usage de ces données en vue d’en prévenir de potentielles utilisations abusives. 

Enfin, l’interprétation de la Charte tiendra compte du fait que toute activité s’intègre dans un système humanisé, composé d’agents compétents et au sein duquel la technologie n’est qu’un simple support. Ce facteur humain se veut autant que possible pluridisciplinaire, c’est-à-dire représentatif de toutes les compétences mobilisées pour le traitement des données à caractère personnel et la mise en œuvre de mesures en permettant le plus haut niveau de protection par défaut et dès la conception du traitement. 

Préambule : 


Nous, signataires de la présente charte,

Profondément attachés au strict respect des droits et libertés fondamentales du citoyen tels qu’exposés dans la Déclaration des droits de l’Homme de 1789, le Préambule de la Constitution de 1946 et la Charte de l’environnement de 2004, la Convention de sauvegarde des droits de l’Homme et libertés fondamentales de 1950 dite Convention Européenne des droits de l’Homme, et la Charte de droits fondamentaux de l’Union Européenne de 2000,

Déterminés à explorer toutes les possibilités offertes par le cadre juridique pour réaliser notre activité dans un cadre de confiance, à l’image de ce qui est actuellement permis concernant le traitement de données à caractère personnel,

Partant du constat que la réglementation actuelle n’est pas accessible pour l’ensemble des entreprises composant le maillage économique de notre territoire et n’a pas d’équivalent en matière de cybersécurité, 

Inspirés par nos expériences professionnelles communes et par les évolutions technologiques intervenant dans le cadre de notre activité,

Convaincus, 
– que le traitement de données à caractère personnel constitue une nécessité économique pour toute structure
– que ce traitement doit être effectué dans le respect de la réglementation applicable et dans une démarche transparente 
– qu’assurer un haut niveau de protection des données est un préalable essentiel à l’utilisation de ces données, 

Conscients,
– que les citoyens expriment de vives inquiétudes sur la capacité collective des autorités publiques et des opérateurs économiques et sociaux à gérer de manière responsable les données, 

– que le traitement de données pose des questions éthiques fondamentales et comportent des risques sociaux majeurs, 

– qu’il n’existe pas à notre connaissance de charte ou de déclaration sur l’éthique pour le traitement de données à caractère personnel analogue à celles qui existent pour l’IA, 

Mus par la volonté de lever toutes les inquiétudes conséquentes aux traitements de données à caractère personnel opérés par des acteurs économiques dominants, 

Résolus,
à offrir un cadre éthique permettant d’éclaircir les zones d’ombres maintenues par certains,
– à poser les bases d’un pacte de confiance sociale avec la population envers la transition numérique et la dématérialisation des activités des entreprises, 

Proclamons, comme particulièrement nécessaires à l’émergence d’une utilisation responsable de la donnée, les principes exposés ci-après :

1. Traitements de données à caractère personnel et activité économique

1.1 Principe de tempérance

Le principe de tempérance requiert des Signataires qu’ils prennent en considération le respect de la vie privée et des objectifs de durabilité dans la gestion de leurs activités. Concrètement, la réalisation des objectifs économiques ne doit pas substantiellement prévaloir sur le respect de la vie privée des personnes concernées, qu’ils s’agissent des membres du personnel, des consommateurs ou de toute autre personne concourant, directement ou indirectement, à la réalisation de ces objectifs. De manière complémentaire, le fait d’œuvrer pour la durabilité se traduit par une prise en considération du bien commun des générations futures. Il ressort de ces considérations que les moyens et outils mis en œuvre par les Signataires pour le traitement des données doivent contribuer autant que possible à la réalisation des Objectifs de Développement Durable adoptés par les 193 États membres de l’ONU.

 1.2 Principe de viabilité 

La tempérance des Signataires les mène à conduire une activité soutenable. Ainsi tout projet, réalisé en tout ou partie grâce aux traitements de données à caractère personnel, est mis en œuvre dans des conditions visant à respecter l’humain et l’environnement. Dans cette optique, les Signataires portent une attention particulière à leur empreinte écologique en vue de la réduire. Pour ce faire, ils veillent à mettre en œuvre le principe de sobriété numérique qui implique de ne traiter que les données strictement nécessaires à la réalisation de la finalité du projet et à privilégier, à efficacité égale, les outils et technologies les plus sobres. Les Signataires privilégient, lorsqu’ils en ont les moyens, des centres de données respectueux de l’environnement pour héberger leurs systèmes d’information et sont prudents quant aux effets rebonds de leurs activités.

1.3 Principe de solidarité  

Les Signataires veillent à ce que les activités économiques qu’ils réalisent grâce aux traitements de données à caractère personnel n’aient pas pour conséquence de créer ou de renforcer des inégalités sociales. Conformément au principe de non- discrimination, ils veillent également à ce que ces mêmes activités n’aient pas pour objet ou pour effet de créer, directement ou indirectement, une discrimination à l’encontre d’un individu ou d’un petit groupe d’individus.

Ils sont également vigilants quant aux questions de fracture numérique, afin d’éviter que les différences de taux d’équipement et de littéracie numérique affectent le moins possible les citoyens dans l’exercice de leurs droits fondamentaux et plus particulièrement des droits conférés par la réglementation européenne sur la protection des données. 

2. Traitements de données à caractère personnel et considération des individus 
2.1 Respect de l’autonomie individuelle 

Les Signataires considèrent le respect de l’autonomie individuelle comme l’élément central de leurs activités de traitement de données personnelles. En ce sens, lorsque la licéité d’un traitement de données personnelles dépend du recueil d’un consentement, ils mettent en œuvre les meilleures pratiques pour fournir une information permettant aux personnes concernées par la collecte desdites données d’exercer réellement leur libre arbitre de manière éclairée, spécifique et univoque. Ils portent une attention particulière aux modalités du recueil du consentement des personnes vulnérables, notamment les mineurs, les personnes âgées et les personnes dépendantes.

2.2 Protection des données à caractère personnel 

Les Signataires se conforment aux règles applicables en matière de protection de la vie privée et des données personnelles. En ce qui concerne le traitement ultérieur des données personnelles à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, les résultats des traitements de données ne doivent livrer aucune information permettant d’individualiser les données d’un individu ou d’un groupe d’individus trop peu nombreux. La présente Charte prévoit dans ses différents principes des garanties nécessaires pour respecter les droits des personnes.

Les Signataires sont particulièrement attentifs à ce que la protection de la vie privée des individus soit garantie tout au long du « cycle de vie » de la donnée, notamment en prenant soin d’appliquer scrupuleusement les principes de minimisation, de proportionnalité et de nécessité. 

Les Signataires sont conscients que les traitements de données à caractère personnel ne sont pas uniformes. En ce sens ils s’engagent à déterminer et à appliquer, au cas par cas, les techniques qu’ils estiment être les plus adéquates pour optimiser la protection de la vie privée des personnes concernées. 

3. Nécessité et sécurité du système d’information 
3.1 Nécessité des traitements de données à caractère personnel 

La nécessité des données traitées en vue de la réalisation de l’objet de votre activité est un élément essentiel et déterminant de votre démarche. Dès lors, les Signataires s’efforcent de prendre toutes les mesures qu’ils considèrent nécessaires pour s’assurer de la pertinence des données à caractère personnel qu’ils envisagent de traiter ; par exemple en s’assurant que les données collectées soient nécessaires à la réalisation de l’objectif poursuivi. Ils s’efforcent par ailleurs à donner accès à ces données aux personnes concernées dans des formats interopérables.

3.2 Protection des données par défaut et dès la conception 

Afin d’assurer aux personnes concernées un niveau suffisant de protection de leurs données à caractère personnel, les Signataires s’efforcent de prendre toutes les mesures permettant d’assurer le plus haut niveau de sécurité des données conformément à l’état de l’art. Ainsi, les Signataires ne font pas reposer la sécurité des données à caractère personnel sur les pratiques et mesures de sécurité adoptées par les personnes concernées. Enfin, lors de la conception d’un nouveau service impliquant le traitement de données à caractère personnel, les Signataires s’assurent que le niveau de sécurité des données a été évalué avant la mise en œuvre dudit service. 

3.3 Hébergement responsable des données 

Afin de protéger les données à caractère personnel traitées d’attaques physiques ou virtuelles susceptibles de compromettre leur disponibilité, leur intégrité et leur confidentialité, les Signataires privilégient des centres de données respectueux des meilleures normes de sécurité. Leur vigilance est accrue dès lors qu’ils sont en présence de données à caractère personnel sensibles6 ou de données liées à la sécurité publique nationale.

3.4 Robustesse des bases de données 

La robustesse d’une base de données dépend des actions réalisées sur les données traitées.  Les Signataires qui réalisent des traitements de données à l’aide de telles bases doivent mettre en œuvre les mesures techniques les plus adaptées possible. En ce sens, et sans que cette liste ne soit limitative, ils prennent soin de chiffrer les flux de données entre la base et les sources des données, de cloisonner et chiffrer les données sensibles ou encore d’anonymiser les données lorsque cette anonymisation doit être mise œuvre. 

La robustesse de telles bases repose également sur les mesures organisationnelles mises en œuvre. A cet effet, les Signataires prennent soin de définir des droits d’accès dépendant du besoin d’en connaître, de soumettre les personnes ayant accès à ces données à une obligation de confidentialité, de réaliser la maintenance de la base de données en interne ou, lorsque cela n’est pas possible, de confier cette maintenance à un prestataire dont la conformité à la réglementation européenne sur la protection des données a été vérifiée.

4. Transparence 
4.1 Information claire et accessible 

En vue d’inspirer la confiance, les Signataires fournissent une information claire et accessible quant à la méthode de collecte des données, leur lieu d’hébergement, la méthode par laquelle elles sont traitées et la finalité d’un tel traitement. Ce dans la limite du secret industriel, du secret des affaires, du secret défense et du secret professionnel.

De manière générale, les Signataires s’efforcent d’apporter, par les moyens qu’ils estiment appropriés, une information libre et éclairée aux citoyens quant aux décisions et aux risques susceptibles d’être générés par de tels traitements.

4.2 Décisions automatisées 

Lorsque les Signataires utilisent des outils de prises de décisions automatisées sur la base de données à caractère personnel, ils veillent à fournir une explication intelligible du fonctionnement de l’algorithme de décision notamment en pointant les principes fédérateurs des algorithmes ainsi que les critères déterminants des choix opérés par l’algorithme.

En ce sens, les Signataires qui ont recours à des systèmes algorithmiques classiques prennent soin de détailler la méthode de programmation des algorithmes (règles préétablies par un opérateur humain et qui ont ensuite été intégrées au système). Ces explications portent sur la typologie de données à caractère personnel qui sont entrées dans l’algorithme, l’objectif décisionnel de l’analyse des données et le résultat qui en sort. 

En raison de l’opacité qui affecte les systèmes algorithmiques basé sur de l’apprentissage automatique voire profond, les Signataires veilleront à ne pas utiliser de tels algorithmes pour de telles décisions. 

De manière générale, les Signataires devront anticiper la demande des personnes concernées par la prise de décision de faire intervenir un facteur humain dans ce processus. 

4.3 Auditabilité 

Les Signataires reconnaissent l’importance de faciliter le contrôle de la conformité des activités qu’ils mènent grâce à des données à caractère personnel au cadre légal qui s’applique à eux et, dans la mesure du possible, aux règles qu’ils mettent en œuvre afin d’appliquer la présente Charte.

Ainsi, chaque étape d’un traitement réalisé grâce à des données à caractère personnel est documentée en des termes adéquats, ces documents étant destinés à fournir des informations ou à servir de base à un contrôle :

– chaque Signataire veille à assurer, en amont de la réalisation de l’activité, la traçabilité des données collectées par des mécanismes permettant de recenser et de détailler tous les traitements qu’il effectue à l’aide de ces données ;

– en cas d’utilisation d’un algorithme pour traiter les données à caractère personnel, les Signataires prennent soin de conserver une description du fonctionnement de celui-ci.

– les Signataires documentent les différentes évaluations des impacts et des risques réalisées en amont de la mise en œuvre du projet (cf. principe 5.2).

5. Un cadre de confiance pour la gouvernance des données 
5.1 Déclinaison de la charte éthique en règles particulières 

La présente Charte contient un ensemble de principes reflétant les lignes directrices à suivre par les Signataires pour définir le cadre dans lequel ils souhaitent réaliser leur activité. Elles orientent en ce sens la conduite à adopter par les Signataires lorsqu’ils réalisent des traitements de données à caractère personnel. 

En vue de leur conférer un caractère durable, ces principes généraux sont interprétés en prenant en compte les évolutions scientifiques, technologiques, sociales et environnementales.

Ces principes doivent être décliné par chaque groupement de société, fédération (nationale, régionale, départementale), et partenaire en un ensemble de règles permettant d’encadrer concrètement les opérations de traitement de données mutualisées.

Ces règles, plus précises que les principes, prendront en compte les particularités réglementaires du pays ou du secteur d’activité concerné.

5.2 Évaluation des risques 

Lorsqu’ils réalisent des traitements de données à caractère personnel particulièrement sensibles, les Signataires s’efforcent d’évaluer les risques, directs ou indirects, susceptibles de découler de ces traitements sur ce qui constitue les droits fondamentaux des personnes.

En ce sens, les évaluations des risques menées par les Signataires porteront en priorité sur l’impact sur la vie privée des personnes concernées, sur le principe de non-discrimination et sur le principe d’égalité de traitement.

Au regard des résultats révélés par les évaluations des risques, les Signataires cherchent à minimiser les risques de leurs traitements, tant en ayant recours à des mesures techniques qu’à des mesures organisationnelles.

5.3 Principe d’intégrité 

Tout Signataire respecte les règles déontologiques auxquelles il est soumis et agit dans un esprit d’intégrité intellectuelle et de coopération. Cela couvre tant les finalités des traitements mis en œuvre que les moyens utilisés, la gestion des ressources humaines, y compris l’encadrement des étudiants, la diffusion des connaissances et la communication d’informations. En outre les Signataires s’abstiennent d’utiliser toute information mise à leur disposition à des fins de falsification ou de plagiat ou de rétention illégitime des données.

6. Éthique en situation d’urgence 


La situation, qu’elle soit sanitaire, environnementale, sécuritaire ou de tout autre forme, peut amener à l’utilisation d’outils et de technologies en situation d’urgence. Dans ce contexte, les principes de la Charte devraient continuer à s’appliquer et servir de cadre de référence pour l’usage responsable des données à caractère personnel dans un environnement démocratique et responsable. Il est néanmoins possible que l’urgence conduise à aménager temporairement certains de ses principes. En tout état de cause, les principes suivants devraient rester respectés :

  • principe de proportionnalité : il s’agit de toujours privilégier la méthode de traitement la moins intrusive pour atteindre la finalité voulue
  • si des données personnelles sont traitées sans le consentement des personnes, celles-ci doivent néanmoins bénéficier d’une information complète et accessible sur les caractéristiques du traitement (notamment, sans que cela ne suffise, la période de conservation des données et les finalités du traitement)
  • si dans ce contexte des données « anonymisées » sont traitées, celles-ci ne tombant pas sous le coup du RGPD, une attention particulière devra être portée à l’application de techniques d’anonymisation adéquates pour empêcher toute ré-identification des personnes à l’issue de la période de crise
  • dans tous les cas, les solutions de surveillance de la population doivent être fondées sur une évaluation préalable de l’impact du traitement de données sur les droits fondamentaux des personnes (notamment l’impact social, pour éviter toute discrimination) et, dans la mesure du possible, faire l’objet de tests préalables à petite échelle avant d’être déployés à grande échelle ;
  • les décisions prise en matière de gestion des risques, ainsi que leur logique sous-jacente, doivent être documentées ;
  • des procédures concrètes concernant le retour à des régimes « normaux » de traitement des données doivent être prévues, en portant une attention particulière aux bases de données contenant des données relatives à la santé et aux bases de données créées dans le but de suivre, de tracer et de profiler les personnes.
7. Adaptabilité de la présente Charte 


La présente Charte se caractérise par son dynamisme : elle n’a pas vocation à être immuable mais à être réévaluée régulièrement en vue de s’adapter en continu aux évolutions scientifiques, technologiques, sociales, environnementales et à l’évolution du cadre légal applicable aux activités numériques.

Nos 10 engagements individuels :

1. Transferts de compétences 

Dans le cadre du transfert de compétences, MDP s’engage à apporter au référent RGPD un niveau de formation lui permettant d’assurer seul les missions courantes d’un délégué à la protection des données. 

MDP s’engage également à organiser des formations d’entreprises au cours desquelles les enseignements pratiques de la mise en conformité sont prédominants.  

Enfin, MDP s’engage à apporter ses compétences et connaissances auprès des futurs ressources de notre économie.  

2. Accessibilité des prestations

Consciente des modalités hétérogènes d’organisation des entreprises, association ou établissement, MDP est capable d’adaptée une partie de ses offres à des modalités d’organisation plus flexibles telles que la visio-conférence.  

Consciente également de la technicité de la matière juridique et cyber, MDP s’engage à ne jamais livrer des prestations sans organiser une session de débriefing et d’explications.  

3. Accessibilité et lisibilité de l’information

Dans le cadre d’une démarche d’accessibilité à l’information, MDP s’engage à toujours mettre à disposition gratuitement les informations que l’on peut trouver sur le site de la Commission Nationale de l’Informatique et des Libertés et de l’Agence Nationale de Sécurité des Systèmes d’Information

A cet effet, MDP s’engage également à laisser librement accessible sur son site  les articles de veille en protection des données et cybersécurité. 

4. Partage d’expériences et de connaissances

Dans le cadre du développement d’un apprentissage territorial collectif, MDP s’engage à partager son expérience, dans les outils qu’elle propose, à l’ensemble des Signataires de la présente Charte. Concrètement, cela consiste à mobiliser des compétences humaines ayant déjà eu une expérience dans le domaine d’activité du Signataire. 

Ce partage d’expériences s’accompagne d’un partage de connaissances telles que des modèles documentaires, des fiches pratiques ou encore des traitements qui ont été identifiés lors de précédentes expériences. 

5. Collaboration

Dans le cadre de l’intégration des Signataires à la présente charte, MDP s’engage à prendre en considération les remarques, critiques et avis de ces derniers dans un objectif d’amélioration continue de ses services et outils. 

6. Sensibilisation du territoire

Dans le cadre de la transition numérique, MDP s’engage à apporter son soutien aux initiateurs de cette transformation au sein des entreprises et associations en organisant des sessions de sensibilisation et d’information. 

A cet effet, MDP s’engage à apporter, gratuitement et en suivant, des informations personnalisées lors de permanences organisées pour les participants auxdites sessions. 

7. Accompagnement et formation des jeunes talents

Dans le cadre de la viabilité des activités économiques, MDP s’engage à former les jeunes talents de demain dans le cadre de stages et d’alternances. A cet effet, MDP s’engage à toujours mobiliser un tuteur ou maître d’apprentissage disposant des compétences requises à la bonne formation et au bon équilibre des apprentis au sein de l’entreprise. 

8. Bien-être au travail

Consciente de l’évolution des modalités de travail depuis le début de son activité, MDP accorde à ses salariés un cadre de travail flexible. Sortant des pratiques managériales classiques, MDP accorde une plus grande importance aux objectifs réalisés qu’au temps passé chaque jour pour y arriver. Ainsi, nos salariés ont la possibilité d’organiser leur temps de travail afin de prendre en compte leurs impératifs personnels.

9. Participation à l’élaboration d’un avenir respectueux de la vie privée

Soucieuse des évolutions technologiques et sociétales à venir, MDP s’est engagée à participer à des cercles de réflexion au sein de structures innovantes pour participer à la coconstruction d’un avenir responsable. Nous animons et participons également à des commissions organisées par des associations spécialisées autour de sujets d’avenir.  

10. Sécurité des données

Assurer la sécurité des données est une priorité pour nos services. C’est pourquoi nous avons élaboré une charte dédiée à ce sujet.