[mis à jour le 24 aout 2017] Et pourquoi refuserais-je l’invitation d’une start-up à la technologie très innovante qui traite les données vocales des clients de ses clients professionnels ? S’informer à titre professionnel sur le RGPD, c’est déjà démarrer son processus de mise en conformité ! Merci aux équipes d’Allo-Media pour leur accueil et leurs (très nombreuses) questions lors de cette matinée du 23 aout 2017 (très bonnes, ces chouquettes !).

[wonderplugin_gallery id= »104″]

Les problématiques du prestataire SaaS sont ici envisagées de manière classique : il s’agit de traiter les données vocales (personnelles ?) des clients (users) du client du prestataire. Manifestement, il s’agit bien d’une prestation de sous-traitance au sens du RGPD.

Mais les données vocales ne sont pas des données classiques de type « fichier client » : il s’agit de traiter en temps réel, sans enregistrement, des conversations téléphoniques entre des consommateurs et des professionnels, pour des finalités différentes. Ce qui pose le problème (i) de la détermination de la finalité du traitement et du droit du responsable du traitement d’y procéder (ii) de l’analyse du « contenu des correspondances électroniques » que sont les données vocales d’une conversation téléphonique (un appel à un service client, par exemple).

Si la GDPR s’applique indéniablement, il serait regrettable de ne pas évoquer le projet de Règlement e-Privacy qui, justement, encadre l’utilisation par les prestataires de communication électronique du « contenu » de ces communications électroniques. Il va falloir – décidément – se soucier aussi et rapidement – de ce nouveau projet prévu (on peut rêver) pour s’appliquer au 25 mai 2018…

Nous avons donc évoqué de manière spécifique la définition des données personnelles, ainsi que les processus de pseudonymisation et d’anonymisation (données définitivement non-personnelles ou « statistiques »).

En aparté et bien que cela ne figure pas dans les slides, nous avons évoqué les problèmes liés à l’utilisation d’un logiciel d’intelligence artificielle lorsque les données sont traitées également afin d’améliorer le service du prestataire. Se pose alors la difficulté du droit des bases de données électronique, qui, décidément, va provoquer un regain d’intérêt pour les professionnels et les juristes. Bruxelles bruisse déjà d’un projet de réforme de cette législation (une directive de 1998 -déjà-, intégrée en France dans le Code de la propriété intellectuelle, nous en reparlerons bientôt sur ce blog).

Bien évidemment, à 9 mois de l’entrée effective en vigueur de la GDPR, se pose le problème concret de la réalisation d’audit de « compliance ». Comment faire aujourd’hui ? Les cabinets d’avocats commencent à proposer des offres. De nombreuses sociétés de conseil aussi, qui auront pour leur part le mérite d’assurer effectivement une analyse technique et une capacité de préconisation pertinente sur les outils à adopter. Enfin, bonne nouvelle pour de nombreuses TPE/PME/ETI, des solutions logiciels de vérification de compliance sont en cours de développement par des professionnels qui allient leurs compétences techniques et juridiques… ça arrive bientôt… Suffisamment tôt pour vous permettre de mener votre plan d’action avant le 25 mai 2018…