Règlement Général sur la Protection de Données : contraintes ou opportunités ?

Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD ou GDPR) entrera en application. Décidée par l’Union Européenne, cette nouvelle réglementation est la législation européenne la plus importante relative à la protection de la vie privée de ces dernières années.

De nombreux intervenants débattent des nombreuses contraintes que ce règlement impose et des craintes qu’il soulève. A quelques mois de sa mise en place, encore peu d’entreprises se déclarent conformes.

Avec le développement des technologies digitales, l’appropriation des objets connectés et la dématérialisation des échanges, le RGDP replace un peu d’humain au cœur de tous nos échanges relationnels et ouvre des opportunités créatrices de valeur pour les enseignes, basées sur la confiance et porteuses d’innovation.

Certes la démarche de conformité exigera des entreprises une refonte soignée de leurs systèmes d’information, du cadre juridique et des process opérationnels de leurs traitements de données. Mais, au-delà de ces indispensables mises à jour, je suis convaincue qu’un changement de culture de la confidentialité doit s’opérer.

Les sanctions de non-conformité sont multiples, à la fois juridiques et financières mais le véritable risque est à craindre sur la notoriété et la valeur de l’entreprise.

De quelles données parle-t-on ?

D’après la CNIL, les données personnelles concernent les informations relatives à une personne physique identifiée ou susceptible de l’être par référence à un numéro d’identification tel que l’INE, le numéro de sécurité sociale ou de téléphone. Les données sont considérées « à caractère personnel » à partir du moment où elles concernent des personnes physiques identifiées directement ou indirectement. De là, une personne est considérée identifiable si un fichier comporte des informations tels que l’adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, empreinte digitale, ADN, numéro d’identité national… En résumé, elles concernent tout un ensemble d’informations permettant de créer une discrimination au sein d’une population.

Des données qu’une personne pourrait considérer comme anonymes peuvent constituer des données à caractères personnels si elles permettent d’identifier indirectement ou par recoupement d’informations une personne précise. Parmi ces données il est possible de retrouver l’âge, le sexe ou encore l’ethnie.

Par ailleurs, il est nécessaire de rappeler que, d’un point de vue purement juridique, les données personnelles ne répondent pas à aucun principe de propriété (que sont l’usus, le fructus et l’abusus) mais que nous exerçons sur ces mêmes données des droits d’accès, de rectification et de suppression même si ces données sont traitées par d’autres.

D’autres données dites « sensibles » ou « particulières » sont composées par les origines raciales, ethniques, les opinions politiques, philosophiques, religieuses ou l’appartenance syndicale d’une personne. Elles peuvent également concerner la santé d’une personne ou encore sa vie sexuelle mais également les données sur les infractions et condamnations. Toutes collectes de ces données sont interdites. Néanmoins les personnes ayant donné leur consentement ne sont pas soumises à cette interdiction. De même, et sous condition de l’aval de la CNIL ou de décret en Conseil d’Etat, l’interdiction ne sera pas applicable dans le cas de traitement justifié par un intérêt public.

Les données d’usage ne sont pas une catégorie de données prévues par la loi, elles sont la traduction de nos comportements en ligne ou hors ligne. Ce n’est pas seulement notre navigation mais aussi nos habitudes de consommation ou le contenu de nos paniers d’achat qui les composent… La question pour l’individu n’est pas, encore une fois, celle de la propriété de ces données mais de garder la maîtrise des flux de données le concernant.

Comment se mettre en conformité ?

Les objectifs de ce changement sont avant tout d’uniformiser la règlemention au niveau européen, de responsabiliser les entreprises mais également de renforcer les droits des personnes qui sont la cible de ces collectes de données.

Au-delà des obligations portées par les entreprises, il s’agit surtout d’une prise de conscience générale des entreprises comme du consommateur de l’explosion du nombre de données en circulation.

Sept principes sont donc à respecter pour les entreprises :

  • Le principe d’accountability (ou logique de conformité), c’est l’entreprise qui doit prouver la conformité de la nouvelle règlementation RGPD.
  • Le principe de sécurité, l’entreprise doit mettre en place toutes les mesures nécessaires pour sécuriser les données personnelles.
  • Le principe de sécurité by design, la sécurité des données personnelles doit être prise en compte dès la phase de conception de toute activité.
  • Le principe d’information, les personnes doivent être informées de leurs droits et consentir explicitement à la collecte et au traitement de leurs données personnelles. Si ces données sont amenées à fuiter ou si un incident est constaté, les personnes concernées ainsi que la CNIL doivent être prévenues, sauf exceptions justifiées, dans les 72 heures maximum.
  • Le principe de licéité, les données à caractère personnel ne peuvent être recueillis et traitées que pour un usage déterminé et légitime, correspondant aux missions du responsable de traitement
  • Le principe de minimisation qui oblige les entreprises à ne garder que les données personnelles qui leurs sont nécessaire pour l’exercice de leur activité.
  • Le principe de conservation limité, les données personnelles ne peuvent être conservées que le temps nécessaire à l’exécution du contrat. A savoir que les données personnelles d’un prospect ne répondant à aucune sollicitation ne peuvent être conservées plus de 3 ans.

Les étapes nécessaires

Réaliser un audit des données stockées

Toute entreprise doit savoir où sont stockées les données personnelles. Avec les superpositions d’infrastructure et/ou systèmes d’information et l’autonomie des collaborateurs à installer des applicatifs à l’insu d’un département IT, les données personnelles risquent d’échapper au contrôle des entreprises.

L’enjeu pour l’entreprise est de comprendre les besoins de ses employés et adopter de nouvelles technologies qui, à la fois, simplifient les process et améliorent la productivité.

L’étape fondamentale consiste à obtenir un état des lieux exhaustif de toutes les applications utilisées au sein de l’entreprise.

La tenue d’un registre des traitements vous permettra de faire le point en recenser de façon précise les traitements de données personnelles que l’entreprise met en œuvre.

Pour chaque traitement de données personnelles, posez-vous les questions suivantes :

Evaluation du niveau de sécurité et mise en place de mesures de prévention

Il s’agit ensuite d’évaluer l’ensemble des failles de sécurité et le niveau de risque porté par ces données personnelles. Il convient de différencier les effets néfastes d’actions involontaires des utilisateurs ou du manque de sensibilisation, des activités malveillantes.

 

Les sanctions prévues par le RGPD

Passé la date du 25 mai 2018, les autorités pourront sanctionner les entreprises ne respectant pas le règlement par d’importantes amendes administratives, jusqu’à 4% du chiffre d’affaires annuel mondial.

La CNIL précise que ces sanctions seront encadrées, graduées et renforcées par rapport à la loi Informatique et Libertés. Les autorités sont libres de prononcer un avertissement et une mise en demeure de se mettre en conformité comme de pourvoir suspendre des flux de données hors UE, ainsi que la limitation temporaire ou définitive d’un traitement.

 

En homogénéisant la gestion des données à l’échelle de l’entreprise et en développant une culture de la donnée au sein de vos structures, il est possible d’être protégé tout en regagnant la confiance de ceux dont vous avez le plus besoin : vos clients !

 Une question ? Un projet ? Contactez-nous ! N° vert : 0 805 960 360 appel gratuit depuis un poste fixe Contactez-nous