Le nouveau règlement européen sur la protection des données personnelles (RGPD ou GDPR), sera applicable à partir du 25 mai 2018.
Tour d’horizon de ce qu’il implique pour les entreprises.
Le nouveau règlement général sur la protection des données personnelles (RGPD), plus connu sous son acronyme anglais « GDPR», est entré en vigueur en mai 2016 et sera applicable à partir du 25 mai 2018. Ce texte européen va révolutionner la gouvernance et les pratiques des entreprises en matière de gestion des données personnelles.
D’ici peu, les autorités nationales de contrôle (la Cnil pour la France) seront en mesure de sanctionner à hauteur maximale de 4 % de leur chiffre d’affaires mondial, les entreprises et les organisations ne n’étant pas en conformité avec les multiples exigences imposées ou renforcées par le règlement.
Si le texte a pour principale mission de renforcer les droits et la protection des résidents européens vis-à-vis de leurs données personnelles, il vise également à favoriser l’émergence d’un climat de confiance entre les individus et les entreprises dans un domaine où la prudence et le scepticisme restent, aujourd’hui et à juste titre, de mise.
Lire aussi : GDPR : que dit le nouveau règlement européen ?
Le postulat que nous défendons et qui a été développé dans une précédente tribune , c’est que l’avènement du GDPR offre aux entreprises une opportunité de repenser en profondeur la gestion des données de leurs clients, partenaires ou collaborateurs, pour jouer la carte de la transparence, préalable indispensable à l’établissement d’une relation de confiance.
Le problème, c’est que bon nombre d’entreprises n’ont aujourd’hui qu’une très vague idée des exigences auxquelles elles vont devoir se conformer. Parmi la liste conséquente des exigences inscrites dans les 200 pages du GDPR, en voici cinq qui induiront des changements majeurs en matière de gouvernance, de refonte des processus ou d’outillage technique, et que les entreprises ont tout intérêt à anticiper dès à présent :
1. La protection (réelle) des données
C’est l’un des grands leitmotivs du texte. La protection des données doit devenir un standard, un incontournable de tout projet touchant de près ou de loin aux données personnelles. Elle devra ainsi être abordée dès les phases amont des projets, faire l’objet d’ateliers dédiés, constituer un point clé dans les cahiers des charges et figurer dans les notes de cadrage et les spécifications.
Les exigences qu’elle porte devront être intégrées nativement dans les applications et les solutions (CRM, ERP, MDM, DMP…), et les « cloud service providers » ou autres « data centers » se devront de respecter les normes de sécurité sur l’ensemble du cycle de vie de la donnée.
Lire aussi : GDPR : entreprises, ce qui vous attend
Avec la mise en avant du « privacy by design and by default », la protection des données personnelles ne pourra plus être considérée comme un « nice to have », mais devra être replacée au coeur même de la conception des projets et des initiatives.
2. Le consentement des usagers
Le règlement pose par ailleurs un principe fondamental : si une entreprise ou une organisation n’est pas dans une relation contractuelle ou une obligation légale, ne vise pas l’intérêt général ou les intérêts vitaux d’une personne, ou n’a pas de motif légitime pour détenir des données personnelles sur celle-ci, elle n’est pas en droit de les traiter (ce qui comprend la conservation, l’utilisation, la revente, l’analyse, etc.), sauf si elle a obtenu pour ce faire un consentement clair et explicite de la personne concernée.
Fini le « qui ne dit mot consent » ou la pratique courante visant à noyer les demandes de consentement sous une montagne de conditions générales indigestes. L’entreprise devra désormais obtenir – et surtout pouvoir apporter la preuve – que les personnes aient explicitement consenti à ce que leurs données personnelles soient utilisées à tels ou tels types de fins (démarchage commercial, marketing, analyse statistique, revente à des tiers, etc.).
Plus encore, il faudra mettre en place une véritable gestion centralisée des consentements pour donner de la visibilité aux utilisateurs et aux autorités de contrôles sur les consentements accordés, mais aussi afin d’être en mesure de prendre compte dans les meilleurs délais leur éventuel retrait.
3. Un (vrai) droit à l’oubli
C’est peut-être la plus connue et la plus médiatisée des exigences portées par le GDPR, notamment parce qu’un certain nombre de législations nationales (et notamment la France, pour les mineurs, dans sa loi pour une république numérique d’octobre 2016 ) n’ont pas attendu le GDPR pour l’intégrer.
Il s’agit ici pour les entreprises d’être en mesure de garantir aux personnes qui leur en feront la demande (pour peu que la demande soit légitime) que leurs données seront bien définitivement supprimées de l’ensemble de leurs systèmes, et ce, dans un délai de 30 jours.
On voit aisément comment la mise en place d’un tel service pourrait s’avérer complexe dans des systèmes d’information silotés, où les données personnelles – parfois de piètre qualité et faisant l’objet de multiples doublons – sont souvent répliquées dans une multitude d’applications consommatrices.
L’affaire « Google Spain » entre 2010 et 2014, qui avait débouché sur plusieurs dizaines de milliers de demandes de droit à l’oubli, laisse en effet présager un recours de plus en plus fréquent à ce genre de procédures.
4. La portabilité des données
De même que les opérateurs téléphoniques sont aujourd’hui contraints de permettre à un client de conserver son numéro en cas de résiliation de son contrat et de départ chez un concurrent, le GDPR impose désormais aux entreprises de mettre à disposition des personnes qui le demandent leurs données personnelles dans un format « structuré, couramment utilisé et lisible par machine ».
Le texte va même plus loin en affirmant que la personne pourra demander à une entreprise de transférer directement ce fichier de données personnelles à une autre entreprise « lorsque cela est techniquement possible ».
On voit bien à nouveau les difficultés que pourrait soulever ce type de transfert entre des systèmes d’informations complètement hétérogènes. Si les modalités d’application de ce droit sont encore floues, il y a fort à parier que son application constituera un défi technique majeur, obligeant les concurrents d’un même secteur d’activité à se concerter et à travailler de concert.
5. La nomination d’un délégué à la protection des données (DPO)
Dernier changement majeur sur lequel il est intéressant de mettre l’accent, la nomination d’un délégué à la protection des données ou « data privacy officer » (DPO) imposée à toutes les instances publiques et à toutes les entreprises privées effectuant des traitements de données personnelles à grande échelle.
Il ne suffira pas ici de changer l’intitulé de poste de votre correspondant informatique et liberté (CIL) pour satisfaire cette nouvelle exigence, mais bel et bien de mettre en place une véritable gouvernance transverse autour de la protection des données personnelles au sein de l’entreprise. Ce DPO aura notamment comme prérogatives :
– De superviser la mise en oeuvre et le suivi des initiatives de mise en conformité GDPR
– D’informer l’organisation et le personnel de leurs obligations en matière de gestion des données personnelles
– D’être le point de contact et de centralisation de toutes les demandes d’application des droits des personnes (droit à l’oubli, droit d’accès, droit à la portabilité, demande de modification, etc.)
– De coopérer avec l’autorité de contrôle
– De participer à l’élaboration des analyses d’impacts, obligatoires pour certains types de traitements (profiling, données sensibles, etc.)
La liste n’est clairement pas exhaustive, mais on voit bien à travers ces 5 changements majeurs combien le GDPR va venir bouleverser l’organisation, les processus et l’architecture SI de nos entreprises. Ces évolutions sont certes complexes, car mêlant de façon étroite des aspects juridiques, métiers et IT mais, correctement mises en oeuvre, elles permettront à l’entreprise de faire la démonstration concrète de son souci du respect des données personnelles et d’être perçue comme étant « digne de confiance ». Mais comme toujours lorsqu’il s’agit de conformité, ce seront les premiers arrivés qui en récolteront le plus abondamment les fruits.
Eliott Mourier
Les Echo.fr
24/02/2017
Eliott Mourier est consultant gestion des données de référence au sein de la pratique gouvernance des données de Micropole