Retrouvez la newsroom : toute l'actualité d'HEXANET

26/04/2018 |

Les impacts externes / internes, les risques, les opportunités... Le compte à rebours est lancé !

Le RGPD - Règlement Général sur la Protection des Données – aussi désigné sous son acronyme anglais GDPR, est le nouveau texte de référence en matière de protection des données personnelles au niveau européen. Ce règlement entrera en vigueur le 25 mai 2018 dans tous les pays de l’Union Européenne et remplacera la directive de 1995 constituant les fondements de la loi informatique et liberté.

Le 3 mars dernier, se tenait une table ronde organisée à Angers par l’Université et la Chambre des Commerces et de l’Industrie autour de cette thématique du RGPD. Denis ÉPIÉ, notre chargé de mission qualité et sécurité y était invité aux côtés de Maître Stéphane BAÏKOFF, Avocate au sein du Cabinet Simon Associés à Nantes et de Karl AUZOU, Président Fondateur de Good Angel.

 

LE RGPD

Ce qui était mis en place jusqu’à présent et les raisons de cette réglementation

La France a été l’un des premiers pays à se doter d’une législation relative à la protection des données. C’est la loi du 6 janvier 1978 qui a créé la CNIL. Depuis, nos pratiques n’ont cessé d’évoluer : dans la sphère publique (vidéo surveillance, traitement des données à des fins de ciblage publicitaire), mais également au sein de la sphère privée avec sa surexposition sur les réseaux sociaux. Aussi, suite au scandale PRISM survenu aux états unis en 2013 autour d’un programme de surveillance planétaire de la NSA dénoncé par Edward Snowden, la Commission Européenne a décidé d’uniformiser le droit sur le territoire européen.

Qui doit se mettre en conformité ? Toutes les entreprises sont-elles concernées ? Les entreprises non-européennes sont-elles aussi concernées ?

Toutes les entreprises qui collectent, traitent, stockent, archivent, ou transfèrent des données personnelles sont concernées par le RGPD, quels que soient leurs secteurs d’activités. Il existe cependant des distinctions en fonction du nombre de salariés constituant les entreprises et en fonction de la sensibilité des données (1) collectées.

Le RGPD va donc s’appliquer à toutes ces entreprises dont le siège social est localisé au sein de l’Union Européenne. Il va s’appliquer également aux responsables de traitement qui fournissent un bien ou un service à destination des consommateurs européens. Ainsi, les entreprises américaines qui exportent en Europe devront se conformer au RGPD au 25 mai 2018.

 

LES IMPACTS EXTERNES

Qu’est-ce qui va changer pour l’internaute ? Le consommateur final ?

Une des finalités du RGPD est le renforcement des droits de la personne physique. Le RGPD apporte en effet l’assurance d’un traitement plus éthique : une meilleure information des droits de l’usager en respect des critères de clarté, simplicité, d’accessibilité et de compréhension ; obligation du recueillement du consentement de l’usager pour la collecte des données le concernant ; droit à la portabilité (ex : cas du transfert de contrat d’assurance) ; droit à la rectification ; droit à l’oubli.

Quels impacts sur la sécurisation des données ?

La mise en œuvre du RGPD vise en premier lieu les GAFAMs (Google, Apple, Facebook, Amazon, Microsoft). Tel est l’objectif essentiel de la Commission Européenne qui a su reconnaitre, dans les géants du Net, les principaux fournisseurs d’informations personnelles auprès des autorités américaines. En atteste le montant des pénalités prévues par le règlement en cas d’infraction(2), et qui s’adressent clairement à d’importantes structures économiques.

Aussi, depuis le début de l’année 2018, les GAFAMs ont annoncé la création d’un nombre d’emplois conséquent en France : 2000 pour Google et autant pour Amazon. Selon Karl AUZON, ces annonces tendent à occulter une réalité : les GAFAMs ne seront par près à appliquer le RGPD en mai 2018.

Cela représente un vrai problème d’éthique qu’il convient d’observer attentivement au cours des prochains mois car les éditeurs européens d’applications web et mobiles vont être impactés. En effet, Google et Apple imposent encore aux éditeurs des contraintes totalement contraires au RGPD pour la validation de leurs applications, notamment, la collecte d’informations excessives. Ainsi actuellement, lorsque les éditeurs adaptent leurs applications aux exigences du RGPD, celles-ci ne sont pas validées et ne peuvent être mises sur le marché. Or la majorité des éditeurs français de petites tailles, n’a aucun impact sur les GAFAMs. Il existe donc un risque de disparition de ces applications sur les plates-formes de téléchargement des géants du NET en mai 2018, le rapport de force entre les GAFAMs et les éditeurs étant totalement disproportionné.

Dans ce contexte, où on déplore un recul permanant en matière de respect des données personnelles depuis l’émergence des GAFAMs, le rôle des autorités s’avère primordial car elles seules pourront agir politiquement et se donner les moyens d’aller au bout de leurs objectifs règlementaires.

La question de la sécurisation des données personnelles s’avère donc moins une problématique de moyens techniques à résoudre qu’un problème d’éthique à soumettre aux principaux acteurs qui détiennent le pouvoir économique à l’échelle mondiale.

Le RGPD va-t-il profiter au GAFAMs en leur fournissant un moyen de justifier leur bussiness model ? Le recueillement du consentement de l’utilisateur sera-t-il simplifié pour ces géants ?

Le RGPD impose que ce consentement soit éclairé. Il faut vraiment que le consommateur soit vigilant afin d’avoir une meilleure prise de conscience vis-à-vis des données qu’il délivre abondamment, sur la toile.

La collecte des données est encadrée par le RGPD qui la limite à un objectif précis. Ainsi, les données doivent être collectées de manière non excessives, pertinentes et adéquats. Le principe de la minimisation du volume de données collectées est également inscrit dans le RGPD. Comme le consommateur, le responsable de traitement des données est invité à s’interroger sur l’utilité de cette collecte, pour ne pas dépasser le cadre de son traitement (ex : la couleur des yeux est-elle importante pour acheter une paire de chaussure sur le net ?).

S’impose donc une réflexion qui doit avoir lieu dès la conception des traitements.

 

LES IMPACTS INTERNES

Les données des salariés sont-elles aussi concernées par le nouveau règlement ?

Dès qu’une collecte de données personnelles est réalisée, quelques que soient ces données personnelles, le RGPD s’impose. Aussi, la sécurisation des données personnelles et l’application du nouveau règlement peut être bénéfique en termes de marque employeur : c’est une opportunité de fédérer les équipes au sein de l’entreprise, de prendre des engagements éthiques et de s’y conformer.

Comment former les salariés à cette nouvelle réglementation ?

Il est possible de faire appel à un DPO externe dans le cadre d’une prestation. Son rôle pourra être de vérifier que tout ait été mis en œuvre dans l’entreprise. Il informera l’ensemble des collaborateurs, pourra participer à la mise en œuvre de la documentation imposée par le règlement et diffuser les bonnes pratiques au sein de la société.

Il est aussi judicieux de désigner une personne en interne pour assurer le pilotage du projet : doté d’une certaine autorité au sein de l’entreprise, ce pilote pourra fédérer les équipes et éventuellement assurer les formations internes ou si nécessaires, déléguer auprès d’un prestataire.

Le RGPD oblige-t-il toutes les entreprises à recruter un DPO ?

Le recrutement d’un DPO est obligatoire, notamment :

  • Dans le cadre d’une autorité ou entreprise publique ou ayant une délégation de service publique ;
  • Si l’activité de base consiste dans le traitement à grande échelle de données impliquant un suivi systématique et régulier des personnes (vidéo surveillance, profilage) ;
  • Si l’activité de base consiste dans le traitement de données sensibles (ex : cliniques, hôpitaux, EHPAD).

Pour les autres types de structure, le recourt à un sous-traitant peut être une solution pour se conformer aux obligations du RGPD.

Comment va se passer la collecte des données dans l’entreprise avec ces nouvelles règles ?

Il ne s’agit pas d’une révolution. Toutefois, les responsables de traitement devront avoir cartographié l’ensemble de leurs processus et avoir établi les formulaires permettant de recueillir le consentement des personnes physiques. La collecte des données à caractère personnel doit désormais s’inscrire dans une démarche globale de l’entreprise visant à assurer la sécurité des données. Ce processus de sécurisation doit faire l’objet d’une analyse de risques et d’une définition d’un plan de traitement des non-conformité par rapport aux règlements, avec une priorisation cohérente.

Quel accompagnement pour les entreprises dans la mise en place du RGPD ?

Le DPO peut constituer un support en liens permanents avec la CNIL. Il est aussi possible de faire appel aux services de juristes et d’entreprises spécialisées dans le numérique qui proposeront alors un accompagnement pour la mise en conformité. Cet accompagnement consistera à recenser les traitements, réaliser une cartographie des données collectées, recenser les durées de conservation, identifier les procédures de sécurisation des données ; réaliser l’analyse de risques, puis enfin établir un plan de traitement des non conformités.

 

LES RISQUES

Que risque une entreprise qui ne respecte pas le RGPD ?

Le 25 mai 2018 n’est pas une date couperet. C’est le sens de la communication de la CNIL qui, en cas de contrôle, s’assurera en priorité du niveau de maturité de l’entreprise au regard du règlement, et du respect de la loi informatique et liberté de 1978. En effet, jusqu’au 25 mai 2018, tous les traitements qui seront mis en œuvre doivent être déclarés ou faire l’objet d’une autorisation préalable auprès de la CNIL. Au-delà de cette date, ces formalités préalables disparaitront et laisseront place à un engagement responsable.

Lors de son éventuel contrôle, la CNIL pourra ensuite s’intéresser au plan d’action de traitement des non conformités qui aura été établi : elle examinera la réflexion de l’entreprise vis-à-vis des données personnelles, les réponses apportées, la désignation d’un pilote, la gouvernance de la donnée, ainsi que la documentation décrivant les processus de sécurisation des données.

Les nouveaux traitements de données qui seront mis en œuvre à partir du 25 mai 2018 devront s’intégrer dans un cadre de conformité vis-à-vis du RGPD. Toute atteinte à ce règlement sera passible de sanctions financières très lourdes(2).

 

LES OPPORTUNITES

En termes d’image ? Utile pour rassurer les consommateurs ? Prouver sa conformité notamment auprès de la CNIL ?

Le RGPD va s’imposer aux entreprises qui, hors de l’Union Européenne, vont proposer des services ou des biens aux consommateurs européens. Il faut y voir une garantie de concurrence loyale entre tous les acteurs mondiaux.

C’est aussi une opportunité de communiquer en interne, de fédérer les équipes autour d’un projet commun éthique et d’inspirer confiance.

D’autre part, on ne peut plus pratiquer nos métiers comme on le faisait au début de l’émergence d’Internet. Comme dans de nombreux secteurs d’activité qui doivent appliquer des normes, le RGPD s’impose désormais aux entreprises du numérique dans un contexte plus global de normalisation (ISO 27001, HDS, PCI-DSS). Ces changements en cours vont contribuer à une meilleure sécurisation des données personnelles et l’instauration d’un niveau de qualité minimal requis.

Un avantage concurrentiel ?

Etre transparent vis-à-vis de ses prospects est un argument commercial fort : expliquer que les données sont protégées, qu’elles ne seront pas utilisées à d’autres fins que celles qui sont élaborées autour du service qui leur est proposé est primordiale pour instaurer un climat de confiance.

L’arrivée du RGPD représente également un éclairage nouveau sur la conception des produits, des applications, et des interfaces utilisateurs. Désormais, seront ainsi mis en évidence les éléments obligatoires qui différencieront les acteurs du marché par rapport à leurs concurrents. Ce gain de qualité va aussi permettre de revaloriser le prix final des services fournis.

On peut aussi y voir l’opportunité d’améliorer la qualification et la montée en compétence des collaborateurs.

A qui va réellement profiter le RGPD ?

C’est l’utilisateur qui va réellement être bénéficiaire de ce nouveau règlement. L’utilisateur final est mis au cœur du dispositif règlementaire et c’est lui que l'on va chercher avant tout à protéger en adoptant une démarche éthique.

 

(1) Données sensibles : données de santé, orientations sexuelles, opinions politiques, philosophiques, syndicales, infractions, condamnations.
(2) : 10 à 20 millions d’euros d’amende, ou 2 à 4 % du chiffre d’affaire annuel mondial, le montant le plus élevé étant pris en compte.