Le RGPD, chevalier blanc de la Data

La presse et les réseaux sociaux sont en pleine effervescence autour d'un acronyme aussi obscur que récurrent : RGPD (ou PRGD). La preuve en image avec l'évolution de la recherche du terme "RGPD" sur le moteur de recherche Google sur les 5 dernières années (source : Google Trends) : 

Un emballement spectaculaire des recherches effectuées par les internautes depuis la fin de l'année 2017 et la présentation du projet de loi de transposition du règlement européen en droit français en première lecture à l'Assemblée Nationale (voir plus bas).

Le Règlement Général pour la Protection des Données est le nouveau cadre réglementaire européen sur le traitement et la circulation des données à caractère personnel, données généralement exploitées par les entreprises pour proposer des produits ou des services adaptés à leurs clients ou prospects.

Il s'appliquera dès Mai 2018 à l'ensemble des résidents de l'Union Européenne. En France, l'Assemblée Nationale a officiellement adopté la transposition du règlement de Bruxelles à l'échelle nationale le 13 Février 2018 avant de transmettre le texte de loi au Sénat qui devrait - sans grande surprise - l'adopter à son tour dans les prochaines semaines.

Le RGPD s'impose dans un contexte d'explosion du recours aux données (ou data) - collecte et/ou exploitation - dopée par les nouvelles technologies liées à Internet et au digital et qui donne régulièrement naissance à de nouveaux modèles économiques et parfois à des scandales d'envergure internationale dévoilés plusieurs mois après le piratage ou fuite de données de masse (on a encore en tête les cas de Yahoo!, Sony avec ses ID PSN, le site de rencontre Ashley Madison, Orange, Equifax aux Etats-Unis, E-On, Swisscom, SinVR, Cdiscount, LDLC, Digitec.ch, Uber, Instagram, Imgur, Tumblr, et bien d'autres exemples qui viennent gonfler une liste déjà bien longue et qui rappelle que la sécurité des données personnelles est un combat permanent dans un marché ou la data a une valeur indéniable pour celui qui sait la transformer en devise. 

Petit rappel de ce que couvre la notion de donnée personnelle : il s'agit d'une information qui permet d'identifier une personne physique (directement ou indirectement) et qui peut prendre la forme d'un nom, un pseudo ou identifiant, un numéro (téléphone, sécurité sociale...), une photo, une empreinte, une adresse (postale, IP, email...) voire même un enregistrement vocal - bref tout élément susceptible de laisser une trace physique ou dématérialisée.

Il convient d'évaluer la sensibilité de certaines données, en lien avec leur capacité à donner lieu à des préjugés ou à des préjugés comme une orientation sexuelle, une appartenance ethnique ou une situation médicale. Elles nécessitent un cadre réglementaire particulier qui interdit tout collecte préalable sans un consentement écrit, clair et explicité de l'individu source. En France, la CNIL se fait fort de faire respecter ce cadre contraignant pour les organisations désireuses de collecter et d'exploiter ce type de données. 

En ligne de mire, les GAFAM (Google - Apple - Facebook - Amazon), qui sont devenus depuis le milieu des années 2000 de véritables réceptacles à données personnelles collectées au travers des nombreux services et produits que ces poids lourds de l'Internet captent de leurs clients sur de longues durées. 

En 2014, l'Europe - par le biais de la Cour de Justice Européenne - avait obtenu de Google la mise en place d'un droit au déréférencement (ou droit à l'oubli) pour les ressortissants de l'Union Européenne qui souhaiteraient voir supprimer certains résultats de recherche pouvant leur porter une forme de préjudice personnel. Un embryon de RGPD était né.

La RGPD version 2018 instaure de nouveaux droits tels que : 

• le droit à l'oubli menant à la suppression ou le retrait de données personnelles pouvant porter atteinte à la vie privée d'un individu (dans la continuité de l'avancée obtenue auprès du géant Google),
• être informé du piratage ou perte de données personnelles dans un délais court et contraignant pour l'exploitant,
• la portabilité de ses données personnelles en cas de mobilité d'un service ou plateforme à une autre (exemple : service de streaming musical, changement d'opérateur d'accès à Internet, migration d'un réseau social vers un autre, etc.),
• l'obligation pour des utilisateurs mineurs d'avoir l'autorisation préalable de leurs représentants légaux pour s'inscrire à un réseau social,
• la possibilité pour les internautes d'être défendus par des associations représentatives dans la perspectives d'actions de groupe (ou class actions) en cas de non respect de ces droits ou d'utilisation illicite des données personnelles.

Sur la forme, la mise en conformité avec le RGPD concerne toutes les organisations (commerciales ou non, donneur d'ordre ou sous-traitant) établies ou opérant sur le territoire européen, quelle que soit leur taille ou son caractère (privée/publique) qui sont amenées à collecter et/ou exploiter tout type de données personnelles d'utilisateurs résidents Européens. Le champ d'applications et la population concernée s'avèrent donc être extrêmement larges.

Le RGPD fait trembler les entreprises qui doivent se mettre en conformité avec ses dispositions sous peine de se voir infliger de lourdes sanction en cas d'infraction : le plafond d'amende peut atteindre le montant le plus haut entre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial consolidé du dernier exercice précédent la date/période de l'infraction !

Contrairement à ce que l'on pourrait penser, les grands acteurs collecteurs/exploitants de données personnelles ne sont pas forcément les plus à risque dans le domaine car leurs directions juridiques ont largement anticipé l'arrivée prochaine de ce durcissement de la réglementation en faisant évoluer leurs conditions générales d'utilisation des services ou produits nécessitant l'obtention du consentement de chaque utilisateur (la fameuse case à cocher "J'accepte" ou "I agree & understand" dans la fenêtre pop-up de votre application préférée par exemple).

Une attention particulière sera désormais requise de la part des donneurs d'ordre sur leurs sous-traitants susceptibles de manipuler des données personnelles dont le rôle de sensibilisation, évolution de cahier des charges, cadre contractuel et de contrôle et reviendra aux équipes de gestion de projet, achats et/ou juridiques.

Cette petite révolution est une victoire pour chaque individu qui, jusqu'à aujourd'hui, était exposé à l'utilisation à outrance, non maitrisée et surtout potentiellement dangereuse de ses données personnelles - aussi anonymisées soient-elles - sans qu'il en soit forcément pleinement conscient. Les Data Scientists, Big Data Analysts et autres spécialistes formés à la collecte et à l'exploitation de données massives doivent désormais intégrer une part majorée de responsabilité dans leurs méthodes de travail. Et cette responsabilisation implique tout acteur, responsable ou dirigeant de la chaîne de valeur numérique

Le Chief Digital Officer a connu son heure de gloire insouciante et c'est au tour du Digital Protection Officer d'être mis à l'honneur en 2018 pour sécuriser l'or digital que représente la data. Une transformation passionnante à vivre au quotidien et dont la jurisprudence reste à écrire.