RGPD : le monde, l'Espagne et vous

Le RGPD, ou plutôt le Règlement Général sur la Protection des Données va produire une véritable révolution dans la façon dont sont gérées les données dans les entreprises et organisations publiques.

A qui s’adresse ce tout nouveau règlement européen ? A toute entreprise ou organisation publique "qui collecte, traite et stocke les données personnelles des ressortissants européens dont l’utilisation peut identifier une personne », selon le site internet Decideo.

Autrement dit, sont concernées quasiment toutes les grandes entreprises dans le monde, la quasi-totalité des services publics, des ETI et la plupart des PME européens. Restent les TPE qui doivent se poser la question au cas par cas.

Quel est le changement majeur ? C’est l’obligation pour toute organisation en relation avec la public de justifier l’ensemble des traitements de données à caractère personnel qu’elles effectuent (informations disponibles pendant les créations de comptes, d’inscriptions à une newsletter, …).

Un exemple ? Prenons le cas d’un client qui se désabonne d’une newsletter. Ce sera désormais à l’entreprise ou à l'organisation publique de prouver que le changement a bien été effectué et de fournir les détails du traitement, tels que les heures, l’adresse IP, etc. 

L’objectif principal ? Rendre aux consommateurs la maîtrise de leur identité et de l’usage commercial de leurs informations personnelles, une réelle volonté de protection de la vie privée "numérique" en somme. Ainsi, sur demande d'un particulier, ses données pourront être, à tout moment, supprimées, modifiées ou restituées. Tout citoyen européen aura enfin le pouvoir sur l’usage de leurs données, et les techniques modernes de marketing e-Commerce comme le retargetting ou encore les suggestions de produits devront maintenant être explicitement acceptées par les particuliers. Ils auront un accès direct à leurs informations personnelles et en cas de fuite ou d'attaque de leurs données, ils seront informés dans les 72 heures par l’entreprise. En France, la CNIL (Commission Nationale Informatique et Libertés) sera chargée du respect de la réglementation, mais des associations veilleront aussi au bon fonctionnement de cette nouvelle réglementation, et des actions collectives par celles-ci seront autorisées par le législateur.

Facebook condamné en Espagne

Alerte News : Facebook se voit recevoir une amende d’1,2 million d’euros par le régulateur espagnol des données personnelles.

La cause ? Il aurait exploité les données personnelles de ses utilisateurs espagnols et d’internautes non inscrits à Facebook à des fins de ciblage publicitaire, sans avoir préalablement demandé leurs accords.

Des données sur l’idéologie, le sexe, les croyances religieuses, les goûts personnels ou encore l’historique de navigation auraient été collectées sans l’accord explicite de l’utilisateur.

De plus, Facebook est sanctionné pour avoir collecté des données issues de pages n’étant pas sur Facebook. Je m’explique. Un internaute va naviguer sur une page contenant un bouton « j’aime » et va se voir installer un « cookie » sur sa machine, soit un programme pouvant transmettre des informations à Facebook suivant les pages qu’il visite, entre autres. Qu’il s’agisse d’un internaute qui n’est pas membre du réseau social mais qui a déjà visité une de ses pages, ou d’un internaute qui est un utilisateur de Facebook et qui navigue sur des pages extérieures sans être connecté à son compte, l’effet est le même, des données personnelles sont transmises sans que l’utilisateur ne soit réellement informé. Le problème principal ? Le manque d’informations pour les utilisateurs, qui ne vont pas lire toutes les conditions d’utilisation avant d’accepter par exemple.

N’oublions pas que Facebook n’en est pas à son coup d’essai. Le réseau social avait déjà été condamné en France par la CNIL à 150 000 euros d’amende pour des raisons similaires

Donc 1,2 M€ d’amende en Espagne, versus 150.000 € en France pour la même entreprise et presque les mêmes motifs. Et surtout, avant même que le RGPD et ses possibilités nouvelles de fortes pénalités ne soient entrés en vigueur !

Rappelons-les : un maximum de 4% du CA mondial ou 20 M€ dans le cadre du RGPD. Cela peut représenter beaucoup d’argent !

Pourtant, seulement 4 sociétés sur 10 ont pris conscience des enjeux du RGPD en 2017. Le secteur public se prépare à son rythme et les chiffres concernant les entreprises privées semblent converger pour dire que 80% des entreprises ne seront pas en conformité en mai 2018.

Que va-t-il se passer après le 25 Mai 2018 ?

Le RGPD est nouveau à plus d’un titre. Voici au moins 4 raisons majeures qui le distinguent de la célèbre "loi Informatique et Libertés" qui avait récemment été renforcée en France par la "loi pour la République Numérique", adoptée le 8 octobre 2016.

D’abord, il s’agit d’un règlement européen qui sera appliqué à toutes les entreprises du monde le même jour, le 25 mai 2018.

Ensuite, les sanctions financières maximales sont devenues tellement élevées qu'elles obligent toute organisation privée ou publique à se poser la question du risque pris en cas de non-respect de la réglementation. L'organisme de contrôle espagnol montre la voie de la rigueur dès aujourd’hui et son champ d'action concerne toutes les entreprises du monde exerçant en Espagne. Ne doutons pas que les autres pays européens prendront exemple. D'autant plus que la coopération entre pays est déjà établie, notamment au sein de ce qu'on appelle désormais le G29.

Ensuite, chaque organisation sera seule responsable du respect du RGPD. Plus question de faire une demande préalable à la CNIL qui permettait de dormir en paix. Désormais, plus d'autorisation préalable, mais une obligation de respect du RGPD de tout instant, notamment par la tenue d'un registre.

Enfin, le droit à l'oubli ou à la récupération de ses données par chaque citoyen européen va nécessiter de sacrés changements dans l'organisation et les outils des systèmes d'information !

Le RGPD, c’est quoi pour mon entreprise ou mon organisation ? Un règlement unique qui m’obligera à modifier profondément la façon dont je gère et protège mes données. Il touchera d’abord les données à caractère personnel ou sensible, mais aussi, par ricochet les autres types de données.

Le règlement lui-même est encore l’objet de nombreuses interprétations. Les exégètes de ce sacré règlement sont nombreux ! La "jurisprudence" mettra du temps à s’établir. Le voyage va encore être long avant d’avoir une vision totalement clarifiée du règlement …

Alors faut-il attendre ? Faut-il faire partie des entreprises et des organisations qui n'auront rien fait et qui permettront d’éclairer le règlement, d’établir la jurisprudence au risque d’être lourdement touché au portefeuille ? N’y aurait-il pas une certaine prudence à lancer les opérations dès aujourd’hui ?

Préconisations de la CNIL pour lancer la mise en conformité RGPD

En effet, les outils pour faire la cartographie de vos données et de vos traitements existent, la traçabilité de votre sécurité informatique est possible, les outils pour alimenter le fameux registre opposable à la CNIL existent aussi, les formations pour les non moins fameux Délégués à la Protection des Données existent également, bref, on dispose de tout l’outillage, pour respecter l’essentiel de l’esprit du RGPD.

Beaucoup d’entreprises sont encore dans une démarche de réflexion, alors que le délai restant avant l’échéance obligatoire d’application du RGPD semble si court qu’on ne voit pas qui sera complètement prêt en temps et en heure.

Et nul doute que plus l’échéance approchera, plus les conseils et consultants spécialisés seront rares et chers.

Conclusion : Comment se préparer ?

Alors que faire ?

Vous pouvez commencez par mettre en place des outils de connaissance et de protection de vos données !

C’est un vaste sujet à lui seul, certes. Mais vous aurez au moins quelque chose à dire à la CNIL en cas de contrôle !

Idem pour la sécurité, des outils remarquables permettent de renforcer vos moyens de contrôle sécuritaire et pas uniquement pour le simple respect du RGPD !

Par contre, les consultants capables de vous accompagner dans la mise en oeuvre de ces outils vont être de moins en moins disponibles !

Alors n’attendez pas, agissez tant qu’il y a encore de l’expertise disponible au sein des ESN (Entreprises de Services du Numérique).

Eric Lieure