LA RGPD, 5 grands axes de changement pour les entreprises

La RGPD ou Régulation Générale de la Protection de la Data est la nouvelle réglementation européenne qui vise à renforcer la protection des données personnelles et qui va chambouler la gouvernance de la data au sein des entreprises, elle est entrée en vigueur en mai 2016 et sera applicable courant 2018.
L’objectif principal étant « d’harmoniser le protection […] des personnes physiques en ce qui concerne les activités de traitement et [d’] assurer le libre flux des données à caractère personnel entre les Etats membres ». La RGPD va donc avoir un impact direct sur les entreprises traitant des données personnelles mais également sur les clients qui vont reprendre le contrôle de leurs données.

Pour les entreprises l’application de cette nouvelle réglementation va les pousser à être transparents avec leurs clients sur l’utilisation des données récoltées, d’adopter une nouvelle politique de protection des données et de revoir les rôles de chacun en interne.

Le texte a trois objectifs : consolider les droits des personnes physiques, renforcer les pouvoirs des autorités européennes et responsabiliser les entreprises qui traitent les données à caractère personnel. 

  • Le DPO, ou Data Protection Officer.

Les entreprises et institutions amenées à traiter des données personnelles à grande échelle devront recruter un Data Protection Officer (un délégué à la protection des données personnelles) qui aura pour principale mission de s’assurer que son

 

employeur ou son client respecte la législation dès lors qu’il utilise les données récoltées à des fins commerciales ou internes (logiciels RH). Il doit donc avoir une vision 360° de l’utilisation des données personnelles, un rôle transversal qui l’amène à travailler avec tous les services d’une entreprise (direction générale, marketing, développement ou encore les ressources humaines).

Pour ce faire le DPO doit être impliqué dès le lancement du projet, procéder à la cartographie des données personnelles ainsi qu’aux processus de traitement tout en préconisant une politique de sécurité et de confidentialité adaptée. Pour ne jamais être dans le flou et risquer un manquement le DPO doit contrôler périodiquement la conformité de l’entreprise (ou de son client) sur l’utilisation des données personnelles en engageant des actions d’analyses d’impacts, de risques et d’intrusion afin d’avertir l’intéressé d’une possible violation de la RGPD. Voir une fiche de poste du DPO.

  • Jouer la carte de la transparence. 

Qui dit récolte et traitement de données personnelles dit transparence totale. Les entreprises devront déclarer explicitement aux particuliers l’utilisation faite de leurs données, qu’ils pourront alors refuser. En effet la case pré cochée stipulant que l’utilisateur accepte la récolte et le traitement de ses données personnelles à des fins commerciales sera interdite et l’internaute devra alors lui-même cocher « oui » ou « non ». Les institutions devront également communiquer aux consommateurs toutes failles ou vol de ces données lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques afin qu’elles puissent prendre les précautions qui s’imposent.

La Responsabilité (l’accountability), principe fondamental du pacte européen consiste à responsabiliser les entreprises  qui devront être en mesure de prouver à tout moment qu’elle respectent les lois relatives à la protection des données personnelles en fournissant une documentation détaillée.

  • La protection des données personnelles

Par ailleurs les entreprises auront interdiction de transmettre les données personnelles d’un citoyen européen hors de l’Europe, les forçant ainsi à ne plus utiliser les services de sociétés étrangères (américaines, asiatiques etc.)
Et ce, que l’entreprise soit établie en Europe ou non car la RGPD concerne toutes les entreprises traitant des données personnelles de citoyens européens et opérant sur ce marché.

Il sera également plus difficile pour les entreprises de récolter les données de mineurs car elles seront tenues d’utiliser un vocabulaire simple et compréhensible par les moins de 18 ans, ne pouvant ainsi plus les désorienter quant à l’usage final de leurs données. Par ailleurs le consentement d’un parent ou du tuteur légal sera nécéssaire pour valider la récolte et le traitement de données personnelles d’un mineur.
Pour que cette notion de protection des données soit respectée les acteurs devront intégrer nativement dans les solutions, applications (CRM, ERP, MDM…) et les « cloud service providers »  les normes de sécurité mises en place sur l’ensemble du cycle de vie des données.

  • Le vrai droit à l’oubli

Le droit à l’oubli des données personnelles d’un particulier est maintenant possible. Ce dernier peut contacter l’entreprise en lui demandant de désactiver et/ou de supprimer, définitivement ses données. A ce moment là l’entreprise n’a pas d’autre choix que d’exécuter la demande, sous un délais de 30 jours. Certains acteurs verront ce changement comme une menace à leur fonctionnement, perdant ainsi définitivement les données de leurs utilisateurs. En réalité ce qu’il faut retenir ici est que le client est replacé au centre du processus de réflexion de protection de la vie privée et en respectant le choix du consommateur l’entreprise maintien le lien de confiance instauré préalablement.

  • La portabilité des données.

La RGPD impose aux entreprises de mettre à disposition des particuliers qui le demande leurs données personnelles, dans un format structuré et lisible. Il sera également possible de demander à l’entreprise de transférer, dans la mesure du possible, directement ses données à une autre entreprise. Les modalités d’application de ce droit restent encore floues aujourd’hui mais sa mise en oeuvre constituera un défi technique important, forçant probablement les acteurs d’un même secteur à travailler ensemble.

Bien évidemment cette nouvelle réglementation est cadrée par des sanctions. On remarque plusieurs niveaux :

  • faible : rappel à l’ordre
  • élevé : en fonction des articles du règlement non respectés des amendes administratives allant de 10 à 20,000,000 euros ou de 2 à 4% du chiffre d’affaire annuel mondial. Le montant le plus élevé sera ici retenu.

Malgré le caractère très strict des dispositions de la RGPD qui peut donner de la protection des données personnelles une image négative, nous pensons au contraire que l’existence d’un tel cadre unifié constitue, pour les entreprises européennes, une réelle chance de se différencier dans la compétition mondiale en mettant en avant un souci constant de protection des intérêts des consommateurs et des citoyens. Elle permet aussi d’augmenter la confiance de leur client à leur égard et de valoriser la qualité de la donnée. On ne parle plus de « Big Data » mais de « Smart Data ».

Vous avez jusqu’au 25 mai 2018 pour être en règle et adopter tous les nouveaux éléments de la RGPD. Nous sommes à votre disposition pour vous accompagner dans ce processus complexe.