Protection des Données Personnelles : l’UE impose de nouvelles normes, même pour les entreprises africaines
Entreprises et particuliers partagent tous les jours davantage leurs données, ce qui a poussé l’UE à légiférer sur leur usage. Le RGPD (Règlement Général sur la Protection des Données) rentrera en vigueur le 25 mai 2018 – dans 6 mois ! Il modifiera en profondeur les mécanismes de conservation et de gestion des données pour les organisations.
Attention, ce nouveau règlement est contraignant, pour toute entreprise, y compris étrangère, qui traite avec les consommateurs européens. En effet, le règlement concernera tous les pays de l’Union Européenne ainsi que les sociétés établies à l’étranger si elles ciblent des résidents de l’UE par profilage, ou si elles proposent des biens et services à ces derniers.
Le virage est complexe à négocier, car il nécessite des changements structurants aux niveaux organisationnel, technique et juridique.
1/ LES PRINCIPALES OBLIGATIONS DU RGPD
« Accountability » La tenue d’un registre des traitements constitue la première des obligations pour les entreprises. Celles-ci deviennent ainsi responsables et garantes du respect de la vie privée. Pour ceux qui connaissent le contexte français, ça remplace la déclaration à la CNIL. Dans ce registre, l’entreprise devra consigner toutes les informations qu’elle enregistre, sous quelle forme, comment elle les met à jour, les sauvegarde, les archive, etc. En cas de litige, ce sera à l’entreprise de démontrer qu’elle est en conformité. Le RGDP introduit aussi une obligation de notification par les responsables de traitement en cas de violation de données à caractère personnel.
« Privacy by design » La prise en compte de la notion du respect de la vie privée devra intervenir dès la conception du site marchand, produit, service, application. Un système d’information insuffisamment sécurisé ne sera pas conforme. L’entreprise doit placer le curseur sur le niveau le plus élevé en termes de protection de la vie privée. Pour chaque traitement spécifique, l’utilisateur doit donner son consentement express : c’est la fameuse notion « d’opt-in ».
« Data Protection Officer » Dernière obligation, les organisations doivent nommer un délégué à la protection des données (DPD ou DPO) pour assurer la mise en place et le suivi du RGPD.
Les autorités de contrôle laisseront 2 ans aux entreprises pour s’y conformer. On s’en fiche ? Non, ça ne rigole pas. En termes de sanction financière, l’enjeu de la « privacy » se hisse à la même hauteur que les délits de corruption et de cartel ! En cas de non-respect, on s’expose au risque d’une amende fixée par la Cour de justice jusqu’à 20 Millions d’euros ou 4% du CA pour les cas les plus graves.
2/ CE QUI VA CHANGER AU NIVEAU « HUMAIN »
Le RGPD va renforcer la protection des consommateurs, leurs données ne seront que « prêtées » aux entreprises. Ainsi, chaque citoyen restera l’unique propriétaire de ces dernières, il pourra exercer tous les droits les concernant.
· Consentement : tout traitement de ses données doit faire l’objet d’une autorisation explicite,
· Possibilité de désabonnement : tout profilage doit être clairement notifié et son désabonnement possible à tout moment (déjà largement répandu),
· Transparence : l’individu a le droit de savoir à quoi servent ses données,
· Respect de la vie privée : tout traitement susceptible d’entrainer des risques élevés sur la vie privée devra faire l’objet d’une étude d’impact,
· Profilage : droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (ça, ça impacte les outils qu’on commence à utiliser),
· Droit à l’oubli : sur demande, le consommateur peut réclamer la suppression de ses données,
· Contact inactif : tous contacts inactifs depuis plus de 3 ans doit être retirés des traitements (bonne nouvelle, vous allez gagner de l’espace disque !),
· Droit à la portabilité : toutes les données d’un individu doivent être exportables directement par l’individu (un détail pratique à prendre en considération dans les spécifications).
Le RGPD redéfinit également le caractère personnel des données. Aujourd’hui, on stocke et déclare :
· Adresse email,
· Numéro de téléphone professionnel (ligne directe),
· Fonction ou intitulé de poste,
· Adresse postale du lieu de travail, de l’entreprise,
Au plus tard en mai prochain, il faudra ajouter :
· Données de localisation (Adresse IP, Données GPS)
· Cookies « first and third party »
· Numéro d’identification, identifiant
· « Scoring » (éléments correspondants à l’identité physique, psychique, génétique ou économique)
3/ CE QUI VA CHANGER AU NIVEAU « DIGITAL »
Le RGPD imposera de prendre en compte la protection du respect de la vie privée dès la conception du produit ou service.
Vous constatez déjà une évolution importante depuis quelques mois dans l’affichage systématique de messages, du fait que le consentement devient explicite et obligatoire : il faudra désormais que les individus effectuent une action délibérée d’inscription, plus communément appelée « opt-in », pour donner l’autorisation aux entreprises de pouvoir traiter leurs données personnelles. Le profilage restera autorisé à des fins marketing tant que la personne en est informée et pourra s’y opposer.
Lors de l’installation d’une app mobile, celle-ci devra demander la validation par l’utilisateur pour tout accès à des données personnelles stockées sur votre smartphone (contacts, agenda…) via une pop-up. C’est déjà le cas, on le voit, pour toutes les grandes applications sur les Play Store et App Store. Si l’utilisateur refuse, éventuellement il n’accèdera pas au service. Cela met une certaine pression sur les éditeurs d’applications, pour que ces informations qui ne sont pas nécessaires à la fourniture du service en question ne soient plus exploitées. A partir de mai 2018, ce cas de figure sera interdit : la collecte de données hors finalité du service (exemple géolocalisation de l’utilisateur pour une application de GPS) sera purement et simplement interdite.
Il faudra, par ailleurs, un formulaire de consentement différent pour chaque type de données.
« Pseudonymisation des données » Autre point pour les développeurs, la séparation des données à caractère personnel qui sont normalement rattachées à une personne. Les informations étant conservées de manière indépendante, il faut avoir recours à des informations supplémentaires pour rattacher ces dernières entre elles, au moyen d’une clé de hachage par exemple.
Non obligatoire à ce stade, son emploi est vivement encouragé dans la mise en place d’une sécurisation du traitement des données.
4/ QUELS IMPACTS POUR LES ENTREPRISES ?
Comme on le voir, le cycle de vie de la donnée est impacté de bout en bout par le RGPD. Par conséquent, la gouvernance doit être renforcée, afin de maîtriser parfaitement les processus métiers et l’architecture qui les supporte.
Il conviendra donc de mettre en place une approche globale de transformation, autour de 8 axes :
1. Stratégie Data
2. Gouvernance des données
3. Organisation et RH
4. Processus métiers
5. Déploiement du RGPD
6. Gestion des données
7. Implémentation technique
8. Juridique
Comment y voir plus clair sur les impacts ?
L’article 35 du RGPD prévoit que lorsqu’un traitement est susceptible d’exposer des personnes à un risque élevé au regard de leurs droits et libertés, le responsable de traitement doit effectuer préalablement une analyse d’impact sur la vie privée (EIVP). Le G29 ou Groupe de travail Article 29 sur la protection des données – organe consultatif européen indépendant sur la protection des données et de la vie privée – a mis en place un processus pour analyser les risques et impacts (https://www.trustandprivacy.eu/lign…).
5/ QUELS IMPACTS POUR LES ENTREPRISES DU NUMERIQUE ?
Au niveau du Système d’Information, on doit déjà s’assurer que tous les outils de travail sont en conformité avec le RGPD en termes de stockage et traitements des données des salariés, sous-traitants, clients et fournisseurs, car la mise en conformité risque de prendre du temps.
Sur le plan de la communication, il faut rebalayer le site web pour prendre en compte les obligations de protection des données. Quelques exemples de fonctionnalités à mettre en œuvre :
· Stockage de la provenance du contact
· Possibilité d’export à la demande des données d’un utilisateur
· Mentions légales à réécrire partiellement
· Formulaire(s) avec case à cocher
· Mise à jour des bases de données avec les données du site
· Système de suppression automatisé des données inactives
· Réexamen des Cookies
Au niveau Organisation, le RGPD impose un nouveau rôle le « Délégué à la Protection des Données » (DPD en anglais DPO pour « Data Protection Officer ») pour les autorités publiques et les entreprises dont l’activité principale repose sur du traitement de données (à grande échelle ou à risque élevé). Même pour les autres entreprises, la mise en place de ce rôle est fortement recommandée. Ce DPO aura pour mission d’assurer un contrôle régulier de la bonne application du RGPD. Concrètement, il lui appartient de s’informer sur les nouvelles obligations, d’assister les décideurs sur les conséquences des traitements, d’en réaliser l’inventaire, de concevoir des actions de sensibilisation, de piloter en continu la conformité et d’assurer la coopération avec l’autorité de contrôle (la CNIL en France, probablement l’INNORPI en Tunisie).
Au niveau Ressources Humaines, il faudra être capable d’assurer la protection des données des salariés en interne, mais aussi des sous-traitants et également des candidats au recrutement. Pour ces derniers, l’entreprise devra être en mesure de tracer la provenance des données recueillies sur les candidats après avoir reçu leur consentement explicite pour les différents traitements (utilisation et réutilisation de la donnée). A ce jour, on est souvent loin du compte !
Pour ce qui concerne le stockage, les systèmes d’encryptage et de pseudonymisation seront à privilégier, de façon à assurer une protection totale des données personnelles. A propos de l’automatisation de certains processus RH, le RGPD impose aussi de tenir chaque individu informé sur la nature et les règles de ces traitements, chaque entreprise doit donc vérifier si ses outils RH permettent bien de respecter le règlement.
Au niveau des Achats/Ventes, les contrats de prestations et de sous-traitance devront être revus pour intégrer de nouvelles clauses tenant compte du RGPD, notamment en termes de partage des responsabilités, d’obligation de notifier tous cas de violation du respect de la vie privée.
Communiqué
