Reprendre le contrôle
Par Philippe Rioux
La grande marche de l'histoire de la construction européenne a souvent été balisée par des sigles : la CECA (communauté européenne du charbon et de l'acier), la CEE (Communauté économique européenne), la PAC (politique agricole commune) ou encore l'ECU (European Currency Unit, ancêtre de l'euro). Demain, il faudra sans nul doute y rajouter RGPD pour règlement général sur la protection des données personnelles. Car ce règlement, transposé dans la loi française, est une avancée majeure pour mieux protéger les citoyens dans le domaine du numérique, à l'heure où leurs données personnelles sont devenues de l'or pour les géants d'internet que sont les fameuses GAFAM (Google, Amazon, Facebook, Apple, Microsoft). Le RGPD, qui s'impose dans toute l'Union européenne, apparaît comme une avancée politique, sociétale et économique.
Avancée politique d'abord. À l'heure où d'aucuns doutent de l'Europe, critiquent son fonctionnement ou veulent la quitter, voilà qu'elle prend une décision politique forte et concrète dans la vie quotidienne des Européens. Et cette volonté politique qui a résisté non sans mal à tous les lobbies et toutes les chausse-trapes bruxelloises doit beaucoup à la Commissaire européenne à Concurrence, la pugnace Margrethe Vestager. En imposant sous peine de sanctions un cadre contraignant pour la collecte et le traitement des données personnelles de ses ressortissants, l'Europe envoie ainsi un message clair aux GAFAM. Elles ne pourront plus collecter sans vergogne et sans leur consentement explicite des données, comme cela fut le cas lors du scandale Cambridge Analytica qui vient de secouer Facebook.
Avancée sociétale ensuite. Le RGPD apporte enfin une réponse aux inquiétudes des internautes quant à la confidentialité de leurs données. Notre sondage montre combien cette question est devenue capitale pour les Français. À leur défiance légitime face aux GAFAM, le RGPD apporte un cadre de confiance, respectueux de leur vie privée et leur redonne le contrôle sur leurs données numériques. Avancée économique enfin car le RGPD, en posant un nouveau cadre, peut permettre que les entreprises européennes jouent désormais avec les mêmes règles face à des GAFAM dont la puissance financière les met au niveau des États. Et notre sondage montre d'ailleurs que les internautes sont demandeurs de logiciels et services alternatifs, européens.
Le RGPD est donc une belle avancée. Faut-il aller encore plus loin ? Instaurer davantage de régulation, de contraintes ? Certains le réclament, excédés par les pratiques déloyales des GAFAM qui, par cynisme et intérêt financier, ont rompu la confiance et jeté la suspicion sur toutes les collectes de données, fussent-elles utiles et respectueuses. Pour assurer le succès du RGPD, l'Union européenne va ainsi devoir montrer sa détermination à faire appliquer les nouvelles règles, mais aussi rester souple pour ne pas décourager l'innovation numérique qui se construit dans les grands groupes européens à Paris ou à Berlin, dans les PME ruthénoises ou les start-up toulousaines.
Mieux protégés
avec le RGPD
Vendredi 25 mai entre en vigueur le règlement général européen de protection des données personnelles (RGPD). Un évènement à l'heure où la défiance envers les géants du Net n'a jamais été aussi grande et le besoin de respect de la vie privée en ligne aussi important.
Ce vendredi va entrer en vigueur le règlement général européen de protection des données personnelles (RGPD). Ce nouveau cadre réglementaire, arraché de haute lutte par l'Union européenne et notamment par l'opiniâtre commissaire européenne à la Concurrence, la danoise Margrethe Vestager, va apporter plus de protection aux internautes européens en leur donnant davantage de contrôle sur leurs données numériques.
Le choc du scandale Cambridge Analytica / Facebook
L'entrée en vigueur de ce RGPD est d'autant plus importante qu'elle survient après plusieurs piratages d'ampleur qui ont affecté ces dernières années de grandes sociétés du Net comme Google, Yahoo ou Twitter qui se sont fait voler des données de leurs utilisateurs. Prise de conscience Le RGPD arrive aussi alors que Facebook, le réseau social aux plus de 2 milliards d'utilisateurs est embourbé dans le scandale Cambridge Analytica. L'utilisation par cette société britannique des données de 87 millions d'utilisateurs Facebook sans leur consentement pour leur diffuser notamment des messages à caractère politique, a créé un choc finalement salutaire puisqu'il a permis une réelle prise de conscience.
Celle-ci s'est traduite aussi en France comme le montre notre sondage BVA-La Dépêche sur «Les Français et les données personnelles» réalisé dans le cadre de l'Observatoire de la vie quotidienne des Français. Notre enquête montre également que 55 % des Français déclarent avoir entendu parler du RGPD, ce qui est une bonne chose. Toutefois, 12 % seulement savent précisément de quoi il s'agit. Il reste donc encore de la pédagogie à faire pour que les internautes connaissent leurs nouveaux droits.
Pégagogie et casse-tête
Cette pédagogie a d'ailleurs commencé puisque toutes les entreprises (Facebook, Twitter, Amazon, etc.) ou organismes qui collectent et traitent des données ont écrit ces dernières semaines à leurs utilisateurs pour qu'ils acceptent de nouvelles conditions générales d'utilisation conformes désormais au RGPD. Facebook a même fait de la publicité dans la presse. L'Union européenne de son côté a déployé plusieurs pages internet et la Commission nationale de l'informatique et des libertés (Cnil) délivre explications et conseils, particulièrement vers les entreprises et les collectivités territoriales.
Car si les citoyens peuvent se réjouir de l'arrivée du RGPD et son cortège de nouveaux droits, beaucoup d'entreprises ou d'organismes qui collectent des données de leurs clients ou usagers se trouvent face à un casse-tête pour se conformer dans les temps aux nouvelles obligations. Car non seulement elles doivent nommer un délégué à la protection des données (DPO, Digital Protection Officer) qui veillera au bon traitement des données collectées, mais elles doivent aussi informer leurs propres salariés qui manient aussi des données. Certaines PME-TPE peuvent trouver la tâche insurmontable même si de nombreuses sociétés ou cabinets juridiques proposent des aides. Et elles craignent les sanctions en cas de non-respect du RGPD (4 % du chiffre d'affaires, ou 20 M€ maximum)…
Heureusement, la Cnil a prévu une tolérance si l'entreprise a entamé des démarches mais qu'elles n'ont pas encore abouti le 25 mai.
Données personnelles : les Français lucides et inquiets
Notre sondage BVA-La Dépêche «Les Français et les données personnelles» réalisé dans le cadre de l'Observatoire de la vie quotidienne des Français illustre la prise de conscience qui s'est fait jour dans l'opinion quant à la nécessité de voir ces données mieux protégées.
Réalisée après le scandale Cambridge Analytica – cette société britannique qui a capté sans leur consentement les données de 87 millions de membres du réseau social Facebook – notre enquête montre aussi que les Français craignent d'être victimes de cybercriminalité.
Sentiment d'insécurité
«Seuls trois Français sur dix considèrent qu'aujourd'hui la confidentialité de leurs données personnelles sur internet est correctement assurée (30 %) contre 70 % qui estiment le contraire. Un sentiment d'insécurité encore plus marqué auprès des personnes âgées de 50 ans et plus (74 %)», explique Blandine Tardieu, directrice d'études chez BVA. «Dans le détail, qu'il s'agisse de leurs coordonnées personnelles (numéros de téléphone, adresse…) (78 %) ou de leurs documents privés (photos, vidéos, courriels…) (67 %), la majorité des Français se montrent inquiets quant à la protection de leur vie privée sur internet», poursuit l'institut BVA.
Notre sondage montre tout particulièrement une approche générationnelle de ces questions : 74 % des plus de 50 ans se disent inquiets sur la confidentialité de leurs données quand les moins de 35 ans se disent confiants à 34 %. 84 % des plus de 65 ans sont inquiets pour leurs données personnelles et 71 % des plus de 50 ans sur leurs documents personnels. Des taux qui peuvent s'expliquer par la hausse des tentatives d'hameçonnage (phishing) par courriel, qui, depuis plusieurs années, font beaucoup de victimes chez les seniors.
A contrario, plus à l'aise avec les outils numériques, 42 % des 25-34 ans estiment que leurs documents personnels ont une confidentialité bien assurée sur internet.
Peur de voir ses données bancaires piratées
Les Français estiment en revanche que la confidentialité de leurs données bancaires est mieux assurée : 66 % ont ainsi confiance, ce qui montre que les banques françaises ont su établir des protocoles de sécurité pertinents, par exemple la double authentification des achats sur internet (par l'envoi d'un SMS ou l'identification vocale à la Banque postale), mais aussi que le législateur a voté les réglementations adéquates quant aux remboursements de sommes payées en cas d'utilisation frauduleuse des cartes bancaires par des pirates.
Le piratage de données bancaires est justement la principale crainte des Français : pour 71 % d'entre eux, c'est le risque n° 1, loin devant le piratage des informations personnelles (36 %), la protection des enfants (28 %), le piratage des documents personnels (24 %) et l'impossibilité de supprimer des informations les concernant sur internet (24 %).
Surtout les Français s'estiment en première ligne face aux pirates. «Le risque de se faire pirater est jugé bien plus important pour les particuliers (88 %) que pour les entreprises des secteurs stratégiques nationaux (eaux, électricité…) (73 % de risque important), les services de l'État (Sécurité sociale. Direction des impôts…) (67 %) ou les hôpitaux (66 %)», observe Blandine Tardieu.
Vraie défiance face aux géants d'internet
Échaudés sans doute par les divers scandales de piratage de données personnelles à grande échelle qui ont touché les géants du Net (Google, Yahoo, Twitter) et par l'affaire Cambridge Analytica, les Français expriment une vraie défiance envers les GAFAM (Google, Amazon, Facebook, Apple, Microsoft). «Moins d'un quart des Français (23 %) se disent sereins sur la manière dont ces acteurs d'internet utilisent leurs données personnelles contre 77 % qui se disent au contraire inquiets.», indique notre sondage. «Une inquiétude sans doute liée à leur influence dominante : près d'un Français sur deux considère que ces géants du web ont plus de pouvoir que les États (47 %) et plus d'un tiers qu'elles sont tout aussi puissantes (35 %)», poursuit BVA.
Un avis partagé par certains élus, notamment des eurodéputés qui, lors de l'audition de Mark Zuckerberg mardi dernier à Bruxelles, ont évoqué le démantèlement du monopole Facebook. «Les Français sont majoritairement enclins à utiliser des services alternatifs à ceux délivrés par les GAFAM tels que des navigateurs internet non traditionnels (autre qu'Intemet Explorer ou Chrome) (71 %) ou des moteurs de recherche autres que Google (70 %). Ils semblent un peu plus mitigés concernant l'utilisation des réseaux sociaux alternatifs à Facebook ou Twitter (49 %)», explique Blandine Tardieu.
Un constat encourageant pour les acteurs alternatifs comme le moteur de recherche Qwant ou les outils que propose la remarquable fondation Framasoft qui propose de «degoogliser» sa vie numérique.
Ph. R.
«Protéger la donnée personnelle tout en favorisant l'innovation»
Interview de Christophe Alcantara, spécialiste de l'e-réputation, enseignant chercheur en sciences de l'information et de la communication — IDETCOM Université Toulouse 1.
Le règlement européen de protection des données personnelles entre en vigueur demain. Est-ce une nouvelle ère qui commence ?
Oui. L'Europe pour une fois prend la main sur la mise en œuvre de la protection des données sous l'impulsion d'une unique personne, la Commissaire européenne à la Concurrence Margrethe Vestager. C'est elle qui a demandé aux GAFAM de transiger et comme ils n'ont pas accepté croyant que l'Europe était faible, aujourd'hui elle les contraint. Car le RGPD s'applique aux acteurs européens bien sûr mais aussi à ceux qui sont hors de l'UE mais qui utilisent des données de ressortissants européens. Pour les GAFAM, l'Europe est une région «solvable» avec ses 600 millions d'internautes, donc ils sont obligés de transiger.
Notre sondage montre que les Français considèrent les GAFAM comme étant aussi puissantes que des États. Vont-elles réellement respecter le RGPD ?
Les GAFAM ne vont pas avoir le choix dans un premier temps puisque ça va s'imposer à elles et l'UE n'aura pas peur de faire au besoin un ou deux exemples. Là où je rejoins votre sondage – qui prouve que les gens sont bien plus fins que nos décideurs le pensent – c'est que les lobbies vont se mettre en place pour trouver des moyens de transiger et d'être dans le cas exceptionnel. On l'a vu d'ailleurs avec l'audition de Mark Zuckerberg mardi devant le Parlement européen. Il a dit en substance que Facebook devait conserver des données d'internautes qui n'utilisent pas son réseau social pour des questions de sécurité.
Qu'est-ce que cela veut dire ?
Les GAFAM sont dans une approche de ce que je nomme la colonisation numérique. Il faut imaginer ces réseaux sociaux comme une toile d'araignée tentaculaire de collecte de données et nous sommes tous touchés. Mark
Zuckerberg a plaidé aussi pour qu'il n'y ait pas une trop forte régulation du secteur pour ne pas freiner l'innovation. A-t-il raison ?
Il faut créer les conditions pour permettre à l'innovation de pouvoir se faire. Mais permettre cela, c'est aussi avoir des garde-fous. Un exemple. Zuckerberg, comme la plupart des GAFAM, s'exonère totalement de la loi antitrust américaine. En réalité, les GAFAM créent tous de véritables trusts. Facebook en a été la parfaite illustration lorsqu'il a racheté en 2014 l'application de messagerie WhatsApp, qui était une innovation.
Les GAFAM ont une capacité financière tellement considérable qu'ils peuvent tuer l'innovation.
C'est-à-dire que les GAFAM ont une capacité financière tellement considérable qu'ils peuvent tuer l'innovation. La capitalisation boursière de Facebook, c'est 530 milliards de dollars, une richesse qui en fait l'équivalent du 20e pays du monde… Pour que l'innovation puisse s'épanouir, il faudrait qu'il y ait une pluralité d'acteurs qui puissent exister indépendamment des géants déjà là.
Or dès qu'une jeune pousse émerge, elle se fait racheter. Pour que le libre-échange, dont l'Europe s'est fait le chantre puisse se faire, il faut que la concurrence puisse s'exercer normalement, que l'innovation puisse se déployer sans être rachetée par le même conglomérat.
C'est la clé de tout. Ensuite, je suis d'accord avec la vision qui dit que la protection de la donnée personnelle doit fixer un cadre avec de la souplesse notamment pour les PME. L'application du RGPD représente pour les PME-TPE un coût important en termes humains et de temps que ne rencontrent pas les grandes sociétés comme Airbus.
Propos recueillis par Philippe Rioux
RGPD dans les entreprises : les 5 idées reçues à oublier
C'est ce vendredi 25 mai qu'entre en vigueur dans les 28 pays de l'Union européenne le RGPD, règlement général sur la protection des données personnelles.
Cette avancée majeure apporte de nouveaux droits pour les particuliers mais aussi de nouvelles contraintes pour toutes les entreprises (de la PME au grand groupe) et pour tous les organismes (associations, collectivités territoriales).
Ces dernières qui collectent et traitent des données auprès de leurs clients ou usagers doivent informer ceux-ci, adapter les conditions générales d'utilisation de leurs services et s'organiser, notamment avec un délégué à la protection des données (DPD).
Si la CNIL (Commission nationale de l'informatique et des libertés), qui aura pouvoir de sanctions, se montrera tolérante sur les délais de mise en oeuvre, les entreprises doivent rapidement s'adapter en évitant les erreurs.
Michael Corcia, Consultant Risk Management chez Blue Soft Group, spécialiste de la transition digitale, nous livre les 5 idées reçues qu'il fait absolument oublier.
Idée reçue n°1 > « La Cnil annonce qu'elle sera pragmatique. Donc, rien ne presse... »
C'est vrai, la Cnil ne compte pas dès le 25 mai envoyer des armadas de contrôleurs pour toquer aux portes des entreprises. Mais ces contrôles vont bel et bien arriver. C'est l'esprit du nouveau règlement général sur la protection des données qui marque un changement de régime.
Avec ce règlement, nous passons de l'ère de la déclaration préalable à celle de la responsabilisation des entreprises et du contrôle a posteriori. Il faut donc non seulement avoir engagé des actions de mise en conformité mais être, aussi, en mesure de le démontrer.
Notre conseil : N'attendez plus, engagez des actions pour identifier les écarts entre l'état actuel de vos traitements et les mesures à prendre pour vous conformer au plus vite au RGPD.
Idée reçue n°2 > « Le DPO, c'est pour les grandes entreprises ou les sites e-commerce »
Le RGPD impose un DPO (Digital Protection Officer) dans plusieurs cas de figure. Notamment pour les organismes publics ou encore pour les entreprises qui manipulent des données à caractère personnel à grande échelle et de manière systématique. Mais, au-delà de ces cas, la désignation d'un tel responsable est fortement recommandée.
Pour une raison simple : au sein de l'entreprise, le DPO joue le rôle d'un conseiller et d'un chef d'orchestre. À lui d'informer les responsables des traitements de leurs obligations et, plus globalement, de mener des actions de sensibilisation. À lui, surtout, de superviser la conformité de l'entreprise avec les engagements qu'impose le RGPD.
Notre conseil : Même si vous n'entrez pas dans les cas de figure décrits par le texte, désignez un DPO pour assurer un suivi réel de ce projet à part entière qu'est la conformité au RGPD.
Idée reçue n°3 > « Puisque nous avons un DPO, les équipes n'ont plus à se soucier du RGPD »
Comme évoqué précédemment, le rôle du DPO est celui d'un conseiller et d'un chef d'orchestre. Il ne peut à lui seul soutenir l'effort de conformité. Voilà pourquoi figure dans ses missions l'information et même la formation des collaborateurs.
Dans une entreprise, chaque personne qui manipule des données à caractère personnel peut potentiellement commettre une erreur. Des responsables commerciaux qui, « pour aller vite », s'échangent des données clients via des comptes email personnels compromis engagent la responsabilité de l'entreprise... Dans la pratique, tous les services (comptabilité, marketing, informatique...) sont concernés et chacun doit revoir (à la hausse) son niveau d'attention dès que des données personnelles sont manipulées.
Si l'effort de conformité est coordonné par le DPO, au quotidien, le RGPD est l'affaire de tous.
Notre conseil : Réunions, brochures, FAQ sur l'intranet... Donnez-vous les moyens de réellement sensibiliser vos collaborateurs au RGPD.
Idée reçue n°4 > « Le RGPD, c'est avant tout un problème de juriste »
La lecture des textes du RGPD donne en effet rapidement envie de déléguer le dossier aux seuls juristes... Ce serait une erreur. Car la mise en œuvre du règlement passe justement par une collaboration étroite entre les compétences juridiques, techniques et les métiers. Prenons le cas d'un projet IoT (Internet of Things).
Dans un tel contexte, il revient aux métiers d'expliquer de quelles données ils ont besoin et, surtout, à quelles fins. Les juristes peuvent alors en déduire les engagements qui s'imposent. Des engagements que les experts techniques doivent traduire en mesures concrètes pour réguler par exemple le stockage et la persistance des données.
Sans surprise, des allers-retours sont à prévoir entre les différents intervenants pour identifier la solution optimale : celle qui répond aux besoins des métiers et s'avère techniquement réalisable tout en garantissant la conformité. Le sujet dépasse donc le champ d'action des juristes.
Notre conseil : Inscrivez dans vos processus des échanges multidisciplinaires pour anticiper tous les prérequis du RGPD.
Idée reçue n°5 > « Nous avons évalué nos processus donc nous sommes désormais conformes »
En effet, se conformer au RGPD impose de mettre à plat les processus pour réaliser des « Privacy Impact Assessment » (PIA). Il s'agit pour chaque processus d'identifier les risques qui pèsent sur les données à caractère personnel et d'engager les contre-mesures qui sont à la portée de l'entreprise. Le chiffrement, par exemple, est l'une de ces mesures.
Bien entendu, les processus d'une entreprise évoluent au fil du temps - c'est le cas dès que de nouvelles offres ou services sont proposés aux clients. Voilà pourquoi ce travail d'évaluation ne peut jamais être considéré comme clos.
Dans la pratique, l'entreprise doit adopter un mode de conception « Privacy by design », autrement dit, s'organiser pour que chaque processus intègre la conformité. Il s'agit par exemple de veiller à ce que le principe de minimisation soit appliqué. Ce que nous pouvons résumer par: « Ce nouveau processus conduit-il à collecter plus de données qu'il n'est nécessaire pour la finalité du service rendu ? ». Chaque création ou évolution de processus doit conduire à expliciter la finalité d'un éventuel traitement de données.
La conformité au RGPD est donc un travail qui s'inscrit dans la durée.
Notre conseil : Confrontez chaque nouvelle collecte de donnée, dès qu'elle est envisagée, à la finalité réelle du traitement. Un réflexe de base pour rester conforme au RGPD.
Les 10 pratiques qui vont changer au travail
Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) entre en vigueur dans tous les pays de l'Union Européenne, instaurant pour les entreprises de toutes tailles des restrictions dans l’utilisation et le traitement des données personnelles de leurs clients, prospects et salariés.
Sage a identifié 10 actions courantes sur le lieu de travail qui devront faire l’objet d’une attention particulière à partir du 25 mai.
1. Célébrer l'anniversaire d'un collègue
La date de naissance d'un collaborateur est une donnée personnelle. Dans le cadre du RGPD, cette information ne peut être partagée sans son consentement formel. Il est donc important de vérifier le consentement de tout le monde avant d'établir un calendrier partagé des anniversaires.
2. Envoyer des cartes de vœux professionnelles
Pour l’envoi des cartes de vœux à ses clients, l’entreprise va également devoir changer ses habitudes. Si les adresses utilisées sont celles de leur domicile, alors il s'agit de données personnelles dont le traitement n’est pas autorisé par le RGPD. Pour qu’il le soit, l’entreprise doit obtenir le consentement préalable de son client. Si ce n’est pas le cas, une base de données règlementaire différente doit être créée pour chaque communication professionnelle envoyée.
3. Partager les photos du bébé d'un collaborateur
Les données personnelles ne peuvent être transférées au niveau international que si le pays a été désigné par l'UE comme assurant un niveau adéquat de protection des données ou en se conformant à un mécanisme de certification approuvé tel que le bouclier de protection de la vie privée Union Européenne-États-Unis. Toutefois, si le partage d'une photo de bébé est considéré comme une activité purement personnelle, l’entreprise peut faire valoir qu'elle ne relève pas du champ d'application du RGPD.
4. Evénements : passer commande au traiteur
Des collaborateurs allergiques aux noix ? Des habitudes alimentaires spécifiques à leurs croyances ? Ces données sont considérées comme des données personnelles. Avant de décrocher le téléphone pour passer commande à un restaurant ou un traiteur, l’entreprise doit s’assurer d'avoir l’accord des salariés concernés pour partager ce type d’information.
5. Transférer le CV d'un candidat pour un deuxième avis
Avant de le transférer, le recruteur ou le collaborateur devra penser à l'anonymiser, en supprimant le nom, l'adresse, le numéro de téléphone et toute autre information qui permettrait d’identifier le candidat. Cette démarche contribue par la même occasion à éliminer les préjugés sexistes ou raciaux dans le recrutement, une tendance de plus en plus courante.
6. Cocher la case d’inscription à une liste de diffusion
Le formulaire d'inscription au site Web de l’entreprise comporte-t-il une case à cocher pour l’accord de ses clients concernant la réception des informations marketing de tiers ? Avec le RGPD, les cases pré-cochées et l'inaction ne suffiront plus à prouver le consentement. Une réécriture des conditions de confidentialité en ligne sera peut-être également à enclencher, car une demande de consentement à l'utilisation de renseignements personnels par une entreprise doit être intelligible et rédigée dans un langage clair et simple.
7. Parler de politique au bureau
Les opinions politiques sont considérées comme des données personnelles sensibles. Bien que déjà prudentes sur l’utilisation de ce type d’informations, les entreprises vont devoir redoubler de vigilance.
8. Signaler une absence pour cause de maladie
L’entreprise ne pourra plus informer d’une absence pour raison médicale ni transmettre des informations sur l’état de santé d’un collaborateur, à moins que celui-ci n’ait consenti à ce que cette information soit partagée avec toutes les personnes qui doivent en être informées.
9. Auditer les données
Dans le cadre du RGPD, les entreprises ont besoin d'une personne désignée comme responsable des questions de protection des données et, dans certains cas, une entreprise peut avoir besoin de nommer officiellement un DPO ou « Délégué à la protection des données » avant de procéder à un traitement à grande échelle des données à caractère personnel. Cette personne désignée est responsable de la sensibilisation aux réglementations en matière de protection des données au sein de son organisation, de la formation du personnel et de la gestion des audits des processus de données.
10. Gérer une atteinte à la protection des données
Dans le cadre du RGPD, si des données personnelles sont accidentellement ou illégalement perdues, détruites, modifiées ou endommagées, l’entreprise doit en informer la CNIL dans un délai de 72 heures. Elle doit également informer toutes les personnes concernées si cela représente un risque élevé pour elles de perte financière, de vol d'identité ou de fraude.
Quel impact du RGPD à l'international ?
Par Hervé Buttignol, responsable des Systèmes informatiques chez Clarion Europe
Avec l'arrivée prochaine du Règlement Général sur la Protection des Données (RGPD), la conformité est au cœur de tous les débats. En Europe bien sûr, mais aussi dans le monde entier, ce mois de mai est le théâtre d'une véritable échéance. La conformité à cet acronyme mystérieux est un enjeu localement, qui rencontre un écho inhabituel au sein des sièges sociaux eux-mêmes, fussent-ils à 10.000 km de Paris ou de Berlin… Les directions se mobilisent pour repenser leurs processus internes.
Harmoniser la gestion des données à l'international
Afin de se conformer au RGPD, les multinationales sont confrontées à une réalité complexe. Présentes sur différents territoires et soumises à des législations nationales, elles ont jusqu'à maintenant appliqué des règles de sécurité et de gestion des bases de données souvent variées. De ce fait, l'harmonisation des processus et la mise en conformité demandera des efforts inégaux pour chacun des pays où elles sont présentes.
Comparées à d'autres entités européennes, les filiales allemandes sont sur ce point clairement en avance, ayant intégré dès le 25 août 2017 déjà les nouvelles exigences européennes en la matière dans sa loi fédérale de protection des données à caractère personnel (New Bundesdatenschutzgesetz, BDSG).
Pour tous, le RGPD devrait être considéré comme une vraie chance de moderniser les processus : nettoyer les bases de données et définir les responsables de traitement, en apportant de la qualité et de la transparence aux bases de données. Données RH, contacts des clients et fournisseurs, documents logistiques : les données qui peuvent être considérées par la CNIL comme sensibles sont présentes dans chaque entreprise.
Le RGPD oblige aussi les multinationales à réfléchir sur la conception de leurs ERP et intranets, et la transmission des données. Est-il nécessaire de les transmettre automatiquement au siège ? Faut-il laisser l'accès à des données d'un pays aux autres entités internationales ? Comment diminuer le nombre de données transférées ?
Puiser dans la culture du groupe : exemple du Japon
Pour mener à bien tous ces changements, il est intéressant de réfléchir à comment la culture du groupe peut y contribuer. Les sociétés japonaises ont la particularité de réagir tout de suite et en amont pour prévenir tout risque. Les documents de sensibilisation, des rapports et de nouvelles clauses de confidentialité sont pour elles autant de moyens déployés depuis des mois pour éviter de contrevenir à la loi. La machine s'est mise en route.
En même temps, le RGPD n'est pas une action ponctuelle, mais un processus qui démarre. Il implique un travail continu tout au long de sa validité, notamment pour respecter le « droit à l'oubli » des utilisateurs, c'est-à-dire l'obligation d'effacer systématiquement des données qui ne sont pas « nécessaires » pour la réalisation d'un contrat par exemple. Les sociétés japonaises, qui mettent au cœur de tout changement la sensibilisation et l'apprentissage, ont sur ce point une vraie force : transformer, tout en accompagnant ses filiales et ses services dans cette transformation, avec cet attachement personnel qui les différencie de tant d'autres cultures.
Le RGPD, un enjeu d'avenir
L'Europe n'est pas toujours au cœur des priorités des grandes multinationales, qui dans leur dynamique de croissance observent de près les grands marchés dominants comme les Etats-Unis, ou les nouveaux vecteurs de développement que sont certains pays émergeants. Le RGPD a été l'occasion de dresser notre continent au milieu des priorités, en imposant à tous une introspection en profondeur. Un travail intense de réflexion doit être fait pour refondre les règles de collaboration entre le siège et les entités européennes… mais pas seulement ! L'exigence européenne a tout d'abord été commentée avec ironie, voire une pointe de mépris par certains observateurs extérieurs. Néanmoins l'actualité mondiale a rattrapé les mises en gardes européennes. Le monde entier comprend l'importance du 25 mai, qui, nous pouvons le penser, sera une date de référence pour tous.
L'enjeu du respect de la vie privée n'est pas européen, il est bel et bien mondial. Quelques semaines auront suffi pour que chacun le comprenne.
Long format "Données personnelles : le big bang du RGPD" réalisé par Philippe Rioux pour La Dépêche du Midi. © Mai 2018.
