A moins d’un an de la mise en application du Règlement Général sur la Protection des Données, plus de la moitié des entreprises estiment ne pas être en mesure d’effectuer leur mise en conformité dans les temps[1] et partagent la crainte des nouvelles sanctions[2]. Cette étape est perçue comme une charge par le responsable de traitement qui n’y voit pas le moindre intérêt économique si ce n’est l’esquive des sanctions[3]. Pourtant, au regard du contexte actuel de prise de conscience par les consommateurs des enjeux liés à leurs données[4] et de fragilisation de la confiance en l’économie numérique, cette conformité constitue un réel atout concurrentiel inédit dont les entreprises doivent se doter.
La médiatisation des affaires de fuites et de vols de données personnelles, ou encore les utilisations abusives de celles-ci par certains responsables de traitement[5] provoquent une prise de conscience collective des enjeux découlant des traitements de données auprès des personnes physiques. Parallèlement l’on observe une multiplication des initiatives éducatives à destination des consommateurs quant à la gouvernance de leurs données, la dernière en date étant une vidéo de sensibilisation réalisée par la chaîne YouTube « Le Rire Jaune », sponsorisée par la CNIL et par la MGEN et qui a dépassé les deux millions de vues[6].
Cette sensibilisation des consommateurs inspirée de la stratégie de l’ICO[7], autorité de protection des données du Royaume-Uni, fut initiée lors de la passation de pouvoir entre Alex Turk et Isabelle Falque-Pierrotin à la présidence de la CNIL et s’inscrit dans une démarche d’accessibilité et de modernisation de l’autorité. Pari réussi puisqu’on recense aujourd’hui plus de 8000 plaintes déposées chaque année auprès de l’autorité française, soit deux fois plus qu’il y a cinq ans[8].
En bref, l’opinion publique se saisit des questions liées aux enjeux de l’exploitation des données[9]. Les alertes n’émanent plus seulement des institutions étatiques ou de quelques rares lanceurs d’alerte, mais des personnes physiques elles-mêmes ; en témoigne la publication sur les réseaux sociaux de conditions d’utilisation attentatoire à la vie privée mises en place dans un grand centre commercial[10].
Conséquence directe, la méfiance est de rigueur chez le consommateur personne physique et impactera à terme les modèles de consommation. Le comportement du consommateur lui-même évolue et ce dernier a pris pour habitude d’exercer ses droits, et notamment son droit d’accès, demande particulièrement lourde à gérer un responsable de traitement non préparé.
Or le non-traitement de l’exercice des droits des personnes concernées attirera l’attention de la CNIL et augmentera de fait le risque de contrôle. Cette dernière oriente désormais son plan d’action en fonction des éléments transmis par les citoyens et c’est ainsi que 75% des contrôles CNIL ont pour origine les plaintes des citoyens et les faits d’actualité[11].
Le considérant 6 du règlement[12] témoigne de la lucidité du législateur européen quant à la perte de confiance des consommateurs envers les acteurs de l’économie numérique et entend y apporter des solutions. C’est par la rationalisation de la collecte de données personnelles que le règlement européen participe au rétablissement de la confiance entre les acteurs économiques[13].
Les obligations de transparence[14] et d’information[15] à la charge du responsable de traitement permettent d’inclure les personnes concernées dans le processus de traitement des données et de les éclairer pour qu’elles puissent décemment exercer leurs droits. Ce pouvoir d’action confié aux consommateurs sur le sort de leurs données impose aux responsables de traitement de démontrer leur capacité à être digne de confiance, et donc de garantir leur conformité au règlement.
L’obligation de protection des données dès la conception et par défaut[16] et les obligations connexes telles que la sécurité des traitements[17] quant à elles apportent des garanties supplémentaires aux personnes et participent au rétablissement du lien de confiance.
Si l’attitude des entreprises face aux problématiques liées à la vie privée et aux données personnelles est déterminante dans les relations BtoC[18], elle l’est également dans les relations BtoB, notamment pour les entreprises spécialisées dans la sous-traitance de traitement, également concernées par le règlement, et auxquelles les responsables de traitement ne feront confiance, donc ne confieront des missions, qu’à la condition de respect des principes et obligations du règlement. Pareillement, la conformité doit être l’impératif des services de ressources humaines car révélatrice d’un environnement de travail sain et sécurisé.
Au-delà de la réponse apportée au principe d’accountability[19], le choix de la conformité GDPR est un investissement en termes d’image d’entreprise et, partant, devient une stratégie marketing et non plus seulement juridique.
Existant déjà dans la loi informatique et libertés[20] et délivrée par la CNIL[21], la certification se voit consacrée à l’article 42 du GDPR. Outre son objectif de démonstration de conformité, la certification permet à l’entreprise responsable de traitement d’afficher publiquement ses engagements et choix faits en matière de respect des personnes physiques et de leurs données. La délivrance d’une certification s‘accompagne de l’apposition d’un macaron distinctif et reconnaissable par le consommateur. L’attention grandissante des consommateurs quant au sort de leurs données confère une forte valeur ajoutée à cette certification. Pour rappel, un consommateur français sur deux reste vigilant quant au sort de leurs données[22].
Délivrée pour trois ans, son obtention requiert souvent l’assistance d’un délégué à la protection des données afin de satisfaire aux différentes démarches, mais aussi afin de sélectionner l’organisme de certification adéquat. L’utilité actuelle de la certification est en effet à nuancer compte-tenu du nombre élevé d’organismes de certifications différents[23] et de l’appréhension qu’en ont les consommateurs.
A ce sujet, il aurait été souhaitable que le règlement européen prévoie des dispositions de restriction du nombre d’organismes[24], notamment en durcissant les conditions d’agrément de ces organismes, ou en mettant directement en avant l’initiative de la commission européenne TRUESSEC[25] qui vise à établir un label européen de confiance en l’économie numérique et qui prévoit d’intégrer les problématiques liées aux données personnelles.
Il est important de rappeler que le suivi des principes et obligations du règlement renforce l’efficacité des solutions techniques de traitement des données. L’agglomération à outrance des données personnelles, typique du Big Data, risque de provoquer un engorgement des systèmes de traitement et donc le parasitage des processus de prise de décision au sein de l’entreprise[26]. La valorisation d’une base de données résulte non pas de la quantité de données brutes, potentiellement inutilisables car erronées, mais de leur qualité et de leur utilisation adéquate.
Légalement reprise au travers du principe d’exactitude[27], cette capacité de la base de données à être exploitée le plus rentablement possible, ou accuracy, doit être l’objectif premier du responsable de traitement. Le soin apporté à la véracité des données dès leur collecte et tout au long de leur cycle de vie participe du retour sur investissement de la base pour son producteur, tant en matière d’utilisation que de valorisation pure. Alors-même qu’une base de données erronée peut par exemple réduire significativement l’efficacité d’un plan marketing coûteux, la précision des données collectées et conservées permettra de renforcer les stratégies mises en œuvre par l’entreprise, et donc de les rentabiliser. L’on conseillera donc aux responsables de traitement de mettre en place les mesures de gouvernance nécessaires au filtrage des données au moment de leur collecte et d’opérer constamment un nettoyage actif de la base[28].
En passant sous silence les critiques qui s’élèvent quant à la gouvernance des algorithmes de scoring[29], l’utilisation adéquate des données personnelles, ou Smart Data, constitue véritablement le nouvel enjeu en matière de collecte, conformément aux principes de détermination des finalités et de minimisation de la collecte[30].
Télécharger notre Livre Blanc sur « Les outils RGPD, comment s’y retrouver ? » pour vous aider à y voir plus clair et trouver l’outil qui vous convient le mieux.
[1] http://www.sekurigi.com/2017/05/conformite-gdpr-50-entreprises-ne-pretes/
[2] Amende de 20 millions d’euros ou 4% du chiffre d’affaire, interruption et cessation des traitements, illicéité des bases de données.
[3] http://www.zdnet.fr/actualites/rgpd-pourquoi-les-entreprises-sont-elles-si-reticentes-39853676.htm
[4] http://www.lemonde.fr/pixels/article/2017/06/24/les-francais-se-disent-plus-prudents-avec-leurs-donnees-personnelles-sur-internet_5150603_4408996.html
[5] https://www.cnil.fr/fr/facebook-sanctionne-pour-de-nombreux-manquements-la-loi-informatique-et-libertes
[6] https://www.youtube.com/watch?v=U7xOBOnQ0G4
[7] Information Commissioner’s Office
[8] CNIL, Jeu de données « plaintes », accessible sur https://www.cnil.fr/fr/opendata
[9] http://www.itespresso.fr/donnees-personnelles-prise-conscience-appelle-transparence-90418.html?inf_by=596f1886681db8b02b8b4a94
[10] http://lexpansion.lexpress.fr/high-tech/comment-le-centre-commercial-des-quatre-temps-a-traque-ses-visiteurs_1927269.html
[11] https://www.cnil.fr/sites/default/files/atoms/files/cnil-37e_rapport_annuel_2016.pdf
[12] « L’évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. L’ampleur de la collecte et du partage de données à caractère personnel a augmenté de manière importante. Les technologies permettent tant aux entreprises privées qu’aux autorités publiques d’utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. De plus en plus, les personnes physiques rendent des informations les concernant accessibles publiquement et à un niveau mondial. Les technologies ont transformé à la fois l’économie et les rapports sociaux »
[13] Règlement (UE) 2016/679 du 27 avril 2016, considérant 7.
[14] Règlement (UE) 2016/679 du 27 avril 2016, article 12.
[15] Règlement (UE) 2016/679 du 27 avril 2016, article 13.
[16] Règlement (UE) 2016/679 du 27 avril 2016, article 25.
[17] Règlement (UE) 2016/679 du 27 avril 2016, article 32.
[18]https://www.alliancy.fr/etudes/securite/2017/02/27/etude-la-protection-des-donnees-personnelles-un-frein-pour-le-consommateur
[19] Règlement (UE) 2016/679 du 27 avril 2016, article 5 deuxièmement.
[20] Loi n°78-17 du 6 janvier 1978, article 11.
[21] https://www.cnil.fr/fr/les-labels-cnil
[22] https://home.kpmg.com/fr/fr/home/media/press-releases/2017/02/protection-des-donnees-personnelles-frein-consommateur.html
[23]http://www.revue-banque.fr/risques-reglementations/article/les-labels-protection-des-donnees-personnelles-son
[24] Règlement (UE) 2016/679 du 27 avril 2016, article 43.
[25] https://www.digitalcatapultcentre.org.uk/project/truessec-eu/
[26] http://www.zdnet.fr/actualites/le-plus-grand-probleme-du-big-data-l-integration-trop-compliquee-des-donnees-39839118.htm
[27] Règlement (UE) 2016/679 du 27 avril 2016, article 6.
[28] http://www.journaldunet.com/solutions/expert/67276/passer-du-big-data-au-smart-data-en-10-etapes.shtml
[29] https://www.theguardian.com/technology/2017/jul/16/how-can-we-stop-algorithms-telling-lies
[30] Règlement (UE) 2016/679 du 27 avril 2016, article 6.