Le Règlement européen sur la protection des données : pourquoi et comment s’imposera-t-il aux entreprises?
Par Julien Hervy, Consultant en Connaissance et Expérience Client (Indépendant)
Un texte d’une centaine d’articles pour un Règlement Européen relatif à la protection des données personnelles, c’est ce qu’il fallait pour espérer instaurer un climat de confiance entre les entreprises et leurs clients et pour protéger la vie privée de millions de citoyens européens. Ce texte adopté définitivement en avril 2016, qui doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique, entrera en vigueur le 25 mai 2018.
«La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental.» Charte des droits fondamentaux de l’UE
Pourquoi un tel règlement sur les données personnelles?
Alors que le CES 2018 avec son lot d’objets connectés, de systèmes d’Intelligence Artificielle et de véhicules autonomes vient de se clôturer, la circulation de nos données privées inquiètent en plus haut lieu. A travers ces nouvelles règles du contrôleur européen, c’est tout un processus de sécurisation de ces données et de transparence auxquelles les entreprises devront bientôt se conformer. Mai 2018 approche et la course à la mise en conformité a démarré.
2 objectifs derrières ce règlement européen:
- Renforcer les droits des personnes, notamment ceux des mineurs.
- Encadrer avant tout les procédures des entreprises qui ont un impact sur la vie privée des utilisateurs, et ce à travers la protection des données personnelles. Ainsi le leitmotiv de cette nouvelle réglementation: privacy by design et by default. Autrement dit, il est question en premier lieu de garantir un niveau élevé de confidentialité et sécurité des données pour protéger la vie privée des citoyens européens.
Concrètement, voici une liste de ce que le RGPD imposera bientôt aux entreprises:
- L’obligation de portabilité des données
- Le droit à modification et à effacement des données
- L’obligation du consentement pour le traitement des données
A noter que ces obligations qui concernaient jusqu’alors principalement «les responsables de traitements», s’imposent désormais dans une certaine mesure aux sous-traitants.
Rapprocher les autorités de l’UE
Nous parlons ici d’un règlement qui, contrairement à une directive, s’applique dans l’ensemble de l’UE sans devoir être transposé dans chacun des États membres au préalable. Les règles énoncées dans le texte que j’évoque plus bas concerne toute entreprise qui traite des données personnelles dans l’objectif de fournir des biens et services à des résidents européens.
Par traitement, il faudra ici comprendre toute manipulation de data dans le cadre de la relation client mais également en amont: lorsqu’il s’agit d’acquisition et de génération de leads. Les autorités de protection nationales sont réunies au sein d’un Comité européen de la protection des données (CEPD) qui sera alors l’interlocuteur unique des entreprises dans l’UE. Une exception cependant dans le cas du traitement transnational de données: les autorités des différents États concernées seront alors juridiquement compétentes.
Comment le règlement s’imposera-t-il aux entreprises?
«Le numérique a rendu le monde aujourd’hui plus pratique qu’il ne l’était il y a 20 ans. Mais la question de la maîtrise des données reste posée. L’enjeu est de savoir à qui nos données seront vendues et comment elles seront utilisées», Antoine Petit, président de l’INRIA
Il reste donc moins d’un an aux entreprises pour se mettre en conformité avec cette règlementation. Qu’est-ce qui les attend exactement?
- La tenue d’un registre de traitements des données devra être systématique pour apporter une certaine transparence sur la gestion des données: conformité, sécurité et confidentialité. L’entreprise doit pouvoir apporter des précisions sur chacun de ses traitements à la CNIL: de la collecte à la destruction des données.
- Chaque entreprise devra mesurer son impact sur la vie privée à travers une étude (Privacy Impact Assessment). Cette mesure répond à un besoin d’anticipation des risques pour apporter davantage de sécurité aux utilisateurs de produits et services. Ainsi, cela comprend l’obligation de portabilité des données, le droit à modification et à effacement des données ainsi que l’obligation du consentement pour le traitement des données.
- La nomination d’un Responsable des Données Personnelles sera obligatoire pour certaines organisations et celui/celle-ci aura pour mission de veiller à la conformité de son entreprise, en collaboration avec sa direction informatique. Bien que fortement conseillée, cette nomination sera obligatoire seulement pour les établissements publics et les entreprises manipulant des données dites «sensibles». Elles devront donc nommer un DPO (Data Protection Officer): hôpitaux, universités, collectivités territoriales, collectivités locales, etc…
Quelles pourraient-être les sanctions?
Pour les réfractaires il existe des sanctions et elles seront lourdes. Pas question de mettre en danger nos vies privées et pour bien le faire comprendre 2 niveaux de sanctions sont prévus.
- D’abord les amendes de premier niveau pour des fautes relatives au consentement des enfants ou au traitement de data ne nécessitant pas l’identification de l’utilisateur ou encore le non respect des obligations générales du responsable de traitement. A ce stade les entreprises encourent jusqu’à 10M€ ou 2% du Chiffre d’Affaires.
- Plus grave, le non respect des principes de base du traitement des données privées (consentement, transparence, effacement, rectification, transfert hors UE, etc.) peut entraîner des pénalités allant jusqu’à 20M€ ou 4% du CA.
Il n’y a plus qu’à se mettre en conformité et à porter beaucoup d’attention aux façons dont son entreprise traite les données. Les offres d’audit et de conseil pour accompagner les entreprises sur le sujet fleurissent.
Plus question de laisser libre court à la collecte de datas utilisateurs.
Bien au fait des pratiques qui consistent à identifier et «tracker» des personnes à travers leurs smartphones/objets connectés, les applications et protocoles via des identifiants, cookies et adresses IP, le régulateur européen entend bien apporter plus de sécurité à ses citoyens. L’effort demandé aux entreprises concerne tout autant le traitement de ces précieuses données que le consentement de l’utilisateur qui devra être explicite et correspondre aux différentes étapes du traitement de ces données: collecte, partage, transfert, etc.
La RGPD qui s’imposera sous peu aura un impact important sur les choix marketing dès lors que le tournant du digital a permis d’enrichir la relation client à travers la collecte massive de données clients. Offrir une expérience unique nécessite de mieux connaître son client, et pour cela il faudra amasser un maximum de donnée personnelles.
C’est donc un combat qui s’engage entre la protection des données et le Marketing prédictif.
«L’amélioration de nos conditions de vie en tant que consommateur passe par l’optimisation de l’Xpérience Client. Le prix à payer pour ce gain en satisfaction? Une transmission massive de données personnelles»
Le contributeur:
Journée spéciale RGPD / Data Protection Officer (DPO) le 20 septembre
Le nouveau Règlement Général sur la Protection des Données (RGPD), mis en application en mai dernier, prévoit la présence d’un Correspondant Informatique et Liberté, ou Data Protection Officer.
- Quelles entreprises sont concernées?
- Qui est ce fameux DPO?
- Quelles sont ses compétences ?
- Est il un frein ou un accélérateur de business ?
Autant de sujets que nous aborderons lors de cette journée spéciale. Pour vous inscrire, cliquez ici, (150 participants maximum).