RGPD. Dans la sphère B2B, tout le monde n’a plus que ce mot-là à la bouche (et en tête) avec une question capitale : serons-nous conformes en mai 2018 ? Si certains pensent que, peu importe les outils et les solutions adoptées, personne ne sera vraiment prêt à cette date, d’autres insistent sur le fait qu’il faut prendre le sujet à bras le corps dès maintenant.
Depuis l’intronisation du Réglement général sur la protection des données ou RGPD, on ne s’est jamais autant soucié des données personnelles. Ce fameux règlement entend uniformiser la protection des données dans toute l’Union européenne et mettre à jour le droit européen. Basé sur la directive 95/46/CE de 1995, il renforce le contrôle des citoyens européens sur l’utilisation de leurs données personnelles et fait d’elles un enjeu majeur pour les entreprises européennes. Il change également le type de régulation applicable à ces données, avec moins de contrôle par la Cnil, plus de responsabilisation des entreprises, et un niveau de sanction largement rehaussé. Aussi, il est important de connaître ce règlement et la nouvelle logique de régulation sur laquelle il repose. Et ce, d’autant qu’il impose les nouveaux outils et mécanismes suivants.
1. Nomination d’un DPO (data privacy officer ou délégué à la protection des données)
Véritable chef d’orchestre de la conformité en matière de protection des données personnelles, le DPO a différentes missions :
- informer et conseiller le responsable de traitement (ou le sous-traitant), ainsi que ses employés sur leurs obligations ;
- veiller au respect du règlement et du droit national en matière de protection des données ;
- conseiller l’organisme sur la réalisation d’une analyse d’impact sur la vie privée et d’en vérifier l’exécution ;
- coopérer avec l’autorité de contrôle et être le point de contact de celle-ci.
2. Cartographie des données pour justifier de leur conformité
Le RGPD établit clairement que les données sont la propriété des citoyens. Avec leur consentement, elles ne sont que « prêtées » aux entreprises. D’où l’importance de cartographier les données personnelles afin de pouvoir les identifier, les localiser et établir un registre pour s’assurer notamment :
- qu’une personne a bien donné son consentement explicite pour chacune des données recueillies ;
- que ses demandes de droit à l’effacement ou à l’oubli sont bien notifiées, ce qui inclut également toutes celles concernant son opposition au profilage. Cela permet également de garantir que la personne ne sera pas recontactée ultérieurement ;
- que la durée de conservation associée à chaque information est bien respectée ;
- que la source de la collecte est mentionnée (suite à un salon, un e-mailing, une visite sur un site, etc.).
Ces dispositions sonnent le glas des répertoires et des fichiers Excel individuels détenus par les responsables marketing ou les commerciaux. Car quand un internaute retire son consentement, il est en effet très compliqué de s’assurer qu’il a bel et bien été supprimé de tous les fichiers. Les entreprises devront également vérifier que le droit à la portabilité est respecté. Toute personne qui en fait la demande doit recevoir ses données dans un format structuré couramment utilisé et lisible par un autre organisme. Notez que certains outils logiciels peuvent être utilisés pour faciliter cette cartographie et permettre d’analyser et d’identifier les données personnelles présentes dans l’ensemble de la base documentaire de l’entreprise.
3. La création et la tenue d’un registre des traitements
Celui-ci assure l’inventaire des traitements de l’organisation utilisant des données à caractère personnel (transferts hors UE, notifications, PIA, etc.). Pour chacun de ces traitements, le responsable doit indiquer son type (manuel ou automatique) et les conditions d’exécution (contrat, consentements, etc.). Il fournit ainsi une cartographie des traitements et des durées de conservation. Cet inventaire se fait à l’aide d’un logiciel ou d’automates qui permettent de rassembler les données, qu’elles soient stockées dans des conteneurs (bases de données, fichiers, etc.) ou via des d’écrans d’application (Saas). Ces données peuvent ensuite être classifiées dans différents systèmes, définis en fonction des besoins de l’entreprise. Ce registre doit être conservé non seulement par le responsable du traitement, mais aussi par ses éventuels sous-traitants, et doit pouvoir être mis, à tout moment, à la disposition des autorités de contrôle (la Cnil en France).
4. La création de fiches individuelles
Ces fiches sont issues du registre des traitements et contiennent les informations demandées par les autorités nationales, à savoir : une description du traitement, sa licéité, les données à caractère personnel utilisées, leur durée de conservation, les éventuels transferts, etc. Elles permettront au DPO de faire respecter les droits des personnes (droit d’accès, droit de rectification, droit à la portabilité, droit d’opposition, etc.). Car avec le RGPD, tout individu doit désormais signifier son consentement explicite pour chaque donnée collectée. Ainsi, pour chacune d’elles, il faudra :
- obtenir une acceptation claire résultant d’un acte positif de la personne ;
- indiquer sa finalité ;
- indiquer sa durée de conservation ;
- préciser quels en sont les destinataires.
Ce qui scelle la fin des cases cochées par défaut sur les formulaires en ligne. Ils devront tous comporter des cases à cocher dites :
- d’opt-in pour que l’internaute signifie son consentement à l’utilisation de ses données ;
- d’opt-out pour lui permettre d’y mettre un terme.
Concrètement, tout envoi de mailing, newsletters, courriers ou propositions commerciales devra être accepté en amont par le consommateur. Celui-ci devra également pouvoir choisir d’activer totalement ou partiellement la quasi-totalité des cookies : publicitaires, ceux utilisés à des fins de ciblage et ceux servant aux analyses web.
5. L’anonymisation ou la pseudonymisation des données
Parce que, dans bien des cas, les données sont extraites des environnements de production et sont utilisées dans des contextes non reconnus, et que dans ce cas, les mécanismes de sécurisation ne sont pas opérationnels, il convient d’utiliser des outils de pseudonymisation ou d’anonymisation. La pseudonymisation permet de « camoufler » les données à caractère personnel ou les données considérées comme confidentielles et à remplacer la valeur de la donnée (par exemple un nom : M. Dupont) par une valeur fictive, mais compréhensible (par exemple : Tartampion). Avec l’anonymisation, on ajoute un cran à la sécurité. Il devient dès lors impossible de réidentifier une personne, quels que soient le problème, la faille ou l’attaque.
6. Le privacy by design
L’un des articles du RGPD stipule que seules les données à caractère personnel nécessaires au regard de chaque finalité spécifique du traitement doivent être traitées. Ce qui impose d’éliminer des bases de données toutes données à caractère personnel qui n’ont pas de raison légitime de s’y trouver. Une donnée est, en effet, collectée pour un usage défini. Elle doit servir un intérêt légitime, être nécessaire à l’activité de l’entreprise et en rapport avec les services qu’elle propose. C’est le cas de la géolocalisation par exemple pour une société de VTC ou de livraison de pizza, mais pas pour une application d’e-learning ou un site de cuisine. Une appli de fitness n’a pas besoin de vous demander d’accéder à vos contacts pour être téléchargée : il n’y a, a priori, aucun rapport entre la pratique d’une activité physique et votre répertoire téléphonique.
Le principe du privacy by design impose par ailleurs la mise en place de mesures proactives et préventives, à savoir une protection intégrale et automatique des données personnelles par le biais d’un dispositif de chiffrement et une sécurité de bout en bout, durant toute la durée de la conservation des données, etc. La protection de la vie privée est donc intégrée par défaut dans les relations avec les clients et les tiers. La protection des données personnelles n’est ainsi plus une simple option parmi d’autres.
7. L’analyse d’impact
Il conviendra également de consulter au préalable l’autorité de protection des données (la Cnil en France) et de mener une analyse d’impact relative à la protection des données. Cela concerne notamment les traitements de données sensibles, à savoir les données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi, fait nouveau, les données génétiques ou biométriques. D’où l’importance de la mise en œuvre des mécanismes de privacy by design et de privacy by default visant à garantir la protection des données par défaut ou dès la conception.
8. Les données personnelles : une véritable poudrière
Si la mise en conformité avec le RGPD peut apparaître contraignante, elle va permettre aux entreprises qui la respectent d’afficher une plus grande transparence envers les consommateurs et donc de renforcer ou regagner leur confiance. Rappelons la mésaventure de la chaîne de magasins Target qui, outre une fuite géante de données bancaires en 2014, a aussi dû faire face un jour à la colère d’un père de famille, mécontent que sa fille de 17 ans ait reçu des bons de réduction pour des produits de maternité. Sauf qu’après une petite discussion avec sa progéniture, le papa renfrogné a appris que sa fille était bel et bien enceinte. Target avait, en effet, mis en corrélation les données de comportement d’achat de cette jeune fille avec ses propres bases. Et suite au travail de ses outils d’analyse, il était ressorti que la jeune fille était a priori enceinte depuis plusieurs mois et était donc potentiellement intéressée par différents produits de maternité.
Moralité : votre comportement d’achat et vos données personnelles en disent beaucoup plus que vous ne le pensez sur votre vie intime. Ce qui fait dire à Alexandre Diehl, avocat à la cour, au sein du cabinet Lawint lors d’un Focus de la Rédaction sur le sujet organisé par Archimag et Iron Mountain, que « les données personnelles sont une poudrière, car elles sont partout ».
« Le RGPD, c’est avant tout de la documentation », ajoutait l’avocat. Il constitue surtout une belle opportunité pour optimiser les processus existants et améliorer la façon de travailler. Enfin, n’oubliez pas qu’il y aura une vie après le 25 mai 2018 et qu’il est important d’être certain de disposer des ressources disponibles pour maintenir cette conformité.
+ repères
Une donnée personnelle, c’est quoi ?
Dès qu’une donnée - on line ou off line - permet d’identifier directement ou indirectement par recoupement une personne physique, elle est considérée comme personnelle. Il s’agit des données basiques comme une adresse e-mail ou postale, ou des données avancées comme une adresse IP, des coordonnées GPS, des cookies, un numéro de sécurité sociale, etc.