Publié le

Seuls 37% des Français sont confiants dans l’usage d’Internet, notamment en raison des craintes liées à l’utilisation des données personnelles. Pour protéger et encadrer les données personnelles de ses citoyens, l’Union Européenne a adopté un nouveau règlement sur la protection des données personnelles en 2016. Accordant de nouveaux droits aux Européens, il crée de nouvelles obligations pour les entreprises. Comment se préparent-elles à affronter cette grande mutation ?

En remplaçant la directive sur la protection des données – qui datait de 1995 – la nouvelle réglementation, qui entrera en vigueur en mai 2018, renforce le contrôle des citoyens européens sur leurs données personnelles. En vertu du droit à l’oubli, ils pourront désormais exiger l’effacement de leurs données personnelles ; une demande que l’entreprise devra relayer à toute autre partie ayant eu accès à ces données. L’utilisateur pourra à présent demander la portabilité de ses données, c’est-à-dire leur transfert chez un autre fournisseur de services : plus de perte d’e-mails en changeant d’adresse ! Enfin, le respect de la vie privée devient sanctuarisé par la loi et le recours au profilage (la prédiction des comportements des individus suite à l’analyse de leurs données) plus sévèrement encadré. Une évolution bienvenue pour les citoyens de l’UE, mais qui implique une petite révolution pour les acteurs privés !

Les entreprises vont passer de la gestion de données chiffrées à une véritable ingénierie de la connaissance.

Contrôler l’utilisation et assurer la sécurité des données personnelles

Côté sécurité, la liste des devoirs des entreprises est longue ! Elles devront, entre autres, renforcer leur politique de sécurité des données (à travers le concept de Privacy by Design), désigner un délégué à la protection des données (ou Data Protection Officer, DPO), ou encore border l’utilisation des données par les sous-traitants. Pour leur part, les autorités de réglementation vont augmenter leurs contrôles. En cas de faille de sécurité, les entreprises devront désormais notifier la CNIL, ainsi que l’ensemble des parties ou organisations concernées, dans les 72 heures, sous peine de sanctions financières.

Aucune entreprise ne sera épargnée par l’application de ce règlement. Une entreprise engagera sa responsabilité juridique dès qu’elle recueillera, conservera ou utilisera des données personnelles de citoyens résidant au sein de l’Union Européenne. Selon Corinne Thiérache, avocate-associée et responsable du département Nouvelles Technologies de l’Information et de la Communication au sein du Cabinet Alerion, "la définition légale, très large, inclut toutes données permettant d’identifier directement ou indirectement une personne physique, comme les adresses IP ou encore les cookies. Cela concernera aussi bien les clients, les prospects que les salariés".

Pour Bernard Lamon, avocat et fondateur du Cabinet Nouveau Monde, expert en droit du numérique et de l'innovation, ce texte va surtout permettre une clarification et une harmonisation des règles au sein de l’UE. Toutefois, cette mise en conformité aura un coût, que les entreprises auront intérêt à assumer ! En effet, les sanctions encourues pourront atteindre jusqu’à 20 millions d'euros d'amende ou 4% du chiffre d'affaires annuel mondial de l'entreprise. De quoi inciter entreprises et prestataires à gérer leurs bases de données et traitements de manière plus stricte.

Comment gérer ses données en conformité avec la loi ?

Reste à savoir comment "sécuriser" la gestion de ses bases de données ? Il convient tout d’abord de "réaliser un audit de l’existant, étant donné que nombre de dirigeants d’entreprises méconnaissent leur patrimoine informationnel ainsi que les risques associés", estime Maître Thiérache. En effet, les données détenues par les entreprises peuvent être perdues, volées ou encore provenir de fichiers loués ou vendus par des prestataires sans garanties de conformité. "En cas de faille dans la protection des données personnelles détenues par une entreprise, le risque est multiple : notamment pénal mais aussi économique et de réputation" rappelle-t-elle. "Il existe dans toutes les entreprises une zone grise qu’il faut traiter de manière proactive" ajoute pour sa part Maître Lamon. "De fait, les entreprises ont conscience de ces enjeux et commencent déjà à agir", même si la route est encore longue.

Steny Solitude, président et fondateur de Perfect Memory, une start-up spécialisée dans la gestion du Big Data et de l’architecture de données, identifie plusieurs niveaux d’action :

  1. Considérer la gestion des données comme un secteur d’activité à part entière de l’entreprise, notamment via la nomination d’un Data Protection Officer (DPO) qui pourra réaliser une première évaluation et classer les bases de données en fonction de leur conformité… ou de leur criticité.
  2. Définir et gérer une architecture des données, c’est-à-dire un ensemble de règles de collecte, de stockage, de tri et d’utilisation des données, s’appliquant à l’ensemble des systèmes d'information et des contenus numériques détenus.
  3. Penser agilité et interopérabilité, l’environnement de chaque entreprise étant à même d’évoluer rapidement et de manière brutale, disruptive. L’arrivée d’un nouveau règlement, d’un nouveau partenaire, d’une nouvelle activité doit pouvoir s’intégrer facilement au système d’information de l’entreprise.

Pour certaines entreprises, ce chantier aura un coût élevé en ressources humaines et en capital. Mais comme le précise Maître Thiérache, "cette mise en conformité doit être vue comme un investissement et non comme un coût. Elle représente une réelle opportunité de croissance et de confiance". Un constat partagé par Steny Solitude, pour qui ce nouveau règlement aura des conséquences aussi importantes que le passage à l’an 2000 : "Les entreprises vont passer de la gestion de données chiffrées à une véritable ingénierie de la connaissance. C’est une révolution culturelle profonde qui va toucher tous les secteurs d’activités". À elles de saisir cette occasion pour transformer leurs données en actifs valorisables et viser à moyen terme un retour sur investissement.

Pour aller plus loin...

Le 16 juin 2016, la CNIL a lancé une consultation publique à propos du Règlement Européen sur la Protection des Données Personnelles (REDP) afin de recueillir les questions concrètes, d’identifier les difficultés d’interprétation et diffuser les bonnes pratiques. La synthèse des questions et réponses posées est disponible en ligne.

Credit : Robert Daly / iStock