Par Eliott MOURIER, Ph.D. Docteur en Science Politique et Consultant Data Governance chez Micropole
Le nouveau Règlement européen sur la protection des données personnelles, plus connu sous son acronyme anglais « GDPR », est entré en vigueur le 25 mai 2016 et vient révolutionner la gouvernance et les pratiques des entreprises en matière de gestion des données personnelles. Dans à peine 15 mois, les autorités nationales de contrôle (la CNIL dans le cas de la France) seront en mesure de sanctionner à hauteur maximale de 4% de leur chiffre d’affaires mondial, les entreprises et les organisations ne n’étant pas en conformité avec les multiples exigences imposées ou renforcées par le règlement.
Si le texte a pour principale mission de renforcer les droits et la protection des résidents européens vis-à-vis de leurs données personnelles, il vise également à favoriser l’émergence d’un climat de confiance entre les individus et les entreprises dans un domaine où la prudence et le scepticisme restent, aujourd’hui et à juste titre, de mise. Le postulat que nous défendons et qui a été développé dans un précédent billet, c’est que l’avènement du GDPR offre aux entreprises une opportunité de repenser en profondeur la gestion des données de leurs clients, partenaires ou collaborateurs, pour jouer la carte de la transparence, préalable indispensable à l’établissement d’une relation de confiance. Le problème, c’est que bon nombre d’entreprises n’ont aujourd’hui qu’une très vague idée des exigences auxquelles elles vont devoir se conformer. Parmi la liste conséquente des exigences inscrites dans les 200 pages du GDPR, en voici cinq qui induiront des changements majeurs en matière de gouvernance, de refonte des processus ou d’outillage technique, et que les entreprises ont tout intérêt à anticiper dès à présent :
1.« Privacy by design » & « Privacy by default »
C’est l’un des grands leitmotivs du texte. La protection des données doit devenir un standard, un incontournable de tout projet touchant de près ou de loin aux données personnelles. Elle devra ainsi être abordée dès les phases amonts des projets, faire l’objet d’ateliers dédiés, constituer un point clé dans les cahiers des charges et figurer dans les notes de cadrage et les spécifications. Les exigences qu’elle porte devront être intégrées nativement dans les applications et les solutions (CRM, ERP, MDM, DMP…), et les Cloud Service Providers ou autres Data centers se devront de respecter les normes de sécurité sur l’ensemble du cycle de vie de la donnée. Avec la mise en avant du Privacy by Design and by Default, la protection des données personnelles ne pourra plus être considérée comme un « nice to have », mais devra être replacée au cœur même de la conception des projets et des initiatives.
2.La gestion des consentements
Le règlement pose par ailleurs un principe fondamental : si une entreprise ou une organisation n’est pas dans une relation contractuelle ou une obligation légale, ne vise pas l’intérêt général ou les intérêts vitaux d’une personne, ou n’a pas de motif légitime pour détenir des données personnelles sur celle-ci, elle n’est pas en droit de les traiter (ce qui comprend la conservation, l’utilisation, la revente, l’analyse, etc.), sauf si elle a obtenu pour ce faire un consentement clair et explicite de la personne concernée. Fini le « qui ne dit mot consent » ou la pratique courante visant à noyer les demandes de consentement sous une montagne de conditions générales indigestes. L’entreprise devra désormais obtenir – et surtout pouvoir apporter la preuve – que les personnes ont explicitement consenti à ce que leurs données personnelles soient utilisées à telles ou telles type de fins (démarchage commercial, marketing, analyse statistique, revente à des tiers, etc.). Plus encore, il faudra mettre en place une véritable gestion centralisée des consentements pour donner de la visibilité aux utilisateurs et aux autorités de contrôles sur les consentements accordés, mais aussi afin d’être en mesure de prendre compte dans les meilleurs délais leur éventuel retrait.
3.Le droit à l’oubli
C’est peut-être la plus connue et la plus médiatisée des exigences portées par le GDPR, notamment parce qu’un certain nombre de législations nationales (et notamment la France, pour les mineurs, dans sa Loi pour une république numérique d’octobre 2016) n’ont pas attendu le GDPR pour l’intégrer. Il s’agit ici pour les entreprises d’être en mesure de garantir aux personnes qui leur en feront la demande (pour peu que la demande soit légitime) que leurs données seront bien définitivement supprimées de l’ensemble de leurs systèmes, et ce, dans un délai de 30 jours. On voit aisément comment la mise en place d’un tel service pourrait s’avérer complexe dans des systèmes d’information silotés, où les données personnelles – parfois de piètre qualité et faisant l’objet de multiples doublons – sont souvent répliquées dans une multitude d’applications consommatrices. L’affaire Google Spain entre 2010 et 2014, qui avait débouché sur plusieurs dizaines de milliers de demandes de droit à l’oubli, laisse en effet présager un recours de plus en plus fréquent à ce genre de procédures.
4.Le droit à la portabilité des données
De même que les opérateurs téléphoniques sont aujourd’hui contraints de permettre à un client de conserver son numéro en cas de résiliation de son contrat et de départ chez un concurrent, le GDPR impose désormais aux entreprises de mettre à disposition des personnes qui le demandent leurs données personnelles dans un format « structuré, couramment utilisé et lisible par machine ». Le texte va même plus loin en affirmant que la personne pourra demander à une entreprise de transférer directement ce fichier de données personnelles à une autre entreprise « lorsque cela est techniquement possible ». On voit bien à nouveau les difficultés que pourrait soulever ce type de transfert entre des systèmes d’informations complètement hétérogènes. Si les modalités d’application de ce droit sont encore floues, il y a fort à parier que son application constituera un défi technique majeur, obligeant les concurrents d’un même secteur d’activité à se concerter et à travailler de concert.
5.La nomination d’un délégué à la protection des données (DPO)
Dernier changement majeur sur lequel il est intéressant de mettre l’accent, la nomination d’un délégué à la protection des données ou data privacy officer (DPO) imposée à toute les instances publiques et à toutes les entreprises privées effectuant des traitements de données personnelles à grande échelle. Il ne suffira pas ici de changer l’intitulé de poste de votre correspondant informatique et liberté (CIL) pour satisfaire cette nouvelle exigence, mais bel et bien de mettre en place une véritable gouvernance transverse autour de la protection des données personnelles au sein de l’entreprise. Ce DPO aura notamment comme prérogatives :
- De superviser la mise en œuvre et le suivi des initiatives de mise en conformité GDPR.
- D’informer l’organisation et le personnel de leurs obligations en matière de gestion des données personnelles.
- D’être le point de contact et de centralisation de toutes les demandes d’application des droits des personnes (droit à l’oubli, droit d’accès, droit à la portabilité, demande de modification, etc.).
- De coopérer avec l’autorité de contrôle.
- De participer à l’élaboration des analyses d’impacts, obligatoires pour certains types de traitements (profiling, données sensibles, etc.)
La liste n’est clairement pas exhaustive, mais on voit bien à travers ces 5 changements majeurs combien le GDPR va venir bouleverser l’organisation, les processus et l’architecture SI de nos entreprises. Ces évolutions sont certes complexes, car mêlant de façon étroite des aspects juridiques, métiers et IT mais, correctement mises en œuvre, elles permettront à l’entreprise de faire la démonstration concrète de son souci du respect des données personnelles et d’être perçue comme étant « digne de confiance ». Mais comme toujours lorsqu’il s’agit de conformité, ce seront les premiers arrivés qui en récolteront le plus abondamment les fruits.
Micropole propose une offre de services dédiée à la Conformité GDPR, afin d’aider les entreprises à dresser un premier diagnostic de leur état de conformité eu égard aux exigences à venir de la GDPR et les accompagner dans la définition d’un plan d’action. Une matinée découverte sera organisée le 16 mars 2017 à Paris pour échanger sur ces sujets.