Qui ?
Merav Griguer, Co-Head du département Protection des données de Bird & Bird à Paris.
Quoi ?
Le résumé de l'intervention du cabinet Bird & Bird, partenaire du Grand Format "Data to Consumer, comment concilier éthique et efficacité ?".
Comment ?
Sans attendre une éventuelle transposition dans le droit Français, le tant redouté Règlement général sur la protection des données (GDPR, ou RGPD en anglais) entrera en vigueur le 25 mai 2018. "Même si une nouvelle loi "Informatique et Libertés" est aussi en cours d'élaboration, quoi qu'il arrive, c'est le règlement qui prévaut dans la hiérarchie des normes" précise Merav Griguer. En parallèle, une directive "e-privacy" est aussi en préparation : c'est encore un autre sujet. Les entreprises exploitant des données personnelles doivent donc faire de leur mieux pour se conformer aux nouvelles règles, même si celles-ci sont parfois floues. "Vous ne serez jamais à 100% conformes, il faut l'admettre et avancer progressivement" reconnait l'avocate.
Les nouvelles obligations de la GPDR #gdformat pic.twitter.com/VguuMYBfMD
— Julien Tan (@JeyTan) 4 octobre 2017
Avec le GDPR, les entreprises vont devoir répondre à neuf obligations nouvelles :
- la "privacy by default" : le fait de s'assurer que toute solution de traitement des données réponde aux obligations de la législation, dès sa conception.
- la mise en place de registres pour tous les traitements de données mis en oeuvre. En contrepartie, l'obligation de dépôt à la CNIL est levée.
- le principe de co-responsabilité entre le responsable du traitement et son sous-traitant
- la réalisation d'un "privacy impact assessment", une étude d'impact pour identifier les traitements de données les plus sensibles
- le respect de nouveaux droits accordés aux usagés, comme celui du "testament numérique", qui permet à chacun de définir le destin de ses données à son décès
- la notification des violations des données
- la mise en place de nouveaux opt-in, c'est à dire l'obtention d'un consentement libre et éclairé
- la nomination d'un DPO (Data Protection Officer)
- l'information renforcée des citoyens sur l'exploitation de leurs données personnelles.
#gdformat Impact pour ts les sous-traitants : il y a une co-responsabilité sur le traitement. La CNIL peut les sanctionner directement #GDPR
— Petit Web (@petit_web) 4 octobre 2017
En dépit de la complexité apparente du sujet, Merav Griguer se veut rassurante : "vous n'avez pas le choix, et pourtant, ces obligations ouvrent aussi de nouvelles opportunités. Pour les entreprises, la motivation première reste l'e-réputation et la peur des sanctions [jusqu'à 4% du CA mondial de l'entreprise concernée]. Mais une mise en conformité peut aussi être source de retour sur investissement : communiquer sur l'éthique, ça paye."
[ GDPR] Allégorie du jour : "la privacy c'est de l'écologie humaine" @genevievepetit @petitweb #GDFORMAT #MBADMB pic.twitter.com/R92ke6pImJ
— Sorana Nasta (@sorananasta) 4 octobre 2017
Attention aussi à ne pas vouloir en faire trop. Par exemple, dans le cadre d'un contrôle de la CNIL, inutile de faire du zèle en fournissant des informations qui n'ont pas été demandées. De même, l'opt-in n'est pas nécessaire dans toutes les situations : "il y a plein de situations où vous n'avez pas besoin de l'obtenir, comme lorsque vous répondez à une obligation légale, notamment sur des sujets RH, médicaux ou bancaires." Dans tous les autres cas, le consentement sera nécessaire, mais jamais impossible à obtenir : "on peut faire du marketing juridique, tout en restant très proche de la réglementation. Il faut se mettre à la place du consommateur, travailler sur les formulations." Et puis, collecter des opt-in vraiment "éclairés" signifie aussi avoir des bases plus saines, pour un marketing plus efficace : "c'est l'opportunité de faire de la publicité véritablement ciblée, avec des données de qualités, plus pertinentes."
L'entrée en vigueur de la GDPR est une bonne occasion pour sensibiliser ses équipes aux sujets de la cybersécurité et de la sécurisation des données sensibles. "La CNIL effectue des contrôles larges. Elle se promène dans les bureaux, regarde les papiers qui traînent, les codes d'accès affichés sur les post-it, à la vue de tous... Ayez toujours des révérenciels, des documents écrits sur vos pratiques, pour montrer que vous avez une approche de protection des données et de sensibilisation de vos collaborateurs."
#gdformat "Il reste des flous juridiques: droit à l'oubli, portation des données, testament numérique, on fait comment ?" @MeravGriguer
— Petit Web (@petit_web) 4 octobre 2017
Enfin, le GDPR est aussi une opportunité à titre individuel : "avec la création du poste de DPO, on crée des emplois. Le DPO est un mouton à cinq pattes, personne ne peut prétendre avoir toutes les qualités. C'est un chef d'orchestre, il lui faut donc un orchestre. Ce poste permet aussi d’accéder à des fonctions de direction, de devenir spécialiste et de participer aux comités exécutifs." La nomination d'un DPO est obligatoire pour toutes les entreprises qui traitent des données à grande échelle ou des données sensibles... une définition sujette à interprétation, mais qu'il vaut mieux entendre au sens large.
Devenir bon élève pourrait même constituer un avantage concurrentiel, auprès du grand public comme de ses partenaires. "Par exemple, quand on a des grands comptes comme clients, avoir un DPO est indispensable : cela fait des points en plus lors des appels d'offre." La mise en application des nouvelles règles devrait donc conduire les organisations à revoir leur gouvernance sur les sujets de données, tout en étoffant les équipes dédiées à ces problématiques de plus en plus centrales. Outre l'évolution de la gouvernance, c'est aussi l'occasion de remettre à plat toutes les pratiques de l'entreprise et de se pencher sur la question de l'éthique... Un mal pour un bien ?
Benoit Zante
