RGPD : Qui ne dit mot ne consent plus

Dans un monde où le volume de données produites et échangées au quotidien explose les tuyaux, « nul n’est censé ignorer » ... la donnée. Depuis l’entrée en vigueur du Réglement général sur la protection des données (RGPD ou en anglais : General data protection regulation), « nul n’est plus censé ignorer » ... les règles en matière de protection des données personnelles.

Et si les entreprises en doutaient encore, elles ne pourront plus « ignorer » que le traitement des données personnelles est un réel enjeu. Pour ceux qui ont osé se plonger dans la lecture, le texte européen, dense avec ses 200 pages, donne le vertige, non pas tellement en raison de ses 99 articles, mais au regard de tout ce qui est susceptible de se transformer en potentielle « donnée à caractère personnel » (DCP).  

Souriez, vous êtes concernés

Dans moins d’un an, le 25 mai 2018, entreront en application les nouvelles règles en matière de protection des données personnelles. Le texte adopté par le Parlement européen le 14 avril 2016 est paru au JO en juin 2016 après quatre ans de négociations et quelque 4 000 amendements.

Il ne s’agit pas d’une « directive » mais bel et bien d’un « règlement » donc sans transposition nationale. Il « offre » à l’Europe un cadre unique et harmonisé applicable à tous ses Etats-membres et en tant que tel se substitue à la « mosaïque de 27 ou 28 textes nationaux », indique Jean Lessi, nouveau secrétaire général de de la CNIL depuis mai et à ce titre, a la responsabilité de mener les entreprises françaises sur la voie du RGPD. En clair, la réglementation s'appliquera dès qu'un résident européen sera concerné, où que se trouve le siège de l'entreprise (si elle est aux Etats-Unis par exemple).

Le règlement européen « condamne » donc de fait la directive de 1995 (95/46/CE) qui prévalait jusqu’à présent, la « fameuse » qui a infligé de façon dérisoire 150 000 euros d’amende à Google. Autant dire inadaptée.

Avant/ après : le grand écart

Entre les deux textes, la philosophie de la loi a fait le grand écart. Des noms barbares et anglicismes - pseudonymisation, extraterritorialité, « accountability », « privacy by design » ou « by default », « data breach »… - ont fait leur entrée dans le code lexical du législateur.

Extraterritorialité ? Ajourd’hui (autant dire hier), la directive ne s’adresse qu’aux entreprises implantées en Europe ou y disposant de moyens de collecte. Demain (autant dire aujourd’hui), le règlement s’appliquera aux fichiers traités par des entreprises implantées hors de l’UE mais traitant des données de citoyens européens.

« Accountability » ? (responsabilisation de l’entreprise) : Aujourd’hui, la CNIL, quand elle constate d’éventuels manquements à la Loi Informatique et Libertés lors de ses opérations de contrôle, émet des recommandations laissant le temps à l’entreprise de régulariser sa situation. Demain, l’entreprise devra, à tout moment, apporter la preuve que ses mesures garantissent la conformité des traitements de données personnelles. Ce qui signifie « une protection des données en continu ».

L'entreprise devra aussi considérer toute la chaîne de traitement de la donnée. Le réglement met fin à l’immunité des sous-traitants en introduisant un principe de coresponsabilité. Contractuellement, les sous-traitants vont donc devoir s’engager, entre autres, à mettre en œuvre les mesures de protection adéquates et à alerter le responsable du traitement en cas de fuite de données.

Le “privacy by…” kafkaïen

Ce qui est désigné sous « privacy by design » impose au responsable du traitement de la donnée dans l’entreprise de prendre en compte la notion du respect de la vie privée dès la conception d’un système d’information, d’une base de données ou d’une application, et ce, tout au long du cycle de vie des données, de leur collecte à leur suppression.

À ce principe vient se greffer la « privacy by default » qui impose au responsable du traitement d’assurer par défaut le plus haut niveau de confidentialité. Il doit donc garantir qu’il ne traite, que et uniquement que, les informations nécessaires à la finalité poursuivie. En pratique donc, si un fleuriste qui vend des fleurs en ligne est en droit de demander la date d'anniversaire d'un client, le vendeur de piscines pourra être inquiété s'il le fait.

Les entreprises françaises, vilains petits canards de la conformité ?

Ces derniers mois, les enquêtes et sondages se sont multipliés auprès des entreprises pour prendre leurs pouls quant à leur anticipation du fameux règlement. Les résultats sont à la fois éclairants et inquiétants sur le risque de non-conformité majeure à l’heure de l’entrée en vigueur du RGPD.

Déjà concernées par la loi Informatique et Libertés sur la protection de la vie privée (cf. plus bas), les entreprises françaises pèchent par excès de confiance.

« Cet historique a fait croire à un bon niveau de conformité des entreprises. Les programmes ont donc mis du temps à se lancer (souvent pas avant fin 2016 mais réellement au premier semestre 2017) et avec des réserves budgétaires faibles. L’avancement des états des lieux, des analyses d’écarts et de la complexité des mesures à mettre en œuvre amène nos clients à augmenter régulièrement et très fortement leurs budgets », indique Raphaël Brun. Le consultant chez Wavestone, société de conseil (ex Solucom et Kurt Salmon) est l’auteur d’une petite synthèse faisant le bilan de ses interventions auprès de quelque 20 grands comptes internationaux et 40 donneurs d’ordre.

La donnée se loge dans les détails

Pour résumer les sondages qui bégaient : non seulement les entreprises n’auraient pas toutes intégré qu’elles sont concernées par la réglementation. Mais surtout elles n’appréhendent pas réellement la nature (et étendue) des données personnelles à protéger (elles pensent, à tort, que la donnée se limite au contenu des bases de données, et pas systématiquement aux informations personnelles contenues dans les documents, feuilles de calcul, enregistrements de conversations téléphoniques, etc). Or, le RGPD est clair : il s'applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».

Un exemple de traitement automatisé ? Il est courant que lors de l’installation d’une appli quelconque, il est demandé l’accès aux données personnelles contenues dans le smartphone pour accéder au service, informations pourtant non nécessaires au service à délivrer.

Un exemple de traitement non automatisé ? Il s’agit par exemple des espaces de texte libre qu’un téléopérateur d’un service-client saisit lorsqu’il est en conversation avec le consommateur. Ces commentaires collectés dans le cadre de la gestion de relation client sont susceptibles de faire partie des données à obligation.

Qui ne dit mot ne consent plus

L’entreprise se doit de tenir un registre actualisé de tous les traitements de données personnelles. Consultable à tout moment par la CNIL, ce registre comporte, entre autres, le nom et les coordonnées du responsable du traitement, le type de destinataire auquel les données ont été ou seront communiqués et la finalité du traitement.

Le règlement impose en outre à l’entreprise d’identifier le périmètre des données sensibles et préconise le cryptage ou la « pseudonymisation ». Qu’entend-on par données sensibles ? « Toute information concernant l'origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale, la santé ou la vie sexuelle », dixit la CNIL.

Pour garantir le droit du citoyen, l’entreprise devra par ailleurs obtenir le consentement express et spécifique de l’utilisateur pour que ses données personnelles soient utilisées (elle devra spécifier à chaque fois pour combien de temps et quelle finalité elle compte exploiter les données : démarchage commercial, marketing, analyse statistique, revente à des tiers, etc.), et surtout pouvoir apporter aux autorités la preuve qu’elle bénéficie de cette autorisation (une sorte de registre des consentements).

Un vrai droit à l’oubli

« Il ne saurait dès lors y avoir de consentement en cas de silence, de case cochée par défaut ou d’inactivité » dit le texte. C’est dire que le « client/consommateur » risque de recevoir X pop-up lors de l'installation lui notifiant tous un tas d’autorisations.

Ce qui était jusqu’à présent valable pour les mineurs dans la législation nationale (notamment la loi pour une république numérique d’octobre 2016) l’est désormais pour chaque citoyen : il a droit à l’oubli. Les entreprises doivent être en mesure de garantir aux personnes qui leur en feront la demande que leurs données seront bien définitivement supprimées de l’ensemble de leurs systèmes, et ce, dans un délai de 30 jours.

Enfin, le consommateur/client/usager aura le droit de demander la portabilité des données collectées par l’entreprise à son sujet mais toutefois, pas celles qui résulteraient d’un traitement/ recoupement/ analyse opéré par les entreprises.  C’est dire que demain, il sera possible de demander à une entreprise A non seulement la restitution de ses données mais aussi le transfert à une entreprise B, avec autant de facilité qu’on le fait avec son opérateur téléphonique.

Naturellement, c’est à l’entreprise d’informer ses « usagers » de l’existence de ce droit. Toutefois, l’entreprise A pourra conserver les données pour la durée initialement prévue lors de la collecte et en sera responsable jusqu’à la fin du « contrat ». Elle ne pourra pas être tenue responsable de l’exploitation non conforme au règlement de l’entreprise B.

Gérer la « data breach »

L’entreprise doit être en mesure d’avoir un plan d’attaque en cas de fuite de ses données. Le responsable du traitement devra notifier la CNIL dans les 72 heures. Il doit aussi avertir « dans les meilleurs délais » les personnes concernées quand la fuite présente un risque élevé pour leurs droits et libertés comme le vol de mots de passe ou de numéros de cartes bancaires.

Parmi les autres obligations notables, la nomination d’un DPO (Data protection officer qui incarnera le RGPD en interne), dont on ne sait pas très bien à quel type d’entreprises ou de données manipulées s’appliquera cette obligation.

Sanction comparable aux délits de corruption et de cartel !

Si l’appréhension par l’entreprise des nouvelles règles reste approximative, elles ont en revanche bien saisi ce qu’elle encouraient en cas d'une violation de données à caractère personnel, l'amende s'élevant jusqu'à 4 % du chiffre d'affaires mondial annuel de la société, soit jusqu'à 20 M€. Selon les avocats spécialistes de la « privacy », il s’agirait de sanctions de la même hauteur que les délits de corruption et de cartel !

Combien cela va-t-il coûter ?

En fonction de la taille, de la propension à utiliser des données personnelles ou même de l’état de leur système informatique, la mise en conformité ne requerra pas les mêmes moyens selon les entreprises.

Mais pour Wavestone, « les programmes RGPD se chiffrent aujourd’hui dans des fourchettes allant de 1 à 5 M€ pour les organisations manipulant un nombre raisonnable de données personnelles et peu mobilisé sur le big data ou le profiling, et jusqu’à 20 à 50 € lorsque que l’entreprise a plusieurs métiers et de très nombreuses filiales », écrit-il dans son « rapport ».

L'étude réalisée par le cabinet de conseil en management Sia Partners n’est pas de nature à apaiser. En se fondant sur des données publiques, mais aussi des entretiens et missions réalisées auprès de grandes entreprises françaises, le cabinet a estimé le coût de la mise en conformité à 30 M€ en moyenne pour un groupe s'adressant directement aux consommateurs et 11 millions pour ceux qui ont une clientèle d'entreprise.

Des opportunités ?

Les entreprises sondées sont assez unanimes sur ce point : le RGPD est perçu par la grande majorité des entreprises interrogées par IDC comme une occasion pour se prémunir contre la porosité de l'accès à leurs données.

Dans un (nouvel) environnement business, où la transparence et la confiance sont érigées au rang de valeurs maîtresses, avec des modèles d’affaires reposant de plus en plus sur la capacité des entreprises à collecter des données de qualité et à les exploiter, le tampon certifié « conforme au RGPD » est aussi présenté comme un gage supplémentaire donné au client.

Un espoir ?

Faute d’adhésion de tous les pays concernés, le législateur européen concédera-t-il un report ? A l’exception du Royaume-Uni, où près d’une entreprise sur cinq se déclare en conformité avec le RGPD, tous les autres pays européens partageraient un « socle commun » : le retard ! Pendant ce temps, l’UE prépare un règlement sur l’e-privacy appliqué (métadonnées, cookies, MtoM, objets connectés). Le troisième règlement portera plus spécifiquement sur la sécurité dans le cloud.

Adeline Descamps

Foire aux questions sur

https://www.cnil.fr/fr/reglement-europeen-protection-donnees

Référence : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, abrogeant la directive 95/46/CE.