Que l’on soit médecin de campagne ou géant du web, tout acteur collectant ou traitant des données personnelles devra mettre en œuvre des mesures conséquentes à partir du 25 mai 2018, date de l’entrée en vigueur d’un nouveau règlement européen. Certes, « la précédente loi nationale de 1978 faisait déjà peser des obligations sur les entreprises, notamment en termes d’information, de consentement et de sécurité des données » explique Sophie Nerbonne, directrice de la Conformité pour la Commission Informatique et Liberté. « Mais les textes se devaient d’être revus à l’aune de la numérisation du quotidien de 508 millions d’Européens. »
Pour certains, l’urgence résidait surtout dans le fait d’encadrer les nouvelles pratiques des grands acteurs numériques émergents. « Sous couvert de personnalisation, beaucoup d’entreprises collectent actuellement à tout va. Ces données sont ensuite analysées et revendues… La donnée personnelle circule, de fait, comme une matière quelconque, alors même que l’on parle d’informations liées à des êtres humains peu conscients de cette réalité » résume Philippe Michel, fondateur de Magush, société de protection et d’anonymisation des données. Pour étendre le droit fondamental de la protection de la vie privée de tout individu à son existence numérique, il fallait donc durcir le ton. Pour Merav Griguer, avocate associée en protection des données personnelles du cabinet Bird and Bird, avec ces nouvelles mesures, « il n’est plus seulement question de droit mais d’une culture nouvelle, avec la mise en place d’une réelle gouvernance de la data plus responsable et capable d’instaurer la confiance.»
Pour le contrevenant négligent, l’addition sera salée : jusqu’à 4% du chiffres d’affaires ou 20 millions d’euros, ainsi que la possibilité, pour les consommateurs, de réaliser des actions en justice collectives, dites class actions. Des sanctions potentielles sans précédent, qui contribueront à mettre rapidement les organisations au pas pour faire de la gestion éthique de la data leur nouvel enjeu stratégique.
Pour Fabrice Naftaslki, responsable de la practice droit de l'informatique, protection des données et propriété intellectuelle chez EY, la priorité passera par la définition au plus vite de nouveaux process de collaboration fluides entre tous les acteurs concernés, qu’il s’agisse de la direction générale, de la direction juridique, de la direction des systèmes d’information mais aussi de la direction marketing. « Les Data Protection Officer, nouveaux hommes clefs de la gouvernance, ne pourront pas gérer seuls la conformité de l’entreprise au règlement, elle sera l’affaire de tous » précise-t-il. « C’est un point fondamental. La première ligne de défense étant celle qui traite les données clients, les directions marketing deviendront véritablement parties prenantes. »
À date pourtant, alors même que la formation de ces dernières s’avère essentielle, le sujet semble encore le plus souvent bloqué au niveau des directions juridiques et informatiques, qui mûrissent l’état des lieux de leurs patrimoines data et l’élaboration de nouveaux protocoles de gestion adéquats. La situation devrait évoluer dans les prochaines semaines. Selon Jonathan Cassaigne, directeur conseil digital dans l’agence NIJI, « l’exigence de prise en compte de la conformité au règlement dès l’origine d’un projet impacte tous les dispositifs digitaux sans exception. Les directions marketing vont donc être maintenant rapidement sensibilisées à réfléchir autrement. Elles devront aussi penser à de nouveaux parcours, plus respectueux d’un consentement, et d’une faculté de révision renforcés. Enfin, au quotidien, elles vont apprendre à composer avec le principe de minimisation des collectes. »
Le temps presse donc pour apprendre les codes d’une nouvelle relation ou le client aura la possibilité de reprendre le contrôle sur ses données. Comment celui-ci réagira-t-il quand il comprendra, grâce au principe d’une information plus complète, l’utilisation réelle qui est faite de ses informations personnelles ? « Il pourra avoir peur dans un premier temps, mais reprendra confiance pour communiquer sur ses données dans un bénéfice de centralisation et de simplification. Il deviendra alors co-créateur de valeur dans un nouveau type de relation avec la marque » conclut Jonathan Cassaigne. En reconstituant le capital confiance des entreprises, la règle de droit réussirait alors là où les campagnes de marketing ont échoué…
Les mesures phares
Le RGPD s’applique à toute organisation qui collecte ou traite des données personnelles non anonymisées d’individus mineurs ou majeurs, qu’elle ait ou non un établissement en Europe. En vertu du principe d’accountability, et en contrepartie de la suppression d’une partie des formalités déclaratives auprès de la CNIL, l’entreprise devient, dès le 25 mai prochain, responsable de l’efficacité de sa gouvernance, devant pouvoir apporter la preuve de sa conformité au règlement, à tout moment et sur tout aspect.
Dès lors qu’elle traite de données sensibles ou en quantités significatives, elle a pour obligation de nommer un Data Protection Officer.
La réalité du consentement est également renforcée, avec l’exigence d’une information transparente sur la destination de la collecte et la durée de sa conservation, ainsi que la nécessité d’obtenir une acceptation spécifique.
En matière de sécurité et prévention, deux grands principes font leur apparition. L’un, Privacy by Default, exige de ne collecter que les données strictement nécessaires au besoin. L’autre, Privacy by Design, impose la sécurisation native de tout projet porteur de données.
Tout transfert hors Union européenne devra respecter un protocole spécifique, la donnée restant définitivement sous le coup du droit européen. Enfin, toute faille de sécurité devra être notifiée à l’instance de régulation dans les 72 heures.
Si le droit à l’oubli est définitivement consacré, la plus grande nouveauté reste la création d’un droit à la portabilité, permettant d’obtenir le transfert de ses données d’une entreprise à une autre dans un format lisible.
