Depuis quelques années, la protection des données est devenue un sujet incontournable pour les entreprises. Et pour cause, le nouveau règlement européen sur les données personnelles, mieux connu sous l’acronyme de GDPR, va entrer en vigueur dès l’année prochaine.
Quels changements apporte réellement le GDPR ? Dans quelles mesures les entreprises seront-elles impactées et comment peuvent-elle s’y préparer avant la mise en vigueur de 2018 ?
Une tribune de Thomas Kaeb, Senior Sales Manager Business Solutions chez Wacom
Le GDPR, nouveau règlement européen sur les données personnelles, a été validé le 25 Mai 2016.
Cette annonce a suscité un réel marasme puisque cette nouvelle législation a pour objectif de révolutionner et de mieux encadrer les pratiques des entreprises en matière de gestion de données personnelles.
Les entreprises n’ont plus que 15 mois avant de devoir se plier aux nouvelles exigences européennes au risque d’être sanctionnées, l’amende pouvant aller jusqu’à 4% de leur chiffre d’affaires mondial.
Rétablir la confiance des internautes
Depuis 1995, la protection des données en Europe n’avait pas été revue et corrigée ; hors, l’accessibilité, la consommation ou encore l’usage d’internet a bien évolué depuis.
L’Europe a ainsi fait le choix de se doter d’un règlement de « General Data Protection Regulation » ayant pour objectif de mettre à jour les règles en la matière et de renforcer les droits et la protection des résidents européens vis-à-vis de leurs données personnelles.
Cette initiative est particulièrement importante puisqu’elle vise également à favoriser l’émergence d’un climat de confiance entre les individus et les entreprises dans un contexte où la prudence et le scepticisme règnent.
D’autant plus qu’avec l’avènement des GAFA et autres réseaux sociaux, les informations personnelles sont devenues des mines d’or pour les entreprises, qui parfois en font leur fonds de commerce.
Pour les internautes, le GDPR s’avère être très positif puisqu’il garantit un niveau élevé de protection de leurs données personnelles notamment grâce à la mise en place du « Privacy by Design and by Default » qui implique que la protection des données n’est plus accessoire mais obligatoire.
Un texte visant les GAFA mais qui impacte toutes les autres sociétés
Cependant, du point de vue des entreprises, ce changement peut être perçu de façon négative car malheureusement, si le texte a manifestement été écrit pour réglementer les activités des GAFA et autres géants du web, l’ensemble des entreprises sont impactées par le durcissement des nouvelles réglementations et cela même si leurs usages diffèrent.
Enfin le GDPR applique les mêmes règles et les mêmes autorisations pour un grand nombre d’informations de types différents, ce qui ôte aux entreprises l’intention de regarder uniquement les pseudonymes, la data privée la plus accessible.
Si cette nouvelle régulation n’est pas une réelle révolution mais plus une évolution des règles, elle impose tout de même aux entreprises de repenser la manière dont elles collectent, traitent et stockent les informations.
Ainsi, dès 2018, il sera obligatoire de tenir à disposition des internautes dont les données sont stockées un texte clair expliquant la politique de sécurisation des données.
Les entreprises devront également pouvoir leur fournir toutes leurs données personnelles dans un format simple et transférable via internet.
Bien sur le droit à l’oubli devra également rendre possible la suppression rapide de toutes les données.
Cette partie du règlement influence déjà certaines sociétés, comme Facebook et Google qui se préparent peu à peu au GDPR.
L’entreprise devra désormais obtenir – et surtout pouvoir apporter la preuve – que les personnes ont explicitement consenti à ce que leurs données personnelles soient utilisées à tel ou tel type de fins (démarchage commercial, marketing, analyse statistique, revente à des tiers, etc.).
D’autre part, le droit à l’oubli obligera les entreprises à garantir aux personnes qui leur en feront la demande que leurs données seront bien définitivement supprimées de l’ensemble de leurs systèmes dans un délai de 30 jours. Cela risque donc de considérablement compliquer le traitement des données et les procédures déjà existantes.
Selon une étude Veritas Technologies1 datant de Décembre 2016, 52% des concernés affirment être préoccupés par la possibilité de perdre des données à cause des nouvelles exigences du GDPR. Enfin, 4 répondants sur 10 ont exprimé leurs craintes vis à vis d’une mauvaise gestion des données, pouvant entraîner une négligence en matière de conformité[1].
Un dispositif contraignant pour les entreprises
Les entreprises doivent s’assurer que pour chaque information collectée, une demande de consentement est effectuée et doivent également savoir à tout moment où se trouvent précisément leurs données.
Chaque structure travaillant avec des données personnelles doit au préalable remplir une déclaration auprès de la CNIL pour l’en informer, ce qui impose aux entreprises de réfléchir à la protection des données personnelles en amont de la conception d’un produit ou d’un service.
Il est également essentiel pour les entreprises de plus de 250 employés, de tenir un registre sur le traitement des données. Ce registre qui sera consultable par la CNIL devra comporter le nom et les coordonnées du responsable du traitement, les finalités du traitement, ainsi que la catégorie de destinataires auxquels les données à caractère personnel ont été ou seront communiqués.
Enfin, pour bien préparer son entreprise à l’arrivée du GDPR, il est important de déjà commencer à nommer un délégué à la protection des données dans la perspective de travailler main dans la main avec la CNIL et prouver que l’entreprise s’engage à respecter le règlement européen en matière de protection des données.
Les entreprises concernées vont donc devoir, en amont de la mise en vigueur de la réglementation, adapter leurs structures pour les rendre conformes.
Au-delà de l’impact technique au niveau des infrastructures, il sera important pour les entreprises comme pour les institutions impliquées dans cette initiative de maintenir la conversation ouverte et de réfléchir aux prochaines étapes afin d’assurer la pérennité économique des entreprises sans imputer la liberté des individus.
[1] Global Databerg Report de Veritas