Big data, objets connectés, smart city, I.A, GAFA, piratage de données, cyberattaque, autant de termes qui envahissent les rédactions de nos médias et les fantasmes de l’industrie du cinéma.
C’est dire combien les évolutions technologiques bouleversent notre quotidien. Les métadonnées se nourrissent de nos déplacements géolocalisés, de nos achats, nos comportements en ligne, nos prouesses sportives. Elles constituent un marché colossal à l’échelle mondiale, à peine perceptible derrière la coquetterie d’une montre connectée ou d’une « appli » photo habillant un selfie de filtres amusants. L’individu est au cœur de l’enjeu. Il fournit la matière première en vue d’un calibrage dont le seul objectif est l’optimisation commerciale à des niveaux jamais atteints auparavant.

RGPD… RGP quoi ?

Les réglementations des États européens n’étaient plus adaptées pour faire face à des géants internationaux comme Google ou Facebook. Quant à la réglementation européenne, elle s’appuyait essentiellement sur une directive datant de 1995, époque où le Performa 400 d’Apple affichait fièrement 4MB de RAM.

Il était grand temps de remédier à cette situation. L’Europe était le niveau de décision le plus approprié pour procéder à une mise à jour du système, à une harmonisation de la réglementation des États et à un renforcement de la protection des données des citoyens européens.

Le RGPD, Règlement Général sur la Protection des Données est donc le cadre européen qui répond à ces attentes. Il s’applique dans la totalité des état membres de l’UE. Il a été transposé dans le droit français et est rentré en vigueur le 25 mai 2018. Il s’impose à toute entité qui collecte des données à caractère personnel et relatives à des citoyens européens. Il concerne les administrations, les entreprises, quelle que soit leur taille, de la multinationale à la microentreprise, quand bien même leur siège serait situé hors UE.

Des données à caractère personnel ? Euh… c’est quoi ?

Il s’agit des informations permettant d’identifier un individu, comme le nom, l’adresse, le numéro de téléphone, mais aussi les métadonnées issues des stratégies de profilage.
Elles revêtent parfois un « caractère sensible » pouvant donner lieu à toutes sortes de discriminations : une appartenance politique, une opinion religieuse, l’état de santé ou encore, une orientation sexuelle. La CNIL, en France, a d’ailleurs rigoureusement encadré ce type de fichiers jusqu’au RGPD.

OK, mais concrètement, pour le citoyen lambda, ça change quoi ?

Le RGPD repose sur une trilogie de droits visant à protéger au mieux le citoyen européen, tout en lui donnant la pleine maîtrise des données qu’il transmet à un organisme.

Le droit d’opposition
Toute personne morale se livrant à une collecte de données par profilage (tous ces petits cookies qui nous observent du fond de nos outils en ligne) est tenue d’en informer automatiquement l’internaute lors de sa connexion.
L’internaute doit pouvoir alors exprimer clairement et immédiatement son consentement ou son opposition à toute exploitation des métadonnées propres à son profil.

Le droit d’accès
Tout citoyen peut demander à toute personne morale, publique ou privée, si elle est en possession d’informations à caractère personnel le concernant. La personne morale est tenue de répondre. Dans le cas d’une réponse affirmative, une copie totale des données traitées doit pouvoir être transmise à l’intéressé. Devront y figurer la nature des données, la méthode de collecte, les traitement et usages, les objectifs et les droits de l’usager. L’organisme détenant les données à également l’obligation d’informer les personnes en cas de destruction ou de perte d’informations les concernant.

Le droit à l’oubli
A tout moment, le citoyen qui aurait consenti à l’exploitation de ses données personnelles doit pouvoir revenir sur sa décision. Le détenteur de la base de données doit être en mesure de garantir l’effacement complet et définitif des données personnelles.

Pour mon entreprise, si je comprends bien…

Le RGPD implique un usage responsable et réactif quant au traitement des données à caractère personnel. Il se traduit par une organisation précise de la collecte et du traitement des données.
Pour s’assurer de la conformité avec le RGPD, la CNIL recommande d’appliquer la méthode suivante, en 4 étapes

1. Tenir un registre : identifier et lister clairement les données personnelles traitées par l’entreprise

Le RGPD recommande la création d’un tel registre. Il doit permettre de répondre aux questions suivantes :
– Quels sont les supports permettant la collecte de données (newsletters, formulaires en ligne…).
– Quelles sont les données collectées (nom, adresse IP, adresse postale…) et dans quelle finalité (bon de commande, affiner la qualité du service…).
– Qui, dans l’entreprise, a accès aux informations.
– Combien de temps les informations sont-elles conservées ?
– Les modalités de transferts des données hors UE.

2. trier les données à caractère personnel

Le détenteur de la base de données est appelé à une conduite responsable.
De fait :
– Seules les informations nécessaires à la finalité du traitement doivent être conservées.
– Les données sensibles feront l’objet d’un traitement spécifique.
– Si la collecte des données n’est pas en conformité avec le RGPD (absence de demande de consentement explicite, par exemple) les informations ne pourront pas être utilisées.

3. Maintenir la transparence avec le prospect

Comme vu plus haut, le citoyen fiché sur une base de données doit pouvoir accéder aux informations le concernant et plus particulièrement sur les points suivants :
– Finalité de la collecte de données, temps de conservation, cycle et durée de vie des données.
– Les droits du prospect, les modalités à suivre en cas de recours.
Ces informations doivent être accessibles sur le site internet de l’entreprise et au moment de la collecte de données auprès du prospect.

4. Sécuriser les données

La pleine maîtrise des données par le citoyen ne peut pas être envisagée sans une protection optimale des informations. L’entreprise doit se prémunir contre les risques de détérioration ou de vol de données. C’est pourquoi, le RGPD recommande, par exemple, d’user de mots de passe complexes et de mettre à jour régulièrement les antivirus et applications.
En cas de perte ou de vol de données, l’entreprise devra en informer la CNIL et les personnes impactées dans les 72 heures.

OK… Je n’ai pas que ça à faire… si l’entreprise ne joue pas le jeu… il se passe quoi ?

En cas de non conformité à la loi, avant le 25 mai 2018 et le RGPD, la CNIL ne pouvait aller au-delà de d’une amende de 150 000 euros.
Désormais, le RGPD prévoit des sanctions pouvant atteindre 20 millions d’euros et 4 % du CA mondial de l’entreprise contrevenante. Pour une mise en perspective, le CA de Google en 2017 a dépassé les 100 milliards d’euros.
Les GAFA n’ont qu’à bien se tenir !

Pour aller plus loin, vous pouvez télécharger le guide pratique de la CNIL

Jean Antoine Santiago, rédacteur web

velit, dictum adipiscing ut quis, ipsum
Share This