La RGPD : Un outil de protection de son patrimoine informationnel pour la France


 

Les internautes n’ont pas connaissance, à leur grande majorité, des données récoltées à leur insu, de pourquoi elles le sont, ni de leur valeur. A l’heure de l’intelligence artificielle (IA), tous les moyens sont bons pour collecter toujours plus de données. Près de 4 000 cyberattaques sont déjouées dans le monde chaque seconde. 90% des fuites auraient pu être évitées si les entreprises s’étaient dotées de mesures de sécurité suffisantes. Alors que, de son origine à 2003, l’humanité n’a produit que 5 To, il ne fallait plus que deux jours pour en générer autant en 2010, moins d’une fraction de seconde aujourd’hui. L’Etat français, entre autres, tente de prendre les devants et de contraindre à plus de responsabilité : stocker moins d’informations et se donner les moyens de les protéger. Une démarche positive par sa vision mais complexe par son application. 

Un nouveau cadre législatif pour la puissance économique française


Après la directive et de la loi Informatiques & Libertés de 1978, la Directive Européenne de 1995 officialisait la volonté communautaire de protéger les personnes physiques à l’égard du traitement des données personnelles (origine raciale, ethnique, convictions religieuses, politiques, etc.), et à la libre circulation de ces dernières. 

Elle sera consolidée le 25 mai prochain par le « R.G.D.P » (règlement général sur la protection des données), véritable nécessité quand la première directive avait été rédigé dans un monde sans Google ni Facebook. 

Ce règlement se veut un instrument efficace pour réguler la circulation des données personnelles dans un espace numérique mondialisé. Outil stratégique au cadre législatif européen normalisé, c’est un changement de paradigme réel dans la protection des données face aux géants du monde globalisé. 

Le nouveau texte (99 articles, éclairés par 173 considérants) a pour objectif de concilier la protection de la vie privée des citoyens et l'innovation, à l’heure où de plus en plus d’entreprises collectent, stockent et analysent des masses d’informations personnelles dans le but de fournir des services personnalisés. 

Les entreprises n’ont plus le choix : la protection des données devra être considérée comme un droit fondamental des personnes. Pourtant, conserver les données personnelles de leurs clients sans demander leur accord est une pratique assez courante notamment chez les GAFAM. Les citoyens pourront alors s’appuyer sur le texte pour défendre leurs informations personnelles, s’ils estiment qu’une organisation les utilise de manière trop intrusive. 

Autrement dit, le RGPD induit un profond changement d’organisation pour toutes les entreprises intra-UE dont les activités amènent à une surveillance du comportement des citoyens. La protection des données personnelles s’inscrit alors désormais dans leur stratégie, notamment par la Privacy by Design (anonymisation de la donnée), mais aussi par une garantie juridique de la sécurité de l’information vis-à-vis de leurs clients (suppression de la donnée). 

RGPD : Quel protocole pour une entreprise ?


C’est par une analyse de détection des nouveaux axes de développements stratégiques qu’un projet de site ou d’application contenant des données personnelles devra être mis en place. Quelques points : 

-     Ajouter des informations explicites concernant l’utilisation des données personnelles 

-     Obtenir le consentement de l’utilisateur pour récupérer ses données personnelles, clairement indiqué par ce dernier et sans pré-remplissage règles d’autorisation. 

-     Transférer l’ensemble des données exploitées à tout utilisateur qui le demande et rendre anonyme les données à première demande 

Aussi, lorsqu’un éditeur de site web ou d’application subira une attaque, il devra désormais en informer la CNIL qui devient contrôleur du nouveau règlement et à la suite appliquer des sanctions. 

La RGPD : Des nouveaux protocoles pour les cerveaux français


Un challenge se présente : Comment optimiser les stratégies marketing au moyen d’une collecte de plus en plus précise de données face à une réglementation de plus en plus contrainte, et mieux profiler pour une expérience consommateur réussie et un meilleur retour sur investissement) ? 

Des entreprises, dont certains grands groupes très connus, font croire qu'elles sont à jour mais dans les faits aucune solution n'est mise en œuvre en interne. Elles sont dans l'incapacité de répondre à une demande massive de clients d'accéder à leurs données personnelles. Elles commencent alors à mesurer l'impact qu'un « Bad Buzz » peut avoir sur leur réputation et donc leur chiffre d'affaires, (récents vols de données chez Uber, Equifax, Facebook et Cambridge Analytica). 

Les consommateurs se sensibilisent à la cybersécurité et sont attentifs aux pratiques des entreprises dans ce domaine. Les activités notamment de gestion de facture électronique, d'outils de trésorerie ou de gestion de e-Commerce manipulent des informations capitales, dont il faut garantir l’étanchéité. L’arsenal des sanctions devrait pousser les entreprises à se préoccuper enfin du sujet. En effet, après le 25 mai, tout infraction au RGPD pourra donner lieu à des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires. 

Au-delà des amendes, afficher une rigueur dans la conservation des données personnelles devient un critère de confiance et pourra démontrer que l'Europe est en avance par rapport au reste du monde. Faire savoir qu'on est en conformité à ses clients et ses partenaires sera comme "un label de qualité" et de protection. 

Le RGPD : un nouveau paradigme juridique, financier et réputationnel ?


L’enjeu est donc exceptionnel puisque le règlement devra garantir les recours que pourront faire les clients des entreprises qui ne se seraient pas mises en conformité et la sûreté pour les données quand le changement est exponentiel. 

En particulier, le questionnement est le suivant : quelles seront les conséquences de l’application du RGPD à tous les opérateurs traitant des données personnelles appartenant aux ressortissants européens ? Du point de vue français, comment le RGDP sera-t-il articulé autour des dispositions relatives aux données personnelles de la loi pour une souveraineté numérique ? 

Le coût de la conformité va-t-il désavantager les entreprises européennes ? Va-t-on voir émerger des conflits d’extraterritorialité des lois : Comment les autres systèmes juridiques et notamment les Etats-Unis vont-ils réagir ? Le RGPD sera-t-il l’outil pour réguler les GAFAM qui verront leur modèle économique remis en cause ? 

Toutes ces questions décrivent une problématique à la hauteur des enjeux qui ne sont peut-être pas tous avouables en particulier l’uniformisation des fiscalités européennes sur le sujet permettant la captation d’une manne financière très volatile... 

Enfin comment ne pas terminer ce constat du jour par la sanction immédiate des marchés financiers sur le cours de FACEBOOK et l’utilisation par certaines entreprises voulant démontrer leur virginité en annonçant la fermeture de leur compte (TESLA-SPACE X). L’enjeu est ainsi revenu au risque primaire financier et juridique bien réel. 

 

Patrick Hegly