GDPR, vecteur de confiance et source d’opportunités

Quels sont les objectifs poursuivis par le nouveau règlement général sur la protection des données ?

12_f-vonner_pwcQuels sont les objectifs poursuivis par le nouveau règlement général sur la protection des données ? Comment bien l’appréhender pour ne pas s’exposer à des sanctions et profiter des opportunités qu’il entend créer ? – Par Sébastien Lambotte pour l’ITnation Mag Mars 2017

Dans les mois à venir, on risque d’évoquer très régulièrement le nouveau Règlement européen relatif à la protection des données (GDPR). Cette réglementation, qui vient remplacer la directive de 1995 en la matière, entrera en application au mois de mai 2018. « Elle redéfinit le cadre dans lequel les données personnelles peuvent être collectées et exploitées », assure Frédéric Vonner, GDPR Leader au sein de PwC Luxembourg. Il faut dire que depuis les années 90 de l’eau a coulé sous les ponts. A l’époque, Google n’existait pas encore, pas plus que Facebook. On n’imaginait pas que la ressource informatique puisse être mutualisée selon le modèle de cloud computing. « Les technologies, les habitudes et les comportements ont radicalement changé en quelques années. Et la donnée est devenue un élément central du développement économique », poursuit Frédéric Vonner.

Un cadre de confiance

Dans ce contexte, la Commission européenne a souhaité opter pour un nouveau règlement, et non plus une directive. « On disposera donc d’un même niveau de réglementation à l’échelle de toute l’Union européenne. A travers ce règlement, la Commission souhaite renforcer le cadre de protection des données personnelles et donc la confiance des citoyens dans l’exploitation qui pourra en être faite, précise l’expert de PwC. GDPR constitue une opportunité et doit permettre une meilleure exploitation des données personnelles dans le respect des droits de chacun. » Le postulat de départ est donc le suivant : pour que les entreprises puissent développer des services de qualité au départ de la donnée, il faut que les citoyens aient confiance en elles et gardent la maitrise de leurs données.

Dès le départ, il faut s’entendre ce qu’est une donnée personnelle. « La définition qui en est donnée est large puisqu’il s’agit de toute donnée qui puisse permettre d’identifier une personne. On pense bien entendu aux éléments évidents : nom, prénom, adresse, date de naissance, numéro de carte d’identité. Mais cela va plus loin… Un récent arrêt de la Cour de Justice de l’Union européenne a établi qu’une adresse IP entrait dans le champ de la donnée personnelle. » Autant dire que toute organisation gère ce type d’information, ne fut-ce qu’au niveau des ressources humaines ou encore à travers un CRM.

« En outre, le Règlement s’applique aux données de tous les résidents européens. Et GDPR rend la maîtrise de leurs données aux citoyens, qu’elles soient exploitées par des entités européennes ou d’autres, situées en dehors du territoire de l’Union.»

Des droits, des devoirs, des sanctions

Fait est que, jusqu’alors, les données personnelles, pourtant déjà protégées, n’étaient pas souvent correctement traitées, ni par les individus, ni pas les organisations. « GDPR vient donc clarifier tout cela, en définissant les droits et devoirs des organisations amenées à exploiter la donnée. Le Règlement précise aussi les sanctions dissuasives, envers ceux qui abuseraient de la confiance des résidents européens, précise Frédéric Vonner. On parle de sanction maximale de 20 millions d’euros ou de 4% du chiffre d’affaires global du groupe auquel appartient la société en défaut. »

Droit à l’information, à l’oubli et minimisation des données

Mais quelles sont les nouvelles obligations encadrant l’exploitation
de la donnée personnelle ? « La première est d’informer clairement la personne concernée sur les données qui sont récupérées et sur l’objet de leur exploitation », assure l’expert. En cas de perte ou de violation des données, ils ont aussi des obligations d’information des autorités et des utilisateurs précisément établies. « D’autre part, les organisations sont tenues de ne collecter que les informations utiles à la poursuite de l’objectif précisé. C’est ce que l’on trouve derrière le concept de minimisation de la donnée. Par exemple, une compagnie de chemin de fer ne devrait pas collecter une information relative à l’âge de ses clients, à moins que cet âge permette d’accéder à des prix préférentiels. Autrement dit, on
ne peut collecter que ce dont on a besoin. » Si l’entreprise souhaite récupérer d’autres informations, à d’autres fins, il faudra obtenir un consentement positif de l’utilisateur concerné et, dès lors, l’informer clairement sur la finalité de la démarche. « L’entreprise sera tenue de conserver ce consentement positif jusqu’à la fin de l’utilisation des données collectées. Pour cela, il faudra veiller à la manière de conserver les données et de s’assurer de leur valeur. »

Droit à la portabilité

GDPR introduit aussi la notion de portabilité des données. « Les acteurs qui collectent les données auront pour obligation de les transmettre à un autre prestataire sur simple demande de la personne concernée par les données », précise Frédéric Vonner. Le Règlement introduit par ailleurs le droit à l’oubli. « Sur simple demande d’un individu, l’entité qui détient, exploite ou gère ses données devra être en mesure de les détruire et de démontrer qu’elles ne sont plus en sa possession. » Il peut exister des exceptions au droit à l’oubli ou à la minimisation des données, quand un contrat exige leur conservation pour que le service puisse continuer à courir, comme un crédit hypothécaire par exemple, ou parce que la loi l’exige par ailleurs, comme les exigences de KYC dans le monde financier. « Précisons encore que le règlement exige, dans certains cas, de mettre en place un data protection officer (DPO), qui devra s’assurer à l’échelle de l’organisation que la donnée est gérée en conformité avec les spécifications du règlement et en bon père de famille. »

Conformité et confiance, dès à présent

Au delà des aspects juridiques, ce challenge réglementaire touche à l’ensemble de l’organisation et à la culture de l’entreprise. « Selon moi, le point de départ consiste à identifier les données personnelles dont on dispose et la manière dont elles sont traitées. Où sont-elles localisées ? Le traitement est-il opéré en interne ou confié à un prestataire externe ? Et qu’est-ce que cela implique ? Au-delà de la mise en conformité, ce règlement constitue une opportunité de repenser la manière dont on conserve et exploite les données, pour garantir la confiance des utilisateurs et créer de la valeur au départ des données utiles. »