Une meilleure protection des données personnelles

Par Stéphane AMARGER pour CLIVEMAN

 

Va-t-on vers un renforcement des règles de protection de la vie privée ?  

Effectivement, le nouveau Règlement Général sur la Protection des Données (RGPD) renforce très sérieusement le niveau de protection. Les amendes administratives peuvent aller jusqu’à 20 millions d’euros selon la catégorie de l’infraction, et dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial (http://eur-lex.europa.eu/eli/reg/2016/679/oj).

Il entrera en vigueur le 25 mai 2018. En France, ce sera la CNIL qui sera gardienne de cette protection.

Comment l’entreprise devra-t-elle protéger les données sensibles  ?

Le caractère coercitif n’est qu’un élément. L’essentiel de la règlementation repose sur le consentement explicite et éclairé des individus, la responsabilisation de l’entreprise, élargie à une co-responsabilité des activités de ses sous-traitants, et une mise en conformité des systèmes d’information, anciens et nouveaux.

(1) la logique de responsabilisation : l’entreprise devient elle-même garante du respect de la vie privée. Elle tiendra obligatoirement un registre qui recensera toute traçabilité liée aux données privées inclues dans ses bases de données. Ce registre sera un document essentiel à produire en cas d’audit. En retour, la déclaration préalable à la CNIL est supprimée.

(2) la notion de co-responsabilité : la responsabilité de l’entreprise est étendue aux sous-traitants. Elle devra veiller à ce qu’ils mettent en œuvre les mesures de protection des données privées et d’alerte en cas de fuite.

(3) la notion de « privacy by design/ by default » : tout système d’information doit mettre en place dès sa conception une protection de la vie privée. Les SI mis en place après le 25 mai 2018 auront instauré une « privacy by design », les plus anciens une « privacy by default ».

(4) la notion de minimisation : l’entreprise garantit qu’elle ne traitera que les informations nécessaires à la finalité poursuivie.

(5) le consentement explicite et éclairé : l’entreprise doit recueillir l’accord explicite des personnes concernées et détruire systématiquement les données dès la fin de leur utilisation. L’entreprise doit en outre s’assurer que seuls les employés habilités à la gestion de ces données peuvent y accéder.

Quelles sont les entreprises prioritairement concernées ?

Les GAFA seront bien dans le collimateur, mais pas plus que votre dentiste ou votre coiffeur qui détiennent également des données vous concernant. Le nouveau règlement s’applique aux entreprises européennes et hors UE qui proposent des services et des biens, et qui traitent des données personnelles de citoyens européens ou non-européens résidant en Europe.

Qui est concerné dans l’entreprise ?

La mise en conformité des bases de données de l’entreprise à la règlementation européenne concerne en premier lieu les départements marketing.

Les métriques marketing se concentrent le plus souvent sur la tactique, le programme et le pipeline. Les règles de conformité introduisent la nécessité d’apporter les preuves de changement et l’identification des lacunes potentielles susceptibles d’affecter la bonne gestion des données.

Si l’entreprise veut développer une base de données de prospects, elle devra par ailleurs élaborer une politique de consentement des personnes. Or, à ce jour, nombreux sont les processus de capture de données qui se basent sur un consentement supposé et implicite.

Toutes les personnes impliquées dans la manipulation de données personnelles devront recevoir une formation adéquate.

Comment s’y préparer ?

Il faut largement repenser la gouvernance de l’entreprise et nommer un responsable pour piloter le changement. Quand on constate que 41% seulement des entreprises chiffrent systématiquement leurs données, et que 90% de ces données sont gérées de manière informelle, force est de constater que la route est encore longue.

Au-delà des aspects techniques, les contrats devront également intégrer des clauses spécifiques relatives à la protection de la vie privée.

Ne sous-estimez pas les conséquences de cette règlementation, son impact financier potentiel, l’impact sur le marketing, la nécessité de reconfigurer votre architecture SI… Faites-vous aider et ne tardez pas trop…

Leave a Reply