Données personnelles : comment le GDPR rebat les cartes en Europe

, ,
GDPR, chair Values and policies of personal information

Le nouveau règlement européen sur les données personnelles sera officiellement applicable en mai 2018. Venant compléter et renforcer une directive européenne datant de 1995, il garantit des droits inédits aux citoyens, dont le droit à l’oubli, à la portabilité des données, à être informé des failles de sécurité en cas d’atteinte à leurs données personnelles… Mais pour que ce dispositif soit effectif, il faudra que les entreprises du secteur de la donnée soient au diapason. Or, elles n’ont que peu de temps pour se mettre en conformité avec la nouvelle législation qui implique pour la plupart d’entre elles d’opérer des changements radicaux dans leur organisation. Faute de quoi, elles prendront le risque de s’exposer à de lourdes sanctions.

 

C’est avec une répercussion médiatique très limitée que l’Union européenne adoptait, le 27 avril 2016, le nouveau Règlement Général sur la Protection des Données (GDPR, de l’anglais General Data Protection Regulation). Pourtant, le texte massif aux 99 articles a de quoi susciter l’intérêt des citoyens européens. Car dès le 25 mai 2018, moment où il sera officiellement applicable dans les États membres, ce sont de nouveaux droits qui seront attribués aux utilisateurs des services numériques : droit à l’oubli sous la forme d’un droit au déférencement, meilleure prise en compte de leur consentement à l’utilisation ou non de leurs données personnelles, augmentation de la transparence sur l’utilisation de celles-ci… Et si le délai entre l’adoption du texte et son application est de deux ans, c’est pour laisser le temps aux entreprises de s’adapter à ces nouvelles contraintes.

Seulement voilà, malgré cette temporisation, « deux ans, c’est très court » assure Claire Levallois-Barth, coordinatrice de la chaire Valeurs et politiques des informations personnelles (VPIP) de l’IMT. Un constat que cette chercheuse en Droit tire de ses travaux menés auprès des entreprises qu’elle a interviewées. Comme beaucoup d’acteurs du numérique, ces dernières se retrouvent face à des notions nouvelles apportées par le GDPR. Elles devront notamment assurer dès 2018 le droit à la portabilité des données de leurs clients. Concrètement, chaque utilisateur d’un service numérique aura la possibilité d’emmener ses données personnelles chez un concurrent, et inversement.

Claire Levallois-Barth, coordinatrice de la chaire VPIP.

Claire Levallois-Barth, coordinatrice de la chaire VPIP.

Deux années ne semblent pas de trop pour mettre en place les rouages qui permettront aux clients d’exercer ce droit à la portabilité. Car si le règlement entend garantir cette possibilité, il n’en fixe pas les modalités concrètes : « il faut donc d’abord comprendre ce que cela signifie sur le plan pratique pour l’entreprise d’assurer la portabilité des données à ses clients, puis définir les changements à opérer non seulement sur les plans techniques, mais aussi organisationnels, à savoir revoir les procédures actuelles, voire en créer de nouvelles » détaille Claire Levallois-Barth.

Le concept de privacy by design, fer de lance du GDPR et symbole de la nouvelle façon de concevoir la protection des données personnelles en Europe, est tout aussi contraignant pour les organisations. Il impose d’intégrer l’ensemble des principes régissant l’utilisation des données personnelles (principe de finalité, de proportionnalité, de durée de conservation, de transparence…) en amont, dès la phase de conception d’un produit ou d’un service. En outre, la régulation se base désormais sur le principe de responsabilité qui implique que l’entreprise elle-même soit en mesure de démontrer qu’elle respecte la législation en tenant à jour des preuves de cette conformité. Les phases de conception des produits et services, mais aussi de production et d’utilisation, doivent donc être repensées afin de mettre en place une véritable gouvernance interne des données personnelles. « Pour les entreprises les plus vertueuses, la présentation des premiers éléments de cette nouvelle gouvernance s’est faite avant l’été 2016 devant le comité exécutif » selon Claire Levallois-Barth.

 

Être informé avant d’être prêt

Si certaines entreprises sont ainsi engagées dans une course contre la montre, d’autres font face à des difficultés plus difficiles à surmonter. Lors de la journée de la chaire VPIP consacrée le 25 novembre dernier à l’Internet des objets, Yann Padova, Commissaire spécialisé dans la protection des données personnelles à la Commission de régulation de l’énergie (CRE), avertissait que « certaines entreprises ne savent pas encore comment mettre en pratique les nouvelles règlementations du GDPR ». Toutes n’ont pas en effet la capacité de s’entourer des compétences nécessaires permettant de cibler les leviers organisationnels à mettre en place.

Le GDPR mentionne par exemple l’obligation, dans certains cas, pour une entreprise collectant ou traitant les données des utilisateurs, de nommer un délégué de la protection des données (DPO de l’anglais Data Protection Officer). Cet expert aura notamment pour mission de conseiller le responsable de traitement des données — autrement dit l’entreprise — afin que celle-ci  respecte la nouvelle régulation européenne. Mais selon l’organisation des grands groupes, certaines PME n’assureront qu’un rôle de sous-traitance de la donnée : doivent-elles déjà se préparer à nommer un DPO ? Les entreprises se retrouvent ainsi à devoir répondre rapidement à de nombreuses questions dont les réponses ne sont pas évidentes. Et plus problématique encore : certaines d’entre elles ne sont pas du tout informées du contenu du GDPR.

Yann Padova, commissaire à la CRE.

Yann Padova, commissaire à la CRE.

Yann Padova pointe qu’avant d’être prêt, il faut déjà être conscient des challenges. Or il reconnaît qu’il « ne voit pas trop d’actions du gouvernement en France sur l’explication des régulations à venir ». À ses côtés le 25 novembre pour discuter du sujet, Maître Denise Lebeau-Marianna — chargée des affaires liées à la protection des données personnelles au cabinet d’avocat Baker & McKenzie —  confirmait ce manque d’information, et pas seulement en France. Elle citait notamment une étude sur la préparation des entreprises au GDPR menée par Dimensional Research et parue en septembre 2016. Sur 821 ingénieurs informatiques ou directeurs d’entreprises du secteur de la donnée, 31 % ont entendu parler du GDPR mais ne connaissent pas son contenu, et 18 % n’en ont même jamais entendu parler.

 

Faute de préparation, il faudra gérer les risques… et les sanctions

Pour Claire Levallois-Barth, il apparaît évident que toutes ces limites font que les entreprises ne seront pas toutes conformes dès 2018 à l’ensemble des points du GDPR. Que se passera-t-il alors ? « Le GDPR encourage les entreprises à mettre en œuvre des mesures de protection correspondant au niveau de risque présenté par leurs activités de traitement de données personnelles. Il appartient alors à l’entreprise de quantifier et d’évaluer le risque. Il s’agit ensuite de supprimer, ou à tout le moins de diminuer les risques sur certains points, sachant que le nombre de traitements se chiffre par dizaine, voire par centaines dans certaines entreprises » explique-t-elle. Quels seront ces points ? Cela dépendra de chaque entreprise, de ce qu’elle propose à ses utilisateurs et de sa capacité à se transformer en deux ans.

Et si ces entreprises ne parviennent pas à se mettre à temps en conformité, elles s’exposeront à des sanctions potentielles. L’un des grands axes du GDPR est en effet la montée en échelle des amendes pour les acteurs du numérique qui ne respecteraient pas leurs obligations, notamment les droits des utilisateurs. En France, la Cnil avait la possibilité d’imposer une sanction maximale de 150 000 € avant que la loi pour une République numérique n’augmente ce montant à 3 millions d’euros. Mais le GDPR, règlement européen d’application directe, abrogera dès mai 2018 cette partie de la réglementation française pour imposer des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel des entreprises.

C’est le nouveau Comité européen de protection des données — actuellement nommé G29 — qui aura pour mission de mettre en musique le règlement. Cet organisme, qui réunit l’ensemble des Cnils de l’Union européenne, vient de publier ses trois premiers avis sur les points de la régulation qui demandent des précisions, dont la portabilité et le DPO. Cela devrait permettre de lever certaines incertitudes, dont la plus grande reste encore celle de l’efficacité réelle du GDPR à terme.

Car si en théorie, la régulation proposée par l’UE vise à permettre une meilleure protection des données personnelles des utilisateurs dans notre environnement numérique et une simplification administrative, les choses semblent actuellement floues sur biens des points. « Tant que le règlement n’est pas entré en vigueur et que la Commission européenne n’a pas publié les actes d’exécution le déclinant, il est très difficile de dire si la protection sera effectivement renforcée pour les citoyens » conclut Claire Levallois-Barth.

 

19 réponses

Trackbacks (rétroliens) & Pingbacks

  1. […] à la vie privée, à la protection des données à caractère personnel mentionnée dans le RGPD qui a été adopté en 2016 et qui est entré en vigueur au niveau de l’Union européenne en […]

  2. […] [ Interview : Données personnelles : comment le GDPR rebat les cartes en Europe par Claire Levallois-… […]

  3. […] > Données personnelles : comment le GDPR rebat les cartes en Europe […]

  4. […] controversé car, hébergé aux États-Unis, il pose des questions de conformité notamment avec le RGPD […]

  5. […] questions, et les grands acteurs américains travaillent sur ces enjeux. Cependant, on a vu avec le RGPD que l’Europe pouvait faire bouger les lignes, puisque notre règlementation sur les données […]

  6. […] le RGPD est entré en application récemment, en plaçant l’Europe à l’avant-garde de la protection […]

  7. […] pour lui une forte puissance de marché et une régulation pionnière autour de certaines valeurs, comme la protection des données personnelles. Son plus gros point faible est un manque de leadership économique qui se traduirait par […]

  8. […] la droite lignée du concept de Data Protection by design, tel que codifié par l’article 25-1 du règlement général sur la protection des données personnelles (RGPD). Ainsi, le plus en amont possible de la conception et du déploiement de solutions […]

  9. […] équitable, la valeur qu’elles ont extraite” détaille Antonio Casilli. En mai dernier, le règlement général sur la protection des données (RGPD) est entré en application dans l’Union Européenne. Entre autres, ce texte protège […]

  10. […] Données personnelles : comment le GDPR rebat les cartes en Europe […]

  11. […] Nous garantissons aussi la confidentialité des réponses, ce qui est évidemment important dans le cadre du RGDP. C’est surtout un gage de neutralité entre l’acteur qui souhaite récolter des informations et […]

  12. […] fermier, l’Union européenne l’a prise en compte. À tel point que les articles 42 et 43 du nouveau règlement européen sur la protection des données personnelles (RGPD, GDPR en anglais pour General Data Protection Regulation) sont consacrés à cette idée. La […]

  13. […] [ Interview : Données personnelles : comment le GDPR rebat les cartes en Europe par Claire Levallois-… […]

  14. […] > Données personnelles : comment le GDPR rebat les cartes en Europe […]

  15. […] semaines de l’entrée en vigueur du règlement européen sur la protection des données (RGPD, GDPR en anglais), la question de la confiance à l’ère du numérique est plus que jamais […]

  16. […] Données personnelles : comment le GDPR rebat les cartes en Europe […]

  17. […] Données personnelles : comment le GDPR rebat les cartes en Europe […]

  18. […] Données personnelles : comment le GDPR rebat les cartes en Europe […]

  19. […] Ma position n’est évidement pas contre ces discours institutionnels. On peut penser ici au GDPR qui, au moment précis où nous parlons, est plus que bienvenu pour assurer une certaine protection […]

Laisser un commentaire

Rejoindre la discussion?
N’hésitez pas à contribuer !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *