Le RGPD : Un défi pour les entreprises
Le 25 Mai 2018, le France va adopter le règlement général européen sur la protection des données (RGPD). Les premières visées par la réforme sont les entreprises utilisant de près de ou de loin les données personnelles de leurs utilisateurs. Un dispositif qui représente un véritable défi mais qui apparaît complexe à mettre en place.
Pour les états membres de l’UE, l’adoption du RGPD représente une modernisation de la législation de chacun en matière de protection des données. En France, la dernière loi sur l’informatique et libertés de 1978 apparaissait bien loin face à la réalité du numérique. Destiné à protéger les consommateurs, le RGPD parait en mesure de garantir de meilleurs contrôles de traitement via des outils de qualité et ainsi contribuer notamment à réduire considérablement les vols d’identités. Pour les entreprises, les changements à anticiper sont nombreux et la complexité certaine.
Le RGPD : avant tout une nécessité pour l’Europe
Voté par le Parlement européen, le règlement sera adopté par l’ensemble des entreprises détenant des informations sur des citoyens de l’UE. Cela concerne les adresses e-mails, les adresses IP ou encore les données bancaires. En France, la CNIL (Commission Nationale Informatique et Libertés) sera chargée de contrôler le respect du règlement. Cette réglementation n’a pas été notifiée par hasard mais fait suite aux plaintes de nombreux internautes concernant la diffusion de leurs données personnelles à des marques ou encore au non-respect du droit à l’oubli. Ne nous y trompons pas, ce nouveau règlement est bel et bien indispensable. En effet, les informations collectées généralement pour un objectif marketing sont bien souvent détournées à des fins nuisibles pour les utilisateurs. Ce constat a conduit l’Europe à réagir afin de garantir la liberté et la sécurité de ses citoyens. En ce sens, les nouvelles dispositions du RGPD offrent le droit de mener une action en justice contre toute entreprise ne respectant pas les demandes liées au droit à l’oubli, à la portabilité des données (droit à les récupérer et en disposer librement) et au droit à l’information en cas de piratage de celles-ci.
Des obligations vis-à-vis du RGPD pour les entreprises
L’autre objectif du règlement européen est incontestablement de responsabiliser les entreprises qui traitent les données. Ce nouveau mécanisme « d’accountability » les contraint à s’autocontrôler.
Bien que la mise en œuvre du dispositif puisse s’avérer très complexe, il représente toutefois une chance pour les entreprises de valoriser leurs données. Leurs bonnes utilisations peuvent constituer un formidable booster de renforcement de réputation et de l’image. Néanmoins, des impératifs s’imposent et pas des moindres…
L’une des idées mise en avant dans le RGPD est celle du « privacy by default ». Ce concept nécessite d’avoir une vision globale des traitements. Les entreprises de plus de 250 salariés qui traitent régulièrement des données devront les recenser à travers un « registre des traitements ». En réalité, il s’agit de prouver que l’ensemble de leurs traitements respectent les règles applicables.
Une prérogative également valable pour le marketing. Le « privacy by design » impose à une entreprise de prendre en compte la protection des données en amont de la conception d’un produit ou d’un service. Une difficulté certaine tant l’union entre le marketing et le traitement des données est sacrée pour certaines entreprises mais pas non plus insurmontable. Les signatures numériques nécessaires pour son utilisation peuvent par exemple jouer ce rôle d’assureur. Autre obligation qui incombe aux entreprises est celui du droit à l’effacement mis en avant via l’article 17. Celui-ci indique que « toute personne a le droit d’obtenir du responsable de traitement l’effacement, dans les meilleurs délais, de données à caractères personnelles ».
Mais le RGPD ne s’arrête pas là, en interne, les entreprises vont devoir désigner un délégué à la protection des données : « Le Data Protection Officer ». En premier lieu, le DPO informe et conseille sur les obligations et droits en ce qui concerne les données. Son second champ d’action est celui de contrôler l’application du RGPD dans l’entreprise. Enfin, il est l’unique interlocuteur de l’entreprise par rapport aux différentes autorités de contrôle.
Des sanctions en cas de non-respect, en réalité les risques vont bien au-delà
Dans son aspect pratique, le RGPD contient 99 articles qui représentent un danger pour les entreprises qui ne les respectent pas. En Europe, la sanction maximale prévue va jusqu’à 4% du chiffres d’affaires mondial, plafonné à 20M€.
Au-delà de ces impératifs purement règlementaires, le traitement des données entre au cœur des enjeux concurrentiels pour les entreprises. Une mauvaise gestion du « data » peut engendrer un impact très négatif. L’exemple de Equifax aux Etat-Unis en est la preuve. Pour rappel des faits, le 7 septembre dernier, la société avait annoncé un vol massif de ses données. En quelques jours, sa valeur boursière fut divisée par deux. Une sanction qui va bien au-delà des 4%…
En réalité, le fondement du texte pousse les entreprises à repenser sa relation avec les clients et partenaires mais aussi à s’autocontrôler. Le RGPD tombe à point nommé pour penser une politique data au service d’une meilleure relation marque consommateur. Une confiance plus que jamais indispensable à la construction d’une réputation durable des entreprises.
A quelques mois de son entrée en vigueur, le RGPD reste une source d’inquiétude importante pour les entreprises. Les derniers chiffres prouvent que moins de 30% des entreprises françaises sont prêtes. Le travail s’avère colossal pour regrouper l’ensemble des données et la note s’annonce particulièrement salée pour les grandes entreprises.