11 janvier 2018 Données personnelles : une nouvelle règle qui ne fait pas que des malheureux !

A partir du 25 mai 2018, les entreprises européennes, mais aussi toutes celles du monde entier qui collectent des informations permettant d’identifier un citoyen européen, devront se plier à de nouvelles exigences. – Shutterstock

La réglementation européenne sur les données entrera en vigueur dans moins de six mois. Plus contraignante et assortie d’amendes très lourdes, elle inquiète de nombreuses entreprises. Mais les géants américains du numérique ne devraient pas trop en souffrir. Et quelques start-up espèrent déjà en tirer profit.

L’échéance approche à grands pas, et c’est un événement mondial. Dans moins de six mois, le Règlement général sur la protection des données (RGPD) aura force de loi. Le 25 mai 2018, les entreprises européennes, mais aussi toutes celles du monde entier qui collectent des informations permettant d’identifier un citoyen européen devront se plier à de nouvelles exigences. Responsabilisées, elles devront pouvoir justifier à tout moment d’un usage raisonné de ces « data », chez elles et chez leurs sous-traitants. Les sociétés contrevenantes s’exposeront à une amende égale à 4 % de leur chiffre d’affaires mondial. La sanction, considérablement alourdie par rapport à la précédente directive en vigueur, fait pâlir plus d’un patron .

Adopté par le Parlement européen en avril 2016, le désormais fameux « RGPD » donnait deux ans aux entreprises et aux administrations pour se conformer à ses obligations et ses préconisations. Par exemple, les entreprises devront obligatoirement mener une étude d’impact à chaque fois qu’elles envisageront un traitement de données à risque élevé. Le texte demande aussi aux sociétés manipulant beaucoup de données à caractère personnel – celles du numérique et les grands groupes – de tenir un registre recensant ligne à ligne ces informations, ainsi que les traitements qui y sont appliqués : quel croisement de fichiers ? dans quel but ?

Mais la tâche est souvent plus ardue qu’il n’y paraît. Chargés de faire le ménage et de supprimer des données recueillies sans le consentement explicite des principaux intéressés, les informaticiens se grattent longtemps la tête, de peur que la disparition d’un fichier fasse bugger tout un système . Pour ne rien arranger, prendre ces mesures coûte cher : entre 30 et 50 millions d’euros pour un groupe du CAC 40, selon des études Sia Partners ou Wavestone. Chez les assureurs et les banques, gros collecteurs d’informations personnelles, la facture sera encore plus lourde.

« Trouver un juste équilibre »

Toutes ces contraintes pour quoi ? « Dans ce nouveau monde, il faut trouver un juste équilibre qui permette à la fois de faire émerger de nouveaux services utiles basés sur l’utilisation de nos données personnelles, mais aussi de veiller à la protection de ces mêmes données personnelles pour garantir les libertés », expliquait récemment Isabelle Falque-Pierrotin, la patronne de la Commission nationale de l’informatique et des libertés (CNIL) dans une interview aux « Echos » . Et de poursuivre : « […] de grands groupes comme Facebook ou Google […] savent désormais que s’ils veulent venir sur notre marché, ils doivent respecter les conditions que nous leur fixons ».

Tout comme l’Europe entend se défendre des pratiques fiscales des géants mondiaux du numérique , le continent des Lumières entend se prémunir de la vision très permissive des acteurs américains en matière d’exploitation des données. Mais rien n’est encore joué sur ce point. Très actifs auprès des parlementaires européens au moment de l’écriture du RGPD, les juristes de ces sociétés américaines ont très tôt compris les enjeux et… repéré de possibles arrangements.

Une notion trop vague

Par exemple, elles n’auront pas forcément besoin de demander le consentement des citoyens européens pour traiter leurs données. Le texte les y autorisera si elles justifient d’un « intérêt légitime ». Or « la prospection commerciale est considérée comme un intérêt légitime par le RGPD », critique l’avocat spécialisé Olivier Iteanu. Une formulation qui fait le bonheur des acteurs de la publicité numérique. Seul garde-fou à cette notion bien vague, cet intérêt ne doit pas prévaloir sur les droits fondamentaux de l’individu, comme le droit à la vie privée.

Sur cette base, Google, Facebook, Apple, Amazon et les autres grands éditeurs de logiciels et de services Internet se sont mis en ordre de bataille pour obtenir leur blanc-seing de conformité. Chez Microsoft, pas moins de 300 ingénieurs travaillent pour rendre conforme l’entreprise de Redmont aux yeux de Bruxelles. Résultat, les mauvais élèves du passé se montrent aujourd’hui comme des modèles qui peuvent aider leurs clients à franchir le pas.

Certes, la menace d’une méga-amende pèse sur les géants du numérique hors-la-loi. Le nouveau texte prévoit de pouvoir infliger à Facebook une amende maximum de 860 millions d’euros, sur la base d’un montant de 4 % de son dernier chiffre d’affaires annuel. C’est bien davantage que les 150.000 euros de sanction qui lui ont été prononcés en mai dernier en France, pour manquements à la loi Informatique et Libertés. Mais encore faudra-t-il que les organismes de régulation aient les moyens, notamment humains, de mener leurs contrôles, y compris outre-Atlantique où les données sont souvent transférées.

Vers une économie «privacy by design »

Le gendarme français sera la CNIL, associée à ses pairs européens. Rassurante, elle précise même que le couperet de l’amende ne tombera pas, au début, sur les aspects les plus nouveaux du texte. Mieux, la Commission se présente également volontiers comme un conseiller pour une économie « privacy by design », c’est-à-dire respectueuse des données personnelles.

La CNIL voit au-delà du marché de la mise en conformité, qui a explosé cette année. Dès maintenant, juristes, sociétés de cybersécurité et éditeurs de logiciels de classification des données profitent de la peur de l’amende ; tandis que les assureurs se préparent. A partir du 25 mai 2018, des entrepreneurs pourraient, dans l’esprit du régulateur, créer des modèles économiques s’appuyant sur la confiance des internautes en matière de données personnelles. L’Afnor planche même sur une certification en ce sens.

Par exemple, le nouveau droit à la portabilité des données (un internaute peut demander les données le concernant à une entreprise afin de les communiquer à une autre) doit rendre accessibles des données de qualité afin d’en tirer plus de valeur. Déjà, des sociétés comme Qwant, le moteur de recherche alternatif à Google , ou Cozy Cloud, un hébergeur de fichiers en ligne, espèrent qu’être nés du bon côté de la loi leur assurera une crédibilité plus forte par rapport aux nouveaux convertis. Ils pourraient faire des émules. Aux consommateurs européens de choisir leur camp.

Source : https://business.lesechos.fr

Ajouter un commentaire

  • A COMPTER DU 25 MAI 2018, toutes les entreprises qu’elles soient basées au sein de l’Union Européenne ou non devront être en conformité avec les règles édictées par le règlement européen du 27 avril 2016 relatif à la protection des données personnelles, dès lors qu’elles collectent des données concernant des citoyens européens.

    La gestion des ressources humaines est directement impactée au sein des entreprises dans la mesure où elle génère une collecte, un traitement et un stockage de nombreuses données personnelles sur les salariés à l’occasion des recrutements, embauches, payes, entretiens, etc…

    En cas d’infraction ou de non-conformité, vous encourrez une amende d’un montant variant entre 2 et 4 % de votre chiffre d’affaire annuel, ce qui peut très vite chiffrer… En effet par exemple, une petite entreprise réalisant un chiffre d’affaire annuel de 400 000 € encourt une amende de 16 000 € !

    Commentaire par Alain DISS le 10 avril 2018 à 22 h 15 min
  • Nous y sommes, depuis hier le big bang de la protection des données est applicable par l’Europe à toutes les entreprises européennes ou travaillant avec l’europe : http://www.lesechos.fr/tech-medias/hightech/0301714895240-leurope-lance-son-big-bang-de-la-protection-des-donnees-2178428.php#xtor=EPR-7-%5Bmatinale%5D-20180525-%5BProv_%5D-2810841

    Commentaire par Alain DISS le 26 mai 2018 à 17 h 16 min
0