GDPR, vous connaissez ? Pourtant vous devriez, sous peine de mettre votre entreprise à la faute…
Le Réglement Général sur la Protection des Données (RGPD, ou GDPR dans la langue de Shakespeare), entre en vigueur le 25 mai 2018. Il définit les règles de traitement des données personnelles des ressortissants de l’UE. Y compris pour les entreprises lorsqu’elles exercent en dehors de l’UE. Chronique d’une révoluion annoncée.
Derrière ce terme barabre se cache la volonté de l’Union Européenne de restreindre l’utilisation des données liées à la numérisation galopante de nos activités. Cette nouvelle législation sera plus restrictive, avec des sanctions assez lourdes à la clé. Vous pensez que cela ne concernera pas les entreprises suisses ? Erreur ! Ces nouvelles règles du jeu visent le traitement des données personnelles de ressortissants européens. Dès lors, si vous réalisez des affaires en Europe (vente de produits ou de services) ou si vos campagnes marketing visent des membres de l’UE, vous n’y échappez pas.
Quelles données, quels individus ?
Mais commençons par le commencement : que se cache-t-il derrière le terme « données personnelles » ? A priori, rien de bien nouveau : adresse email ou postale, numéros de téléphone, poste dans l’entreprise. Mais demain, d’autres éléments vont venir se rajouter avec la GDPR : données de localisation, cookies, identifiants, éléments permettant de vous identifier physiquement, etc.
Le GDPR renforce le droit à disposer de ses données
Voilà pour le caractère personnel des données. Mais à quels individus ces critères vont-ils s’appliquer ? Pour les entreprises, le champ d’application est assez large. Il comprend les clients évidement, mais aussi les fournisseurs, les sous-traitants et les salariés. Avec au final des traitements et des sources de données bien différents.
Quelles sont les obligations ?
Le principe fondateur de cette nouvelle réglementation est simple : le renfort du droit à disposer de ses données et à en garder le contrôle, et par conséquent la protection de la vie privée.
Dorénavant, les entreprises devront prendre en compte ces contraintes dès l’étude de la mise en place de tout nouveau système. Ce que l’UE qualifie de « privacy by design« , ou protection dès la conception. Par exemple : votre tout nouveau système d’emailing qui traque l’activité des utilisateurs doit inclure un droit à l’oubli. En effet, tout contact inactif depuis 3 ans doit être supprimé systématiquement d’une base marketing. Par ailleurs, chaque système de traitement de données devra inclure dès le départ une option de consentement (opt-in), consentement que l’utilisateur doit avoir la possibilité de refuser.
Les données ne seront désormais plus qu’en prêt auprès des entreprises qui les exploitent
Les traitements des données personnelles devront faire l’objet d’un registre. Ce registre devra contenir l’ensemble des traitements qui est effectué sur ces données. Reprenons l’exemple de votre sytème d’emailing. Il doit conserver une trace des tous les envois effectués, adresse par adresse, à vos contacts. Y compris date d’envoi, contenu, etc. De la même façon, si vous traitez vos contacts par profilage avec des cookies, vous devrez garder une trace de ces traitements dans votre registre.
Quelles conséquences pour les individus ?
Par principe, chaque individu reste propriétaire de ses données, qui ne font plus l’objet que d’un prêt aux enteprises qui les exploitent.
Dans le détail, voici quelques conséquences bien réelles. Premièrement, le principe de transparence doit s’appliquer : chacun a le droit de savoir à quoi servent ses données. En second lieu, tout un chacun peut faire valoir le droit à ne pas faire l’objet d’une décision basée exclusivement sur un traitement automatisé. C’est le cas évidemment du ciblage publicitaire. Ce même ciblage doit laisser la possibilité à tout moment de se désinscrire.
Côté risque ? Jusqu’à 4% du CA plafonné à 20Mio d’euros. Ca fait réfléchir.
Last but not least, vous pourrez faire valoir un droit à l’oubli généralisé en réclamant la suppression de vos données (vous y penserez probablement lorsqu’on vous démarchera au téléphone à domicile). Et ces données doivent être exportables par l’individu concerné, c’est-à-dire que vous pouvez savoir quelles sont les données qui ont été récoltées sur vous.
Quels sont les risques ?
Les sanctions sont assez lourdes pour les entreprises. Avec un risque d’amende jusqu’à 4% du chiffre d’affaires, et un plafond à 20Mio d’euros. Vous avez bien lu. Si ces sanctions pourraient s’avérer dérisoires pour les GAFA (Google, Amazon, Facebook, Apple), elles pourraient être fatales pour les petites entreprises. Il y a fort à parier tout de même que l’UE se focalise dans un premier temps sur les grands groupes cités plus haut, dont le fonds de commerce et la prospérité sont basés en majorité sur le traitement de ces données.
Pour vous mettre en conformité : évaluation puis transformation
Si les modifications peuvent paraître titanesques, l’UE accorde aux entreprises 2 années pour se mettre en conformité. Il vous appartient donc de faire auditer votre situation dès maintenant, et de mettre sur pied un plan de mise à niveau. Avec quels coûts ? C’est ce que nous allons voir.
Comment se mettre en conformité avec la GDPR ?
Vous devrez passer au travers de deux phases bien distinctes : évaluation puis transformation.
Un audit interne tracera en particulier un inventaire des données personnelles que vous manipulez, et des processus associés. Vous pourrez alors établir un classement du traitement de ces données, du plus conforme au moins conforme.
Une fois ce classement réalisé, viendra le temps de la transformation. Il est peu probable que vous passiez l’audit haut la main. Notamment parce que certaines contraintes sont nouvelles, et que vous n’avez rien prévu pour y faire face. Qui dispose aujourd’hui d’un registre des traitements ? Votre système d’information devra être adapté. Soit en surface, soit en profondeur. Je ne saurai que trop vous conseiller, en cas de chagement profond, de passer sur des systèmes Cloud qui, au-delà des avantages merveilleux qu’ils offrent au jour le jour, seront plus rapidement en conformité. Et vous éviteront de passer tout votre budget IT dans ces nouvelles obligations. La grande majorité des éditeurs Cloud planchent déjà sur leur adaptation à la GDPR.
Vos processus doivent suivre le mouvement
Les changements technologiques ne feront malheureusement pas tout. Votre gouvernance interne – la façon dont vous gérez les données – devra être adaptée pour se conformer à ce nouveau réglement. Avec à la clé des habitudes de travail qu’il faudra bouleverser. Et ne pensez pas, si votre clientèle est 100% suisse, que vous pourrez passer au travers des gouttes. La Loi sur la Protection des Données suit généralement les directives européennes. Et il y a peu de chance qu’elle fasse exception cette fois-ci.
A la lecture de ces lignes, vous pouvez vous retrouver dans l’une ou l’autre des deux situations suivantes. Soit vous n’avez rien compris. Et dans ce cas, nous vous invitons à nous contacter. Soit vous prenez peur, et dans ce cas, nous vous invitons aussi à nous contacter. Vous ne pourrez pas faire l’impasse sur ce sujet. Mais il n’est pas raisonnable de paniquer. Cette transformation ne sera pas douloureuse si elle est accompagnée convenablement.
Steel Blue : all inclusive, all right !