La course suscitée par la nouvelle réglementation RGPD a déjà commencé. Le premier prix pour les plus rapides ? La confiance des clients !

Nous avons tous vu ce spot publicitaire…Un homme passe tranquillement à vélo par la forêt, au milieu de rien et là un forestier rencontré par hasard l’aborde : « Bonjour Arnaud, 27 ans, en couple avec Marie depuis 3 ans et 4 jours, fan de pizza au fromage …» et ainsi de suite. Drôle et angoissante à la fois, la publicité vise à dénoncer les pratiques de traçage des moteurs de recherche qui collectent incessamment la moindre information que nous confions sur le Web. L’omniprésente mondialisation et le développement accéléré des technologies ont créé de nombreux nouveaux défis pour la protection de la vie privée et des données à caractère personnel. Jamais autant d’informations n’avaient été collectées et partagées, les nouvelles technologies permettant aux entreprises privées et aux autorités publiques d’échanger des données sur les personnes dans le cadre de leurs activités professionnelles. Mais est-ce toujours licite et conforme à la réglementation ? La loi s’intéresse-t-elle assez à ce domaine ?

Le compte à rebours pour la nouvelle loi

Soucieux de couvrir ce vaste domaine et de protéger les individus dans leurs droits, le Parlement Européen a adopté le Règlement Général sur la Protection des Données (General Data Protection Regulation, n° 2016/679) le 27 avril 2016. La nouvelle législation entrera en application le 25 mai 2018, dans à peine quelques jours, et introduira un régime unique de protection des données en Europe renforçant les droits des personnes et la transparence tout en étant basée sur la conformité et l’auto-responsabilisation des entreprises. Selon l’article 7 du préambule du règlement, les évolutions technologiques dont nous sommes témoins « requièrent un cadre de protection des données solide et plus cohérent dans l’Union, assorti d’une application rigoureuse des règles, car il importe de susciter la confiance qui permettra à l’économie numérique de se développer dans l’ensemble du marché intérieur. Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant. La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les opérateurs économiques et les autorités publiques ».

Un tel effort demandé par le législateur pourrait facilement être perçu comme une source de problèmes pour une entreprise : effort financier, organisationnel, perte de temps alors que d’autres projets pourraient être réalisés… Ceux qui s’arrêteront là, passeront à côté du potentiel de cette régulation et des bénéfices qui peuvent aller loin au delà de la conformité. Pour les entreprises qui ont attendu trop longtemps pour s’intéresser au sujet de la protection de données, le règlement est un vrai coup de pouce qui va leur permettre de moderniser leur système et de redevenir compétitives en améliorant le cadre de la gouvernance des informations dans leur organisation.

Objectifs clés de la Réglementation

D’après la CNIL; la Commission Nationale de l’Informatique et des Libertés créée par la Loi Informatique et Libertés du 6 janvier 1978 et chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés; la réforme de la protection des données poursuit 3 objectifs :

• Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures;
• Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants);
• Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Vous pourrez trouver plus d’informations sur les 3 objectifs et leurs impacts sur le site de la CNIL.

De mon côté, j’ajoute un 4ème objectif, peut-être pas exprimé clairement dans le texte, mais qui n’en est pas moins important : la volonté d’aligner l’Europe aux standards globaux de la protection des données ce qui va offrir aux entreprises européennes une opportunité de devenir encore plus compétitives au niveau mondial en proposant des produits et services de qualité supérieure.

Principes à respecter et pourquoi ça en vaut la peine

Afin de réaliser ces objectifs, le règlement dresse dans l’article 5 la liste des principes à respecter lors de la collecte, du traitement et de la conservation de données personnelles.

Licéité, loyauté et transparence

Le principe de licéité, loyauté et transparence exige en toute simplicité d’indiquer le type de données collectées, la raison pour laquelle elles sont collectées ainsi que d’informer les personnes sur les traitements auxquels sont soumises des données les concernant (art. 5.1a).

Il n’est pas difficile de comprendre que la loyauté envers le client est le concept clé du règlement et utiliser cette clé de manière intelligente va permettre à l’entreprise de tirer des profits de la nouvelle situation : plus le client a confiance dans la marque, plus il lui confiera facilement ses données. C’est un moyen de garder ses clients déjà existants mais aussi une opportunité d’en acquérir de nouveaux en récupérant les clients des entreprises qui ont tardé à se montrer dignes de confiance.

Minimisation des données

Le principe de minimisation des données repose sur le fait que seules les données strictement nécessaires à la réalisation de l’objectif (adéquates, pertinentes et limitées) peuvent être collectées(art. 5.1c).

Le responsable de traitement ne doit donc pas collecter plus de données que ce dont il a vraiment besoin. Fini les questions sur votre état de santé quand vous achetez des casseroles en ligne et sur votre situation économique quand vous essayez de vous inscrire à la piscine !

Attention cependant, cela ne veut pas dire que le RGPD va forcément limiter l’accès aux données personnelles dont l’entreprise disposait déjà auparavant. Une approche intelligente du sujet va non seulement permettre de garder les informations qu’une entreprise détient déjà mais aussi de gagner un accès plus large à des données pouvant être mieux utilisées et partagées. La confiance du client est un vrai facilitateur de business, encore plus à l’époque du tout online où l’on n’a que peu de chances de rencontrer notre interlocuteur en tête à tête pour négocier l’offre.

Limitation des finalités

Le principe de la limitation des finalités stipule que les données à caractère personnel ne peuvent être collectées et traitées que pour des finalités déterminées, explicites et légitimes, et ne peuvent pas être traitées ultérieurement d’une manière incompatible avec ces finalités, ne correspondant donc pas aux missions de l’établissement, responsable du traitement etc. (art. 5.1b).

Cependant, l’entreprise peut toujours essayer de convaincre un client que lui fournir plus de données personnelles est un échange gagnant-gagnant. Puisque le client est toujours plus enclin à partager ses informations quand il y voit clairement son avantage, il va falloir que l’entreprise réussisse à donner de la valeur à l’échange de données personnelles contre de meilleurs services, mieux personnalisés grâce à ces informations.

Limitation de la conservation

En accord avec le principe de limitation de la conservation des données, les entreprises doivent conserver les données permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. En tant que client, vos données personnelles ne peuvent donc plus être conservées à l’infini sans votre consentement (art. 5.1e).

Si le bénéfice pour le client est évident, qu’en est-il pour l’entreprise ? Le fait de nettoyer les bases de données de manière systématique permet clairement d’augmenter la valeur des données stockées : à jour et mieux qualifiées, ces informations permettent de prendre de meilleures décisions et donc de mieux identifier les opportunités business.

Intégrité et confidentialité

Ensuite, selon le principe de l’intégrité et confidentialité, le responsable du traitement des données personnelles doit en garantir la sécurité, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle (art. 5.1f).

Responsabilité

Le responsable du traitement doit aussi et surtout être capable de démontrer sa conformité avec tous les autres principes, c’est le principe de responsabilité (art. 5.6). Ce point est crucial pour l’entreprise, qui en cas de faute risque de sévères amendes, mais aussi et surtout la perte de la confiance de ses clients, un préjudice encore plus douloureux. Les exemples récents de Yahoo et Tesco prouvent que suivre les règles du RGPD ne peut que protéger l’entreprise d’une dégradation de son image suite à des violations de données.

Exactitude

Enfin, il reste le principe le plus humain et le plus important de tous, le principe de l’exactitude accordant aux individus le droit d’accéder aux données les concernant, de les rectifier et enfin de s’opposer à leur utilisation (art. 5.1d).

Le RGPD demande que toutes les données à caractère personnel soient exactes et, si nécessaire, tenues à jour. Par ailleurs toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.

Qu’est-ce exactement que ce droit à l’exactitude ?

Les droits concernant l’exactitude des données à caractère personnel mentionnés sont décrit en détails dans la suite du Règlement :

Droit à l’information et l’accès aux données à caractère personnel

Toute personne a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées (art. 15.1) et demander au responsable du traitement une copie des données à caractère personnel faisant l’objet d’un traitement (art. 15.3).

Droit à la rectification et l’effacement

La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes (art. 16) ainsi que d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais (art. 17) si certains conditions sont remplies.

Droit d’opposition et prise de décision individuelle automatisée

La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant (art. 21.1) ainsi que le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire (art. 22.1).

Tout cela semble bien lourd comme obligation pour les entreprises, puisqu’il leur faut mettre en place des mécanismes coûteux et maintenir des infrastructures. Cependant, il ne faut pas perdre des yeux les bénéfices à long terme de cette mise en place. Une fois la confiance du client gagnée, celui-ci nous confiera ses données à caractère personnel plus facilement puisque il sera sûr qu’à chaque moment il peut corriger les inconsistances et même interdire l’accès à certains pans de ses données. La mise à jour donnera aussi une occasion de renouveler le contact avec le client qu’on a perdu de vue depuis un moment. En prenant les devants, on donnera l’image d’une entreprise qui se plie volontairement aux exigences du législateur et accomplit d’elle même sa responsabilité sociale : il y a de quoi gagner des points et de nouveaux clients!

Facile ? Non, pas tellement.

D’ailleurs, c’est le droit à l’effacement et l’obtention du consentement non ambigu qui seraient à la tête de la liste des défis que le RGPD dresse pour les entrepreneurs. Selon l’étude de Deloitte publiée en février 2018, GDPR, le challenge des entreprises, ce n’est pas le « quoi » mais le « comment » qui constitue le plus grand défi de cette loi par ailleurs plutôt neutre technologiquement. L’étude montre que les exigences suivantes constituent les plus grands défis pour les organisations, par ordre de difficulté : d’abord le consentement, puis le droit à l’effacement, le registre d’activité des traitements, la reddition des comptes et enfin la portabilité des données.

Par ailleurs, selon une autre étude publiée par Deloitte en novembre 2017, The Deloitte General Data Protection Regulation Benchmarking survey, seulement 15% d’entreprises et organisations s’estimaient en mesure d’être en conformité au 25 mai 2018.

L’important ici n’est pas forcément la date exacte d’entrée en vigueur du texte, mais le fait d’avoir amorcé le processus de conformité et engagé les transformations que la loi exige, pour que toutes les entreprises et organisations atteignent tôt ou tard la conformité. Ceci n’est pas une révolution, mais une évolution : les grands principes du RGPD résident précisément dans ces notions de privacy, by design et by default, sans fermer la porte à une certaine adaptabilité.

Démocratisation de la protection

Mais qu’est-ce que ce « Privacy by design » ?

Ce terme anglais difficile à traduire signifie que le responsable doit s’assurer, dès la conception de l’architecture du traitement, qu’il existe des paramètres par défaut assurant la protection des données à caractère personnel. Il s’agit donc de garantir la protection de la vie privée dès la conception. D’après la CNPD (Commission Nationale pour la protection des données luxembourgeoise), « le concept de “Privacy by Design” a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception. Pour chaque nouvelle application, produit ou service traitant des données à caractère personnel, les entreprises et autres responsables du traitement devraient offrir à leurs utilisateurs ou clients le plus haut niveau possible de protection des données ». Il s’agit donc d’une totale démocratisation du droit à la protection des données personnelles, inhérent à chaque partage d’informations réalisé par l’internaute.

Ces concepts novateurs du législateur européen sont-ils une menace, comme les considèrent les entreprises essayant à tout prix de devenir conformes à temps afin d’éviter les pénalités sévères de la non-conformité avec le RGPD; ou bien constituent-ils une opportunité pour les acteurs du marché à la base de laquelle un nouveau type de contrat de confiance pourra se créer, entre les entreprises et les personnes utilisant leurs services ?

A mon avis, tout penche plutôt en faveur de cette deuxième version, même si tous ne le réalisent pas encore clairement. Pour l’entreprise, la donnée est devenue un nouvel actif stratégique majeur. Elle doit donc être exploitée et protégée avec les mesures appropriées, la confiance dans le numérique et dans l’usage de l’information étant devenue impérative. Comme dit la loi, il importe de susciter la confiance qui permettra à l’économie numérique de se développer dans l’ensemble du marché intérieur (article 7 du préambule). Cette exigence ne devrait pas être perçue comme un risque mais comme une opportunité pour développer un atout concurrentiel et un catalyseur de business.

Au delà de la conformité

Comme le démontrent les nombreux exemples cités dans les paragraphes précédents, le Règlement Général sur la Protection des Données est une opportunité à saisir, pour l’Europe entière à l’échelle macro (avantage concurrentiel au niveau global), comme pour chaque entreprise française et européenne à l’échelle micro. Mieux gérer l’utilisation des données mène à de meilleures décisions commerciales et donc à mieux satisfaire le client en lui proposant des produits et des services sur mesure. En atténuant les risques, on gagne également un marketing plus pertinent, soutenu par des données mises à jour par les clients eux-mêmes. Respecter cette base commune permet également de mieux se préparer aux futures réglementations qui encadreront demain les nouveaux gisements de données personnelles ou les nouvelles méthodes de recherche en ligne. La standardisation des règles autorise également de nouveaux niveaux d’échange de données entre les secteurs publics et privés. Enfin, on améliore à la fois l’engagement et la perception positive de la marque, ce qui conduit à une meilleure connaissance des clients puisque ces derniers deviennent plus enclins à confier leurs informations personnelles.

Conclusion ? Les entreprises doivent comprendre qu’avoir un accès aux données à titre personnel est un privilège qui se mérite. Une fois acquis, il est source de nombreux avantages qui vont bien au delà de la conformité avec la loi. Dans un monde où l’on devient de plus en plus méfiant vis à vis des organismes anonymes qui cherchent à capter nos goûts, nos choix ou nos préférences, une entreprise saine et digne de confiance qui offre un traitement des données à titre personnel honnête, transparent et respectueux des règles du jeu ne peut qu’être gagnante !