C’est l’amende prévue en cas de défaillance dans la protection des données personnelles, pour toutes les entreprises qui ont des contreparties dans l’Union Européenne.

Cette mesure est introduite par le nouveau Règlement Européen sur les Données Personnelles (plus connu sous son acronyme anglais « GDPR ») qui entre en vigueur en mai 2018, et qui vise à garantir la protection homogène des données personnelles dans tous les États membres de l’UE.

Le GDPR s’applique à toute organisation qui traite les données personnelles de citoyens européens, qu’elle soit établie ou non dans l’UE. Une entreprise suisse qui traite ou collecte les données de clients, d’employés ou de fournisseurs européens devra donc s’y conformer.

1) Comparaison entre les exigences réglementaires en matière de protection des données personnelles en Suisse et le GDPR:

Le GDPR couvre «toute information se rapportant à une personne physique identifiée ou identifiable ». Cette définition est très large et inclut spécifiquement des exigences relatives aux données personnelles sensibles telles que l’origine ethnique ou raciale, les orientations religieuses, les opinions politiques ou encore les données génétiques.

La Suisse va également aligner son cadre légal pour assurer un niveau de protection des données élevé: la révision de la loi fédérale AP-LPD entrera en vigueur au plus tôt en janvier 2019, et elle suit l’Europe dans ses lignes directrices telles que le droit d’accès, le droit à l’oubli, le privacy-by-design ou encore la notification de violations des données.

Les sanctions pénales sont toutefois moins lourdes en Suisse que celles prévues par le GDPR, et l’AP-LPD ne prévoit ni le droit à la portabilité, ni recours aux class-actions.

Malgré les disparités, on peut s’attendre à ce qu’émergent des accords bilatéraux entre l’UE et la Suisse pour transférer les données privées des citoyens européens qui garantiront un niveau de sécurité au moins équivalent à celui du GDPR.

2) Les nouveautés introduites par le GDPR et les difficultés probables :

Le GDPR introduit de nouvelles obligations pour les entreprises : informer les personnes concernées de leur droit de réclamation, des garanties particulières en cas de transferts de données vers un pays tiers, le droit à la portabilité ou encore l’information en cas de profilage.

Il est également nouveau de devoir prendre en compte la protection des données dès la conception d’un produit/service (la fameuse « privacy by design »). Concrètement, les entreprises devront s’attacher dès la R&D à la protection des données personnelles via une analyse d’impacts. Chaque traitement de données devra systématiquement être décrit, sa nécessité évaluée, les risques liés devront être évalués et si possible atténués. D’un point de vue technique, les entreprises devront se doter de processus qui leur permettront de déceler les failles, d’alerter l’autorité de contrôle ou la personne concernée et d’apporter des mesures correctives.

Avec le GDPR, toute personne bénéficie également d’un droit à l’oubli numérique et à l’effacement. Ainsi, vous pourrez demander à n’importe lequel de vos fournisseurs de données ou médias sociaux tel que Facebook de supprimer toutes vos données de leur bases, ce qui n’est pas possible aujourd’hui.

Avec un droit à la portabilité, le GDPR reconnaît aux personnes concernées un rôle actif pour récupérer leurs données et pour renforcer leur droit d’accès. D’un point de vue pratique, ce nouveau droit requiert implicitement une concertation et une standardisation des moyens de récupération et de transfert des données. Par ailleurs, si elles ne sont pas directement communiquées par la personne concernée, les données (de localisation ou de trafic) peuvent. Celles-ci seront-elles également visées par le nouveau droit?

Par ailleurs, les entreprises devront distinguer les données délibérément fournies par la personne (âge, nom, adresse…) – auxquelles s’applique le droit à la portabilité – de celles qui en sont dérivées : par exemple les données de « profilage » comme la prédiction d’éléments concernant la santé, les préférences personnelles, les intérêts, la localisation et les déplacements …).

Une violation du Règlement pourra déclencher une plainte auprès d’une autorité de contrôle. Les contrôles seront renforcés par le GDPR, et de lourdes sanctions (pouvant monter à 4 % de leur chiffre d’affaires mondial ou 20 millions d’euros) pénaliseront toute entreprise qui n’aura pas respecté le Règlement.

Outre les enjeux techniques pour se mettre en conformité avec le GDPR, les processus à revoir et les risques de pénalités financières, le véritable enjeu pour les entreprises est de pouvoir continuer à créer de la valeur à partir des données. La donnée est le nouvel or noir, parmi les plus grosses capitalisations boursières, on trouve Alphabet (la société qui détient Google), Amazon, Apple, Facebook (les GAFA) et Microsoft. Amazon capte la moitié de l’argent dépensé sur internet aux Etats-Unis. L’exploitation de la donnée (la « data economy ») par ses géants du web leur a donné un pouvoir énorme. Une gouvernance propre à la donnée, telle que mise en place par le GDPR devrait donc rétablir un équilibre.

3) Le GDPR en réponse aux modèles fermés et privatisés proposés par les GAFA.

Le cœur du métier des GAFA est donc d’exploiter des données (nos données), mais leurs services ne sont pas gratuits : ils reposent sur la monétisation de notre vie privée. En réponse à cette hégémonie, le nouveau droit à la portabilité des données introduit par le GDPR vise à favoriser la concurrence et l’émergence de nouveaux acteurs.

Pour satisfaire le droit à l’oubli, le droit à la portabilité, le droit à retirer son consentement et le droit à s’opposer au profilage, les opérations de traitement à grande échelle censées affecter un grand nombre de personnes devront faire l’objet d’analyses systématiques d’impacts. Ces analyses devront évaluer la probabilité et la gravité du risque de perte de donnée, et déterminer les mesures à prendre afin de prouver la conformité avec le Règlement. C’est un véritable exercice de transparence que devront réaliser les GAFA en démontrant la nécessité et la proportionnalité de chaque traitement de données.

Le coût des analyses d’impacts et des efforts de mise en conformité associés sera d’autant plus élevé que la société est grosse (le cabinet Sia Partners l’a évalué à 1.2M d’Euros pour une société côtée au CAC40).

Le profilage, défini par le GDPR comme: « Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique », autorisée mais strictement encadré (et interdit pour des données « sensibles »).

Pour des entreprises telles que Google et Facebook, qui valorisent les données de leurs utilisateurs par le ciblage comportemental, ou Apple et Amazon qui collectent les informations pour recommander des produits et inciter à l’achat, l’analyse d’impact doitpermettre de classifier les donnée par criticité (due dilligence) et puis de définir les mesures de sécurité à mettre en œuvre.

Si la défiance envers les services des GAFA augmente avec le nombre et l’ampleur des cyber-attaques (Yahoo! détient le triste record du plus grand vol de données personnelles de l’histoire de l’Internet), elle ne limite en rien leur usage. Le GDPR a le mérite de mettre la question de la confiance et de la sécurité au cœur de l’avenir digital.

Reste à savoir si les missions confiées aux autorités de contrôle pourront être exercées en toute indépendance face à la capacité d’influence des GAFA qui pèsent financièrement bien plus lourd que certains Etats.

4) Le Data Protection Officer : un acteur de premier rang.

Toute entreprise de plus de 250 employés qui traite des données personnelles à grande échelle aura l’obligation de nommer un Délégué à la Protection des Données (Data Protection Officer – DPO, en anglais). Il jouera le rôle d’interface entre l’entreprise et l’organisme de régulation.

Dans la fiche de poste du DPO, figure la mise en place des mesures techniques et organisationnelles permettant la conformité au GDPR. Pour y parvenir, le Règlement l’invite à se soumettre aux codes de conduite et aux processus de certification.

L’indépendance du DPO est un challenge pour les entreprises, car pour assurer sa mission essentielle, il devra être totalement indépendant et devra reporter hiérarchiquement au niveau le plus élevé de l’entreprise. Il pourra éventuellement être externalisé.

Le DPO prendra part à la revue de conformité : il mettra en place les processus de détermination des traitements de données et il validera les mesures correctives.Il devra coordonner les différents métiers de l’entreprise (IT, juridique, RH, marketing…). Il ne sera pas uniquement un juriste ou un responsable compliance. S’il doit détenir des connaissances spécialisées en droit et des pratiques en protection des données, il est essentiel qu’il possède également de bonnes connaissances en technologies de l’information, en communication, en gestion des risques et enfin en gestion de projet car la mise en conformité touchera toutes les lignes de métiers. Bref, un véritable couteau suisse!

5) Quelle aide apporte Antaes aux entreprises suisses dans la mise en conformitéGDPR?

Antaes aide les entreprises à identifier et gérer les risques et opportunités associés à la protection des données à caractère personnel. leur permettant ainsi de répondre de façon stratégique aux défis posés par un environnement technologique et réglementaire évoluant rapidement.

A partir d’un audit de conformité complet de l’organisation, de ses processus et outils technologiques vis-à-vis de chaque exigence du GDPR, nos experts évaluent le degré de maturité de l’entreprise.

Nous conseillons nos clients sur comment gérer de façon conforme et efficace leurs données et flux de données au sein de leur organisation.

Parce que le facteur humain est partie prenante essentielle à la protection des donnes, nous formons les créateurs et utilisateurs des données et DPO aux nouvelles exigences réglementaires GDPR et aux bonnes pratiques en matière de protection et de confidentialité des données.

Nos outils informatiques permettent d’intégrer les principes de protection des données dès la conception (« privacy-by-design ») et par défaut (« privacy-by-default ») au sein même des infrastructures informatiques existantes.

Notre approche multifactorielle (facteurs humain, technologique, organisationnel et processus) permet à nos clients de tirer le meilleur parti des nombreuses opportunités offertes par le GDPR et la révolution digitale.

Conclusion:

Les divergences de règles en matière de protection des données personnelles sont dommageables à la libre concurrence entre entreprises européennes et suisses.

Avec une harmonisation de ces règles et l’apport de plus de transparence, le GDPR sera bénéfique pour les entreprises et les citoyens européens.

Les délais de mise en conformité réglementaire sont courts mais les sanctions financières et une prise de conscience accrue des risques encourus sont un argument de poids pour engager les changements stratégiques et opérationnels nécessaires.

Le GDPR par le renforcement de la protection des données à caractère personnel permet la valorisation de ces dernières et à ce titre, constitue un réel atout stratégique et économique pour les entreprises.

Au-delà des exigences réglementaires, la mise en conformité avec le Règlement permet à une entreprise de renforcer la confiance avec les clients, partenaires et collaborateurs tout en préservant sa réputation et son image de marque.

Copyright © Monde Economique – Tous droits réservés