RGPD : l’urgence de se saisir de la protection des données pour innover et rester compétitif
 

RGPD : l’urgence de se saisir de la protection des données pour innover et rester compétitif

 
 

A partir du 25 mai 2018, les entreprises devront être en conformité avec le RGPD. Mais de quoi s’agit-il exactement ? De quelle manière ce Règlement européen sur la protection des données va-t-il impacter les entreprises ? Quelles actions sont à mettre en place ?    Éric Pérès, vice-président de la Commission nationale de l’informatique et des libertés (CNIL) apporte son éclairage.
 
 

RGPD : une mise en œuvre simplifiée du traitement des données à caractère personnel

Le RGPD est un Règlement général sur la protection des données. Pas n’importe lesquelles puisqu’il s’agit des données à caractère personnel, c’est-à-dire tout élément qui permet d’identifier, directement ou indirectement, une personne. Avec la révolution numérique, les entreprises sont amenées à collecter et à traiter d’importants volumes de données personnelles. Et cela ne cesse de croître. A l’avenir, elles vont devoir faire preuve d’une plus grande vigilance dans la façon dont elles en assurent la protection.
En effet, dès le 25 mai 2018, le RGPD, acte juridique européen, va encadrer la protection des données personnelles sur l’ensemble du territoire de l’Union. Et contrairement à une directive, le règlement va s’imposer à tous ses Etats membres, quelle que soit leur législation nationale en la matière. La loi française Informatique et Libertés (1978) sera prochainement modifiée à cet effet. En outre ce règlement s’inscrit dans une double inspiration : alléger considérablement le contrôle a priori et responsabiliser les responsables de traitement, qui doivent prouver qu’ils protègent correctement les données.
Jusqu’à présent, en France, les entreprises, les administrations ou les personnes morales devaient accomplir des formalités auprès de la CNIL pour mettre en œuvre des traitements de données personnelles (déclaration, autorisation, demande d’avis…). Avec le RGPD on change de paradigme : moins de contrôle en amont, mais des sanctions plus lourdes en cas d’infraction.

 
 

Les menaces réelles du règlement européen

Cette liberté d’action a une contrepartie… loin d’être insignifiante. Par exemple, si une entreprise est au cœur d’une fuite de données — serveur hacké, faille de sécurité —, elle devra déclarer l’incident auprès de la CNIL dans les 72 heures et corriger immédiatement l’incident.
Les entreprises qui n’auraient pas pris le soin d’établir des dispositifs de protection conforme au RGPD prendront le risque de se voir infliger des sanctions financières bien plus lourdes qu’à l’heure actuelle. Celles-ci pourront atteindre jusqu’à 4 % du chiffre d’affaires mondial consolidé de l’entreprise, contre trois millions d’euros aujourd’hui.
 
 

RGPD : de la contrainte naît une opportunité

Le RGPD, qui certes simplifie les démarches, apparaît encore aux yeux de certaines entreprises comme une contrainte. Cependant, elles auraient tout intérêt à se saisir du règlement pour en faire un levier de différenciation compétitive. En effet, avec l’économie du numérique, la confiance et la transparence dans le traitement des données personnelles vont devenir des atouts clés. A ce titre, la protection et l’innovation se conjuguent pour devenir un argument de vente.
Les entreprises vont pouvoir tisser un lien de confiance avec leurs et leurs collaborateurs :  
  • en s’assurant que la collecte des données est loyale, basée sur le consentement et respectueuse de la vie privée
  • en donnant la possibilité aux personnes de savoir ce qui est concrètement fait à partir de leurs données
  • en leur permettant de mieux paramétrer et contrôler leurs données avec la possibilité de les récupérer
  Elles réussiront ainsi à diminuer ce déficit de confiance dans l’économie numérique, en raison des risques réels d’atteinte à la vie privée.
Pour les ressources humaines, c’est exactement la même chose : elles doivent transformer la contrainte du RGPD en une force. Grâce à des outils numériques, elles ont de véritables marges d’action : détecter les talents, sécuriser leurs recrutements, etc. Pour collecter les informations dont elles ont besoin, tout en instaurant un climat de confiance, elles doivent respecter trois principes :  
  • Le principe de finalité : les entreprises peuvent traiter les données personnelles des salariés dans le respect de la loi mais elles doivent préciser pourquoi ce traitement est nécessaire. Si ce dernier vise à accompagner les collaborateurs dans leur carrière, dans la sécurisation de leurs parcours professionnels alors l’outil numérique complètera l’action du DRH.
  • Le principe de proportionnalité : si pour cette finalité, le traitement numérique repose sur une collecte d’informations éloignées et disproportionnées au regard de la finalité poursuivie (collecte de données privées sur les réseaux sociaux, collecte de données sur les orientations politiques, syndicales ou religieuses), l’entreprise prend le risque d’être sanctionnée.
  • Le principe de loyauté : en mettant en place un traitement de données, l’entreprise doit jouer la carte de la transparence en consultant les IRP, en informant les salariés sur leurs droits. Il faut leur en expliquer la finalité, le fonctionnement, et permettre à chacun de se saisir de l’enjeu.


 
 

RGPD vs Big Brother

Une entreprise qui perçoit le numérique uniquement comme un moyen de renforcer le contrôle (géolocalisation de certains personnels, caméras de surveillance, badges avec puces RFID…), risque de se mettre en contradiction avec le RGPD et d’altérer le climat de confiance. L’innovation portée par le numérique apparaîtra comme suspecte aux yeux des collaborateurs.   Heureusement, la majeure partie des entreprises ne joue pas à Big Brother. Même s’il existe encore des dérives sur ce point, et dans certains environnements professionnels un management traditionnel qui considère que pour être productif, une surveillance accrue des salariés se révèle indispensable.
 
 

RGPD : trop d’entreprises encore dans le flou

A ce jour, trop d’entreprises ne sont pas encore au fait de ce qui les attend en mai 2018.
De nombreuses TPE et PME risquent d’être sanctionnées soit parce qu’elles ont une méconnaissance juridique du RGPD, soit parce qu’elles n’ont pas pris conscience de l’enjeu, voire les deux. Elles sont aujourd’hui très loin de ces problématiques. A la CNIL, nous réfléchissons à un outil clé en main, un pack de conformité pour les aider.
Les grandes entreprises, quant à elles, posent moins de questions parce qu’elles ont souvent des bataillons de juristes capables de faire face au changement. En revanche, ont-elles saisi que c’est l’ensemble de la chaîne de valeur de l’entreprise qui doit être revue et corrigée ? Rien n’est moins certain, car elles ont encore tendance à traiter ce sujet par silos, pensant que seuls les départements juridiques et SI sont concernés. Or, c’est une erreur qui pourrait les conduire devant de grandes difficultés.
En effet, il faut comprendre que le RGPD met en place une nouvelle grammaire du traitement des données au sein des entreprises. C’est une toute nouvelle façon de construire de la valeur ajoutée. Et il faut que cette grammaire soit comprise à tous les niveaux. Les chefs de service marketing, vente, achat, finance, gestion… doivent être formés afin que des notions telles que la protection de la vie privée, la sécurité des données, le droit à l’oubli ou la portabilité des données soient comprises.


 
 

Les actions à mettre en place de toute urgence

Avec une deadline qui approche à grands pas, les entreprises doivent au plus vite :  
  • se saisir du RGPD et en comprendre la portée en se tournant vers leur département juridique, leur cabinet d’avocats ou en se rapprochant de la CNIL. De nombreuses fiches explicatives et outils d’analyses sont déjà à leur disposition pour les aider dans cette transition.
  • si ce n’est pas déjà fait, elles ont l’obligation de nommer un DPO, un Data Protection Officer ou un délégué à la protection des données. Son rôle est essentiel puisqu’il va notamment être en capacité d’échanger avec les responsables de service sur les différents enjeux du RGPD.
  • réaliser une cartographie identifiant tous les traitements de données mis en œuvre au sein des et identifier les traitements à risques.
  • former et sensibiliser les collaborateurs sur le sujet. Les entreprises doivent repenser leur gouvernance, savoir si elles ont les compétences en interne, articuler la protection des données avec la cybersécurité et faire remonter les enjeux de protection au niveau des décisions stratégiques pour être arbitrés au niveau des comités de direction.
  • réaliser des études d’impact sur la vie privée lors de la mise en place de dispositifs. En effet, autant un programme concernant les chèques cadeaux ne devrait pas poser trop de problèmes, autant un traitement de données sensibles (santé, orientations sexuelles, opinions politiques, appartenance syndicale) peut se révéler à fort risque.
  Face à l’enjeu crucial du RGPD pour les entreprises, un énorme travail reste à accomplir. Rappelons que nous allons avoir un règlement d’une portée colossale qui va avoir des impacts considérables sur le fonctionnement des entreprises, notamment en termes de risque à gérer. Ce règlement remet les acteurs internationaux à égalité de concurrence : même s’ils ne sont pas établis en, dès lors qu’ils ciblent un utilisateur européen, la loi européenne s’applique. Si on souhaite relever les défis économiques et hisser la France au plus haut niveau de l’Europe dans ce domaine, les pouvoirs publics doivent se saisir au plus vite des enjeux du RGPD pour accompagner l’ensemble des acteurs économiques.