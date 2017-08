La Suisse est concernée par le nouveau règlement

vendredi, 18.08.2017

Protection des données. L’UE prévoit une amende qui peut atteindre 4% du chiffre d’affaires mondial.

Diane Aguayo*



Cette mesure est introduite par le nouveau Règlement européen sur les données personnelles (plus connu sous son acronyme anglais GDPR) qui entre en vigueur en mai 2018, et qui vise à garantir la protection homogène des données personnelles dans tous les États membres de l’Union européenne.

Le GDPR s’applique à toute organisation traitant les données personnelles de citoyens européens, qu’elle soit établie ou non dans l’UE. Une entreprise suisse qui traite ou collecte les données de clients, d’employés ou de fournisseurs européens devra s’y conformer. Le GDPR couvre «toute information se rapportant à une personne physique identifiée ou identifiable» telles que l’origine ethnique ou raciale, orientations religieuses, opinions politiques ou données génétiques.

Avec la révision de la loi fédérale AP-LPD pour janvier 2019, la Suisse suit l’Europe dans ses lignes directrices telles que le droit d’accès, le droit à l’oubli, le privacy-by-design ou encore la notification de violations des données.

Les sanctions pénales sont moins lourdes en Suisse que celles prévues par le GDPR, et l’AP-LPD ne prévoit ni le droit à la portabilité, ni recours aux class-actions. Malgré les disparités, des accords bilatéraux entre l’UE et la Suisse pourraient émerger pour transférer les données privées des citoyens européens qui garantiront un niveau de sécurité au moins équivalent à celui du GDPR.

De probables difficultés

Le GDPR introduit de nouvelles obligations pour les entreprises: informer les personnes concernées de leur droit de réclamation, des garanties particulières en cas de transferts de données vers un pays tiers, le droit à la portabilité ou encore une l’information en cas de profilage.

Il est aussi nouveau de devoir prendre en compte la protection des données dès la conception d’un produit/service (privacy by design). Concrètement, les entreprises devront s’attacher dès la R&D à la protection des données personnelles via une analyse d’impacts. Chaque traitement de données devra systématiquement être décrit, sa nécessité évaluée, les risques liés devront être évalués et si possible atténués. D’un point de vue technique, les entreprises devront se doter de processus leur permettant de déceler les failles, d’alerter l’autorité de contrôle ou la personne concernée et d’apporter des mesures correctives.

Avec le GDPR, toute personne bénéficie d’un droit à l’oubli numérique et à l’effacement. Ainsi, vous pourrez demander à n’importe lequel de vos fournisseurs de données ou médias sociaux tel que Facebook de supprimer toutes vos données de leurs bases, ce qui n’est pas possible aujourd’hui. Avec un droit à la portabilité, le GDPR reconnaît aux personnes concernées un rôle actif pour récupérer leurs données et pour renforcer leur droit d’accès. Ce nouveau droit requiert implicitement une concertation et une standardisation des moyens de récupération et de transfert des données. Mais si elles ne sont pas directement communiquées par la personne concernée, les données de localisation ou de trafic seront-elles aussi visées par le nouveau droit?

Les entreprises devront distinguer les données délibérément fournies par la personne (âge, nom, adresse) – auxquelles s’applique le droit à la portabilité – de celles qui en sont dérivées: par exemple les données de «profilage» comme la prédiction d’éléments concernant la santé, les préférences personnelles, les intérêts, la localisation et les déplacements. Une violation du règlement pourra déclencher une plainte auprès d’une autorité de contrôle et de lourdes sanctions (pouvant monter à 4% de leur chiffre d’affaires mondial ou 20 millions d’euros).

Le véritable enjeu pour les entreprises est de pouvoir continuer à créer de la valeur à partir des données. La donnée est le nouvel or noir des plus grosses capitalisations boursières comme Alphabet (holding de Google), Amazon, Apple, Facebook (les GAFA) ou Microsoft. L’exploitation de la donnée (la data economy) par ses géants du web leur a donné un pouvoir énorme. Une gouvernance propre à la donnée, telle que mise en place par le GDPR devrait donc rétablir un équilibre.

Réponse aux modèles fermés et privatisés des Gafa

Le cœur du métier des Gafa est donc d’exploiter nos données, leurs services reposent sur la monétisation de notre vie privée. En réponse à cette hégémonie, le nouveau droit à la portabilité des données introduit par le GDPR vise à favoriser la concurrence et l’émergence de nouveaux acteurs. Pour satisfaire le droit à l’oubli, le droit à la portabilité, le droit à retirer son consentement et le droit à s’opposer au profilage, les opérations de traitement à grande échelle censées affecter un grand nombre de personnes devront faire l’objet d’analyses systématiques d’impacts. Ces analyses devront évaluer la probabilité et la gravité du risque de perte de donnée, et déterminer les mesures à prendre afin de prouver la conformité avec le règlement. C’est un véritable exercice de transparence que devront réaliser les Gafa en démontrant la nécessité et la proportionnalité de chaque traitement de données.

Le coût des analyses d’impacts et des efforts de mise en conformité associés sera d’autant plus élevé que la société est grande (le cabinet Sia Partners l’a évalué à 1,2 millions d’euros pour un groupe du CAC40). Le profilage, ou utilisation des données personnelles pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, le comportement ou la localisation, est autorisé mais strictement encadré (et interdit pour des données sensibles).

Pour des entreprises telles que Google et Facebook, qui valorisent les données de leurs utilisateurs par le ciblage comportemental, ou Apple et Amazon qui collectent les informations pour recommander des produits et inciter à l’achat, l’analyse d’impact doit permettre de classifier les donnée par criticité (due diligence) et puis de définir les mesures de sécurité à mettre en œuvre.

Si la défiance envers les services des Gafa augmente avec le nombre et l’ampleur des cyberattaques (Yahoo! détient le triste record du plus grand vol de données personnelles de l’histoire d’internet), elle ne limite en rien leur usage. Le GDPR a le mérite de mettre la question de la confiance et de la sécurité au cœur de l’avenir digital. Reste à savoir si les missions confiées aux autorités de contrôle pourront être exercées en toute indépendance face à la capacité d’influence des Gafa qui pèsent financièrement bien plus lourd que certains Etats.

Le rôle de Data Protection Officer

Toute entreprise qui traite des données personnelles à grande échelle aura l’obligation de nommer un Délégué à la protection des données (Data Protection Officer – DPO). Il jouera le rôle d’interface entre l’entreprise et l’organisme de régulation. Dans la fiche de poste du DPO, figure la mise en place des mesures techniques et organisationnelles permettant la conformité au GDPR. Pour y parvenir, le Règlement l’invite à se soumettre aux codes de conduite et aux processus de certification.

L’indépendance du DPO est un challenge pour les entreprises, car pour assurer sa mission essentielle, il devra être totalement indépendant et devra reporter hiérarchiquement au niveau le plus élevé de l’entreprise. Il pourra éventuellement être externalisé. Le DPO mettra en place les processus de détermination des traitements de données et validera les mesures correctives. Il devra coordonner les différents métiers de l’entreprise (IT, juridique, RH, marketing). S’il doit détenir des connaissances spécialisées en droit et des pratiques en protection des données, il est essentiel qu’il possède de bonnes connaissances en technologies de l’information, communication, gestion des risques et gestion de projet car la mise en conformité touchera toutes les lignes de métiers. Bref, un véritable couteau suisse!

Des divergences dommageables

Les divergences de règles en matière de protection des données personnelles sont dommageables à la libre concurrence entre entreprises européennes et suisses. Avec une harmonisation de ces règles et l’apport de plus de transparence, le GDPR sera bénéfique pour les entreprises et les citoyens européens. Les délais de mise en conformité réglementaire sont courts mais les sanctions financières et une prise de conscience accrue des risques encourus sont un argument de poids pour engager les changements stratégiques et opérationnels nécessaires.

Le GDPR par le renforcement de la protection des données à caractère personnel permet la valorisation de ces dernières et à ce titre, constitue un réel atout stratégique et économique pour les entreprises. Au-delà des exigences réglementaires, la mise en conformité avec le Règlement permet à une entreprise de renforcer la confiance avec les clients, partenaires et collaborateurs tout en préservant sa réputation et son image de marque.

* Consultante senior chez Antaes