2018 : année de la confiance renouvelée par la mise en conformité

2018 : année de la confiance renouvelée par la mise en conformité

Alors que les entreprises et collectivités disposaient de deux ans pour se mettre en conformité, force est de constater que pour la plupart d’entre elles, le chemin à parcourir reste long, parfois très long. Un article du Figaro en date du 7 décembre 2017[2] fait état d’une étude IDC France réalisée pour le Syntec Numérique indiquant que seules 9% des entreprises françaises considèrent être déjà en conformité et que 42% d’entre elles disent « prendre tout juste conscience » du sujet.

La mise en conformité est principalement perçue comme générant un coût financier, dès lors qu’elle nécessite soit des embauches, soit de faire appel à des prestataires de services et de modifier les systèmes d’information en changeant les solutions logicielles ou en en acquérant de nouvelles, en effectuant, le cas échéant, des développements spécifiques pour mettre en oeuvre le principe de privacy by design. La mise en conformité est également perçue comme une source de complication administrative, compte tenu de la réorganisation plus ou moins importe qu’elle suppose.

Mais la mise en conformité, qui n’est qu’une des facettes de la nécessaire transformation digitale des entreprises, est surtout une occasion d’optimiser l’organisation et de redonner confiance aux partenaires, aux donneurs d’ordre, aux clients et usagers, ainsi qu’aux autorités de contrôle (qui ne se réduisent pas à la CNIL, même si son rôle est évidemment central en France).

Confiance des clients ou usagers, confiance des donneurs d’ordre lorsque l’entreprise agit en tant que sous-traitante, confiance des autorités chargées de contrôler la légalité des traitements.

Aujourd’hui plus que jamais, la mise en conformité doit être perçue comme permettant, au moyen de l’avantage comparatif lié à la confiance dans les produits ou services proposés, de conquérir des parts de marché ou de ne pas les perdre au profit d’autres prestataires offrant une meilleure protection des données à caractère personnel.

 

Gagner la confiance des usagers et clients

Les usagers des services sur internet sollicitent de plus en plus de gages de sécurité quant à l’utilisation qui est faite de leurs données. L’usager souhaite rester maître de ses données personnelles. Une étude médiamétrie pour la chaire Valeurs et politiques des informations personnelles de l’Institut Mine-Télécom (IMT) montrait en juin 2017 que 91% des répondants souhaitaient garder le contrôle de leurs données. 45% indiquent quant à eux effectuer des réglages des paramètres de confidentialité, ce qui montre une réelle évolution des mœurs. La médiatisation des piratages et vols de données, particulièrement nombreux en 2017 (Numéricable, Uber, Cdiscount,…), ne vont faire qu’augmenter la méfiance des usagers et, partant, augmenter le besoin de confiance.

Communiquer sur la conformité au RGPD permettra aux entreprises et/ou collectivités d’engranger de la confiance auprès. En effet, les obligations inscrites dans ce texte visent à mieux prendre en compte les droits des personnes concernées par les traitements de données. Sans dresser une liste exhaustive de ces obligations, certaines sont particulièrement illustratives.

Les deux grands principes que sont le privacy by design et le privacy by default permettent de garantir que l’application ou le service proposé sont en conformité dès leur conception et que cette conception a même été pensée pour respecter les données des usagers. Le respect de ces principes permet de garantir que les données collectées sont par défaut celles strictement nécessaires au traitement. Il y a fort à parier que la mise en avant du respect de ces deux principes par une application sera une publicité très efficace.

Le RGPD offre par ailleurs aux personnes concernées par le traitement de nombreux droits. Parmi eux : le droit à l’effacement (droit à l’oubli) permettant de demander au responsable de traitement la suppression des données personnelles sous certaines conditions, le droit à la portabilité, permettant de demander le transfert des données vers un autre responsable de traitement, le droit de rectification ou encore le droit d’opposition.

Si ces droits ne sont pas tous nouveaux, l’un d’entre eux, contraignant pour le responsable de traitement, permet lui aussi de faire prévaloir la confiance envers les usagers : l’obligation de notifier aux personnes concernées, dans les meilleurs délais, toute violation de leurs données « susceptible d’engendrer un risque élevé pour [s]es droits et libertés » (article 34 RGPD). La personne concernée doit pouvoir être informée de toute violation de ses données personnelles.

Cette volonté de remettre la personne concernée au cœur du traitement se ressent enfin par l’obligation de transparence qui accompagne l’obligation d’information relative aux finalités des données traitées, leur transmission à d’autres destinataires,… Cette obligation de transparence (article 12 RGPD) vient qualifier la façon dont les informations doivent être transmises. Ces informations doivent être transmises de façon « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples (…) ». L’étude précitée menée par Médiamétrie faisait justement ressortir que les internautes ne lisaient pas les CGU car trop longues pour 80% et surtout peu claires pour 42%. Un responsable de traitement qui, sur une page, décrit en termes clairs et simples dans quels buts les données sont collectées procurera une plus grande confiance à ses utilisateurs.

Ces quelques points démontrent que les entreprises en conformité gagneront des usagers des clients – ou n’en perdront pas au profit d’entreprises conformes – en créant une relation de confiance.

 

Gagner la confiance des donneurs d’ordre

La mise en conformité s’avérera particulièrement bénéfique aux prestataires agissant en qualité de sous-traitants au sens du RGPD. Ces derniers sont définis par le RGPD comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » (article 4 RGPD). On pense tout naturellement aux entreprises proposant des services externalisés en mode SaaS qui vont traiter des données personnelles pour le compte de leurs clients.

Or, l’entrée en vigueur du RGPD va obliger chaque responsable de traitement à faire appel uniquement « à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (article 28 RGPD).

De nombreuses obligations seront par ailleurs demandées aux sous-traitants telles que celle consistant à aider le responsable de traitement à assurer correctement ses obligations en matière de sécurité ou de notification des violations de données, l’aider à donner suite aux demandes des personnes concernées par le(s) traitement(s) ou encore l’obligation de mettre à la disposition du responsable de traitement toutes les informations permettant de démontrer le respect de ses obligations en tant que sous-traitant.

Ainsi, un sous-traitant qui aura anticipé la mise en conformité et qui pourra s’en prévaloir aura, en plus d’une longueur d’avance par rapport à de nombreux concurrents, l’occasion de nouer ou de renouer une relation de confiance avec ses clients, rassurés par le fait de faire appel à un sous-traitant qui ne l’expose pas à d’éventuels risques de sanctions. Rappelons que la CNIL sanctionne la négligence du responsable de traitement qui ne vérifie pas les garanties offertes par ses sous-traitants[3].

 

Gagner la confiance des autorités

Enfin, anticiper la mise en conformité, c’est, en cas de contrôle, gagner la confiance des autorités. En effet, le RGPD est fondé sur le principe d’accountability qui oblige les responsables de traitement et sous-traitants à pouvoir prouver à tout moment qu’ils respectent les règles du RGPD. Dans le cadre de la mise en œuvre du principe d’accountability, trois éléments sont essentiels : le registre, le délégué à la protection des données ou « Data Protection Officer (DPO) » et l’analyse d’impact sur la protection des données ou « Data Protection Impact Assessment » (DPIA).

La tenue du registre des traitements est, en pratique, une obligation pour tous les organismes. Tout responsable de traitement ou sous-traitant devra avoir et tenir à jour un registre dans lequel seront répertoriés l’ensemble des traitements et tous les événements notables relatifs à ces traitements (finalités, transferts éventuels, durée de conservation, mesures de sécurité,…). Un registre complet permettra aux autorités d’avoir une vision d’ensemble de la politique en matière de données personnelles menée au sein de l’organisme. Pour ce dernier, le registre à jour sera un outil précieux pour répondre aux questions en cas d’audit ou de contrôle.

Le DPO, qui n’est obligatoire que dans certains cas, mais est recommandé dans tous les cas, permettra l’instauration puis le respect de la politique relative aux données personnelles dans l’organisme, ainsi que la coopération avec l’autorité de contrôle. Le DPO sera en effet l’interlocuteur privilégié fort de sa maîtrise des différents traitements et de la politique interne. La mise en conformité permettra ainsi de gagner en sérénité en cas d’éventuel contrôle.

Le DPIA, s’il est mis en œuvre à chaque fois qu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées constitue probablement la garantie de conformité la plus importante, ainsi que la meilleure manière de justifier des mesures de protection mises en place ainsi que des raisons qui ont présidé au choix de ces mesures.

***

Le RGPD doit, par conséquent, être considéré comme une occasion à saisir pour toute entreprise et toute collectivité en vue de gagner la confiance de ses clients ou utilisateurs. La mise en conformité dans les six prochains mois n’est donc pas une simple dépense réalisée en vue de respecter des règles légales mais bien un investissement sur lequel il sera possible de communiquer utilement.

L’année 2018 sera certes l’année du RGPD mais aussi et avant tout l’année de la confiance pour les acteurs qui se seront mis en conformité.

Pascal ALIX, avocat et correspondant informatique et libertés

Hubert de SEGONZAC, avocat et correspondant informatique et libertés

***

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[2] Données personnelles, les entreprises françaises dépenseront 1 milliard d’euros en 2018, in Le Figaro, 7 décembre 2017, Lucie Ronfaut

[3] Délibération de la formation restreinte n° SAN-2017-010 du 18 juillet 2017 prononçant une sanction pécuniaire à l’encontre de la société HERTZ FRANCE

Comments are closed.