RGPD : guide de survie à destination des opérateurs de place de marché
Les opérateurs de marketplace seront grandement impactés par le règlement général sur la protection des données (RGPD). A partir du 25 mai 2018, ils devront être le chef d'orchestre de cette danse autour des données du client, qui tournent de mains en mains entre les différents acteurs de la place de marché. Amazon, Booking, Cdiscount… Tous ces opérateurs sont nécessairement concernés, puisque la valeur même de leur société repose sur le traitement des données. Ne pas s'occuper de cette problématique peut entraîner des sanctions pénales et financières, jusqu'à 20 millions d'euros et 4% du chiffre d'affaires mondial de l'entreprise. Voici ci-dessous quelques recommandations sélectionnées par le JDN issues du livre blanc "RGPD et Marketplace" réalisé par le cabinet Haas Avocats, spécialisé en droit des nouvelles technologies, et par Izberg, l'éditeur de solution de gestion à destination des opérateurs de places de marché.
1. Diagnostiquer les traitements existants
Au préalable, ce livre blanc conseille aux opérateurs de déterminer le statut de chacun des acteurs de la place de marché, ainsi que la manière dont ces derniers traitent les data. De la collecte jusqu'à la destruction. Opérateurs, vendeurs tiers, logisticiens, gestionnaires de flux, SSII, fournisseurs de services SaaS, prestataires de services de paiement, compagnies d'assurance, régies publicitaire… Tous les acteurs de l'écosystème doivent être sondés.
2. Créer un registre des activités de traitement
Les opérateurs ont l'obligation légale d'élaborer et de tenir un registre des activités de traitement, sous forme écrite, selon l'article 30 du RGPD. Que doit-il contenir ? Tout d'abord, la finalité du traitement : ce peut être l'envoi de newsletter ou une campagne marketing par SMS. Le nom et les coordonnées du responsable du traitement sont à indiquer. Tout comme la description des catégories des personnes concernées. Par exemple, les clients ou encore les prospects. Ce registre référence notamment les catégories des données à caractère personnel traitées. Les délais prévus pour l'effacement de données doivent aussi être précisés.
3. Réaliser une étude d'impact (PIA)
L'étude d'impact sur la vie privée ou PIA (privacy impact assessment) est un outil essentiel apparu avec le RGPD. Cette étude devient obligatoire lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Par exemple avec des données à caractère personnel. Elle peut être réalisée en interne, notamment via un outil mis à disposition par la CNIL, ou externalisée. Concrètement, il s'agit de tests d'intrusions doublés d'une analyse juridique pour évaluer le niveau de sécurité de la place de marché. L'objectif : déterminer la nature et l'ampleur des mesures techniques et organisationnelles à mettre en œuvre au niveau d'une application, d'une solution informatique, voire d'une plateforme. Ces éléments débouchent sur un rapport technique et juridique de l'opérateur qui détermine le degré de risque au travers de différents facteurs :
- La robustesse et l'étanchéité de l'infrastructure informatique.
- Le volume de données traitées.
- La sensibilité des données. Par exemple, celles de santé, sur l'origine ethnique, sur l'opinion politique, philosophique et religieuse ou sur la vie sexuelle.
- L'existence d'une prise de décisions automatisée suite au traitement.
- Le croisement ou la combinaison d'ensemble de data.
4. Mettre en place un référentiel de sécurité
Au sein de l'entreprise, les opérateurs doivent mettre en place un référentiel de sécurité, conformément à l'article 32 du RGPD. C'est-à-dire un ensemble de document où sont répertoriées toutes les mesures de sécurité organisationnelles et techniques prises. Certains documents du référentiel doivent aussi permettre de garantir aux partenaires commerciaux la mise en place de mesures internes adéquates.
5. Renforcer les relations contractuelles avec ses partenaires
Avec chacun de ces partenaires, il doit définir quelle sera la stratégie commune en matière de données personnelles
L'opérateur doit sécuriser ses relations contractuelles avec ses sous-traitants ou autres co-responsables de traitement. Avec chacun de ces partenaires, il doit définir quelle sera la stratégie commune en matière de données personnelles, surtout entre les co-responsables de traitement au sens de l'article 26 du RGPD. Les responsables doivent aussi s'assurer que les sous-traitants présentent des garanties suffisantes. Concrètement, la place de marché doit recenser et contrôler les mesures de sécurités mises en œuvre par ses partenaires.
6. Désigner un DPO
Potentiellement obligatoire pour les places de marché, le délégué à la protection des données (DPO) s'assure du bon respect des obligations du RGPD. Non membre de l'équipe dirigeante, indépendant dans ses missions, il pilote les processus juridiques et techniques, donne des conseils, participe à la réalisation de l'étude d'impact ou encore contrôle le bon respect du règlement.
7. Le bonus : certification & labélisation Cnil
Selon Izberg et le cabinet Haas avocats, les six éléments précédents sont un "must have", une nécessité. Cependant, il existe un "nice to have" ou un bonus pour les opérateurs de place de marché les plus déterminés : la certification. Cette dernière permet de démontrer la conformité de sa place de marché au grand public. Cette démarche volontaire passait auparavant par la Cnil, notamment via le label "gouvernance", mais cette certification devrait à l'avenir être déléguée à des organismes privés.
Pour en savoir plus, retrouvez ici le livre blanc.