RGPD : des citoyens mieux armés pour protéger leurs données
L’objectif du RGPD qui entrera en vigueur en mai 2018, est de permettre aux citoyens de reprendre véritablement la main sur leurs informations personnelles et ce qu’en font les entreprises.
Le corpus réglementaire sur la protection des données personnelles n’a cessé d’évoluer depuis la loi informatique et libertés de 1978, avec comme point d’orgue le RGPD qui entrera en vigueur le 25 mai. L’objectif de ce texte européen, par le biais notamment du renforcement des sanctions applicables, est de permettre aux citoyens de reprendre véritablement la main sur leurs informations personnelles et ce qu’en font les entreprises.Cet arsenal juridique pour protéger leurs informations personnelles, renforcé au fil du temps, les citoyens n’hésitent plus à s’en emparer. Le nombre de plaintes relatives aux données personnelles a plus que triplé entre la fin des années 1990 et aujourd’hui. Ces recours en justice se sont professionnalisés, avec l’accompagnement d’un avocat. Et le RGPD élargit la capacité de recours collectif, via les associations de défense des consommateurs en particulier. Bref, le risque n’est plus théorique !
Un risque d’image pour les entreprisesDu côté des entreprises, cette offensive des consommateurs n’a pas qu’un impact financier. Lorsque la CNIL ou une autre juridiction européenne publie une condamnation, la réputation de l’entreprise peut être durablement ternie. Le lien de confiance avec le consommateur est rompu. Les sociétés doivent comprendre que les Français et Européens notamment ont un fort attachement au respect de leur vie privée. Les technologies numériques démultiplient les risques d’atteinte à la vie privée, que ceux-ci résultent d’actions délibérées de la part des entreprises ou d’une éventuelle compromission des données ou utilisation par un tiers. La protection des données est aujourd’hui un sujet majeur pour les entreprises.
Derrière les questions techniques, des enjeux juridiques et éthiquesLa localisation des données n’est plus une simple question technique : c’est devenu un sujet juridique, et même politique quand on songe à la notion de souveraineté numérique. Qui a accès aux données ? Entre quels pays circulent-elles ? Comment sont-elles protégées, non seulement de l’espionnage par des puissances étrangères, mais aussi des attaques informatiques ? Ce sont des sujets dont s’est emparée la campagne #ReprenezLeContrôle, lancée par OVH pour sensibiliser les entreprises aux enjeux sous-jacents du Cloud, là où les entreprises stockent et traitent les données qu’elles collectent et produisent.
Le RGPD apporte des réponses juridiques à ces enjeux cruciaux, en renforçant d’une part l’information des clients et la responsabilisation des entreprises. Il appartient désormais au responsable de traitement de prendre toutes les mesures nécessaires pour garantir la sécurité et la confidentialité des données, et donc la conformité du traitement avec la réglementation. Le RGPD est-il alors moins contraignant que l’ancien régime, fait de déclarations et d’autorisation préalables ? Non, car en réalité le cadre du RGPD incite l’entreprise à proportionner ses process et les moyens de protection déployés en fonction de la nature des données – plus ou moins sensibles – qui lui sont confiées. Et à documenter les mesures prises.
Aussi, il doit y avoir une réflexion au sein des entreprises, qui mêle les aspects juridiques, mais aussi éthiques, à propos des données collectées, des risques qui découlent de certains traitements ou recoupements.
La transparence n’empêche pas l’innovationLa promesse du Big Data et de l’IA est d’extraire de la valeur à partir de données éparses, en établissant des corrélations insoupçonnées, en repérant des signaux faibles ou en entraînant des algorithmes. Ces techniques sont prometteuses, dans un grand nombre de domaines, à commencer par la santé. Certains ont vu dans le RGPD et dans l’obligation qu’elle instaure d’informer les utilisateurs de la finalité de la collecte de données, un frein à l’innovation. Je crois, au contraire, que la transparence est nécessaire pour que les utilisateurs adoptent les innovations. On peut parfaitement accepter « d’être le produit » d’un service gratuit, sous réserve de le faire en toute connaissance de cause. De plus, anonymiser/pseudonimyser les données personnelles sensibles plus systématiquement, n’empêche pas d’imaginer de nouveaux services, de nouvelles fonctionnalités.
Un avantage compétitif pour les entreprises européennesLes entreprises européennes ne doivent pas considérer le RGPD comme un obstacle, mais bel et bien comme un avantage compétitif. D’ailleurs, les entreprises non européennes s’intéressent au RGPD, car l’esprit de ce règlement leur semble vertueux pour restaurer la confiance des utilisateurs envers leur capacité à fournir des services numériques respectueux de leur vie privée. Or, dans l’économie numérique, la confiance est une valeur cardinale.