Le GDPR au-delà du battage médiatique

Adopté par la Commission européenne en début d’année, le règlement GDPR ou règlement général européen sur la protection des données entrera en vigueur en mai 2018. Évolution de la directive européenne de protection des données de 1995, ce texte jette les bases de la protection des données personnelles.

Par Kalliopi Spyridaki, responsable de la stratégie pour la protection des données personnelles pour l’Europe chez SAS

L’un des aspects fondamentaux de la nouvelle loi est la définition du concept de données personnelles. Selon le GDPR, il s’agit de données permettant d’identifier un individu, directement ou indirectement. Cette définition relativement large devrait encore s’élargir avec le temps. Autrement dit, les facteurs comme les adresses IP et les données de géolocalisation, qui servent à identifier une personne, seront également concernés par la nouvelle loi.

Cette définition du concept de données personnelles donne le ton de la nouvelle législation : les données sont considérées comme des ressources de valeur pour lesquelles les réglementations se durcissent. Cela va bien évidemment de pair avec les tendances technologiques actuelles, comme le cloud computing, les réseaux sociaux, le mobile et l’Internet des objets, où la collecte et l’analyse des données deviennent des facteurs de différenciation stratégiques. Le régulateur européen est en fait rattrapé par la réalité.

 

Quatre axes de changement

 

Si la législation actuelle a jeté les fondements de la protection des données, le GDPR s’apprête à bâtir au-dessus un solide édifice. Ces dernières années ont été marquées par différentes évolutions en matière de protection des données personnelles (notamment l’invalidation du « Safe Harbor »), ce qui a contribué au battage médiatique autour du GDPR. Résultat, cette nouvelle réglementation suscite beaucoup d’interrogations dans nombre d’entreprises, ce qui, selon moi, n’est pas justifié. Les règles sont désormais plus strictes, mais les principes de base sont les mêmes depuis de nombreuses années. Le GDPR a davantage pour but de réviser les procédures de conformité que de recommencer à zéro.

Je vois quatre éléments fondamentaux qui vont changer avec le GDPR :

  1. Renforcement des contrôles

Avec la nouvelle réglementation, les contrôles vont se durcir. Les autorités chargées de la protection des données auront plus de moyens et uniront leurs efforts au sein d’un nouveau comité paneuropéen pour poser de nouvelles contraintes. De plus, les amendes seront telles — jusqu’à 4 % du chiffre d’affaires annuel mondial — que les entreprises, tous secteurs confondus, seront forcément sur leurs gardes. Le seul niveau de sanction comparable en Europe est en fait celui de la législation sur la concurrence. Ce n’est peut-être pas le principal motif de mise en conformité, mais c’est certainement une bonne raison de faire preuve de vigilance. Alors que la législation sur la protection des données personnelles ne figurait pas parmi les 10 préoccupations majeures des entreprises il y a encore cinq ans, elle occupe aujourd’hui la première place.

  1. Responsabilisation des entreprises

Le GDPR responsabilise les entreprises vis-à-vis de la protection des données personnelles. La charge de la preuve leur incombera lorsqu’il s’agira de savoir si elles protègent les données personnelles, par quels moyens et avec quelle efficacité. La procédure actuelle d’obtention de l’autorisation de traiter les données est relativement formalisée : quel type de données traitez-vous ? Les communiquez-vous à des tiers ? À l’avenir, il s’agira plus de montrer comment les processus métier sont organisés que d’obtenir une autorisation de façon formelle. Il sera par conséquent utile d’avoir en interne ou en externe une personne au fait de la protection des données personnelles, qui saura comment opérer les changements nécessaires et appliquer la loi.

  1. « Privacy-by-design »

Chaque entreprise devra dans un premier temps se livrer à un exercice de cartographie des flux de données. L’ensemble des collaborateurs seront impliqués car le concept de protection de la vie privée dès la conception (« privacy-by-design ») exige que tous les services se penchent sur leurs données et leur traitement. Après avoir identifié l’emplacement et l’utilisation précise des données personnelles, vous devez les protéger correctement.

Avec la nouvelle loi, l’idée est d’observer les données sous l’angle de leur confidentialité, du développement produit au client final en passant par la chaîne logistique. Étant donné qu’elles sont censées se soumettre à la législation en vigueur, la plupart des entreprises disposent déjà d’un système capable d’identifier les données personnelles. La nouvelle loi les oblige à aller davantage dans le détail, et elles ont pour cela la chance de pouvoir choisir entre les multiples solutions proposées. SAS est particulièrement bien placé pour aider ses clients à identifier et gérer les flux de données, et donc à se conformer au GDPR.

La notion de « privacy-by-design » présuppose aussi plus de transparence sur les données et leurs transferts, sans oublier la « patate chaude » de la nouvelle réglementation : le droit à l’oubli. Ce qui nous amène au quatrième grand facteur de changement dans le domaine de la protection des données personnelles : la prise en compte du client.

  1. Priorité au client

Le nouveau règlement fait la part belle à l’individu en plaçant le client au centre de la protection des données personnelles. Par exemple, le droit à la portabilité des données prévoit que lorsque les clients souhaiteront changer de fournisseur de messagerie, ils pourront transférer l’ensemble de leurs données au nouveau prestataire. Les particuliers peuvent déjà demander la suppression de leurs données personnelles mais le GDPR va plus loin en instaurant le fameux « droit à l’oubli ».

Au-delà de la conformité, c’est l’attitude des entreprises vis-à-vis de la confidentialité des informations qui constituera le plus gros bouleversement. Le respect de la vie privée devient de plus en plus une considération commerciale. Il sera bientôt indispensable pour gagner la confiance du client et acquérir un avantage concurrentiel, car les clients accordent énormément d’importance à la confidentialité des données. Ils sont également très attachés à la simplicité et à la transparence des procédures pour faire valoir leurs droits.

 

Cap sur l’innovation

 

En marge de la révision des règles sur la protection des données, un certain nombre d’acteurs extrêmement innovants font leur apparition sur le marché. Citons par exemple Hoxton Analytics, qui fabrique des compteurs de personnes de nouvelle génération pour les commerçants qui souhaitent mieux cerner leur clientèle sans enregistrer de données personnelles. Leur solution consiste en un sol intelligent qui recueille les images des chaussures des clients. Combinées à plusieurs couches d’apprentissage automatique et d’intelligence artificielle, ces images permettent de comptabiliser les individus. Plus surprenant encore : la solution peut également classer les gens selon différentes catégories démographiques en fonction de leurs chaussures et de leur démarche.

Les pouvoirs de transformation de la numérisation sont indéniables, et je suis persuadée que d’autres innovations autour des données et du respect de la vie privée continueront de voir le jour. Ce qui donnera inévitablement lieu à d’autres règles pour aider les gens à faire confiance à ces innovations. La protection et la confidentialité des données amorcent actuellement un tournant. Comparé au secteur plus classique des services financiers, par exemple, le secteur des données est clairement sous-réglementé car il s’agit d’un marché émergent. D’ici quelques années, il s’imposera, lui aussi, comme un marché mature bien réglementé. 

L’Europe est à l’avant-garde de la législation sur le respect de la vie privée, mais d’autres régions du monde ont également atteint un niveau de réglementation comparable (Canada et Australie) ou avancent à pas de géant. Il est beaucoup plus facile de transférer des données à des juridictions qui garantissent un niveau de protection adéquat des données. On observe dans les économies émergentes attachées à l’économie des données, notamment en Asie et en Amérique latine, une tendance à vouloir reproduire la nouvelle réglementation GDPR. Par ailleurs, au sein même de l’Union européenne, le GDPR apportera plus de transparence et conduira à l’harmonisation des règles. La directive de protection des données fait actuellement l’objet d’interprétations différentes selon les États membres. À terme, cette harmonisation sera bénéfique pour les entreprises.

 

* * * * * *

 

Basée à Bruxelles, Kalliopi Spyridaki est Chief Privacy Strategist, Europe chez SAS. Spécialiste des problématiques de respect de la vie privée et de la protection des données, elle travaille étroitement avec les législateurs et régulateurs européens pour s’assurer qu’ils tiennent compte des contraintes des acteurs du secteur dans l’évolution des lois européennes, notamment dans les domaines des big data, de l’Internet des Objets et du cloud computing. Elle est titulaire d’un diplôme de Droit Européen, obtenu à l’Université Kapodestrian d’Athènes.