RGPD : La Liberté éclaire le monde ?

Le 28 octobre 1886, était inaugurée la Statue de la Liberté offerte par la France aux États Unis d’Amérique pour commémorer l’indépendance de 1776. Miss Liberty qui « éclaire le monde » vécut des moments très controversés dans un contexte d’immigration massive de l’Europe (et de l’Asie) vers le « nouveau monde ». Entre accueil et rejet, ouverture et fermeture.

130 ans plus tard, on ne parle plus d’hommes, femmes et enfants, mais de leurs données.

Le RGPD a été conçu comme une arme juridique et stratégique pour contrer la puissance grandissante des GAFAM et pour faciliter le développement d’un marché européen de la « donnée » (fondamental avec l’émergence de l’IA et des objets connectés). Force est de constater que ce règlement est sans doute encore un bien joli cadeau [1] de l’Europe aux américains ! Bien sûr, les discussions sur les excès de réglementation (vs. auto-régulation), sur le Cloud Act et le Privacy Shield, sur l’applicabilité de certaines mesures (« by design » ou « portabilité »), sur l’harmonisation et l’application effectives des sanctions vont se poursuivre.

La date fatidique du 25 mai 2018 étant passée, deux grandes questions méritent d’être posées : Quand et comment les sanctions financières tant redoutées seront appliquées ? Et surtout comment les éviter ou les limiter ?

En ce qui concerne les cibles des sanctions, certains secteurs sont potentiellement plus visés à court terme (gros volumes, données sensibles, risques majeurs sur les droits et libertés individuelles). Ils serviront d’exemples dans tous les sens du terme. Tandis que le secteur public ne sera peut-être pas vraiment concerné par les (lourdes) amendes. Avant les sanctions financières, des avertissements ou injonctions peuvent être appliqués, sans que ce soit une obligation selon de récentes positions de la CNIL. Et, plus grave que des amendes, le traitement peut être arrêté jusqu’à remise en conformité. Avec les impacts opérationnels associés.

Si le RGPD introduit une nouvelle échelle harmonisée de sanctions financières à compter du 25 mai 2018, celles-ci existaient déjà avec cependant des pratiques très variables selon les pays (exemple : Facebook en Espagne et en France). Une étude menée en Angleterre a estimé que si le RGPD avait été en vigueur en 2017, les sanctions promulguées par l’ICO (autorité de contrôle anglaise) auraient été 70 fois supérieures…

La question n’est pas de savoir s’il y aura des sanctions financières, où, quand et comment. Il faut de toute façon s’y préparer pour les éviter voire les limiter.

Dans quelles circonstances, une organisation peut-elle menacée de sanctions ? Cinq cas de figures, qui peuvent être liés, paraissent plausibles : contrôles de la CNIL, plaintes individuelles, actions collectives, mise en évidence d’une faille de sécurité, attaque informatique organisée. Les exemples ne manquent pas.

D’évidence, une approche de conformité « pure » n’est pas la plus pertinente. Le RGPD est d’abord et avant tout un cadre, certes contraignant dans certains domaines, qui impose une approche « par les risques » (en pensant comme une personne concernée) et « par conception » (en revoyant des processus de base sur la gestion et la protection des données), pouvant conduire à de véritables avantages concurrentiels pour certains secteurs.

En clair, le 25 mai 2018, toute organisation devrait avoir défini voire mis en place, a minima et selon son contexte spécifique : une gouvernance RGPD [2] (autour du consentement et des droits, des analyses d’impact et du « by design »), un suivi documentaire strict incluant le registre, une révision des contrats, notices, avertissements, etc. de nature juridique, un nettoyage pertinent de ses données structurées et non structurées, un renforcement des conditions d’accès aux données, un processus de gestion d’incident construit autour d’un SOC (Security Operation Center) intégrant la prévention des fuites de données. Si tel n’est pas le cas, il n’est jamais trop tard … En s’appuyant sur les guides et recommandations des autorités de contrôles (notamment celui relatif à l’Art. 83).

Ensuite, en cas d’incident, de quelque nature que ce soit, tout résidera dans 3 attitudes clés autour d’une gestion de crise organisée : la coopération avec les autorités de contrôle, la transparence auprès des acteurs impliqués, la correction rapide des écarts et mauvaises pratiques.

Le RGPD n’est pas qu’une question juridique et technologique. C’est bien plus important que cela. Les implications stratégiques, éthiques et économiques ne doivent pas être ignorées. Toutes les organisations vont devoir faire de la vie privée et de la confidentialité des données personnelles un atout voire un avantage concurrentiel, pour développer la confiance de tous dans les usages numériques. Ce n’est pas contradictoire avec la société de la transparence qui se diffuse un peu plus chaque jour. Bien au contraire ! Si nous ne voulons pas tomber dans une quasi-dictature numérique …

[1] Voir la dernière réglementation de l’Etat de Californie https://nyti.ms/2tGjAaf

[2] Voir « RGPD et révision de la gouvernance des risques numériques » bit.ly/2mRJggC

 

Cookies

En continuant à naviguer sur le site web, vous acceptez l'utilisation des cookies

Pour changer la configuration des cookies sur votre ordinateur ou obtenir davantage d’information, veuillez consulter la page Données personnelles

Fermer

Fermer les informations cookies