RGPD : Comment les règles européennes de protection de la vie privée ont tout changé

 

Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) de l’Union européenne entrait en vigueur. Le RGPD avait pour objectif fondamental d’actualiser les règles relatives à la vie privée et au consentement à l’ère numérique et de veiller à ce que les organisations soient responsables du traitement des données personnelles de leurs clients – et à ce que ces clients soient conscients de la manière dont leurs données sont utilisées et y consentent.

Le texte vise à garantir que des précautions sont prises pour protéger les données à caractère personnel et que, si une organisation est victime d’une attaque ou d’une violation compromettant des données personnelles, elle le signale à ses clients et aux autorités dans les 72 heures suivant la découverte de l’incident.

Les amendes ne sont pas l’alpha et l’oméga du RGPD, mais…

En amont de l’entrée en vigueur du règlement, les entreprises se sont empressées d’améliorer le traitement de leurs données personnelles, par exemple en obtenant le consentement explicite des clients pour conserver leurs données, ou en embauchant des responsables de la protection des données (DPO) pour superviser les projets de conformité au RGPD.

Pourquoi cette précipitation ? La principale caractéristique du RGPD était sans aucun doute d’exposer les contrevenants à des lourdes amendes en cas d’atteinte à la confidentialité des données. Le nouveau cadre permet aux autorités nationales chargées de la protection des données d’infliger d’importantes sanctions financières aux organisations dont il est établi qu’elles n’ont pas respecté le GDPR et, en particulier, aux organisations considérées comme totalement négligentes.

Les contrevenants s’exposent en effet à une amende pouvant atteindre 4% de leur chiffre d’affaires annuel mondial, ce qui pourrait représenter des milliards pour certaines multinationales du numérique.

Certains estimaient d’ailleurs que dès l’application du RGPD, les autorités de protection des données imposeraient de lourdes amendes. En France, la CNIL a ainsi infligé à Google une amende de 50 millions d’euros pour avoir enfreint les règles du GDPR en matière de transparence et pour absence de base légale pour le traitement des données des utilisateurs à des fins publicitaires.

Il s’agit de la plus grosse sanction prononcée jusqu’à présent. Google a cependant fait appel de cette décision devant le Conseil d’Etat. En outre, pour un géant comme Google, 50 millions d’euros, c’est peu, s’insurgent certains, qui estiment la sanction trop clémente – voire même qualifie le RGPD de pétard mouillé.

Toutefois, ceux qui prévoyaient des amendes conséquentes peu après l’entrée en vigueur le 25 mai dernier ne comprennent probablement pas tout à fait ce qu’est le RGPD, ni que les enquêtes en matière d’atteinte à la vie privée requièrent beaucoup de temps avant d’aboutir.

« On s’attendait à tort à ce que le système de régulation s’applique dans un délai limité : l’application régulière de la loi signifie que le Commissaire à l’information et les autres autorités de contrôle doivent prendre le temps de régler un problème avant de pouvoir faire grand-chose » explique Stewart Room, partenaire au sein de PwC pour la protection des données et la cybersécurité.

« On a l’impression dans la société que les organismes de réglementation ne font pas grand-chose, mais il se passe beaucoup de choses en coulisse. Le nombre d’amendes n’a simplement pas encore explosé. »

Les sanctions facteur d’incitation au changement

Les régulateurs dans toute l’Union européenne enquêtent encore sur des milliers de notifications d’atteintes à la protection des données. Ce n’est qu’une question de temps avant qu’une amende plus conséquente ne soit infligée sur la base de la nouvelle réglementation sur la protection des données. L’absence d’une sanction médiatique présente néanmoins le risque de voir certaines entreprises conclure que le RGPD n’est pas une préoccupation réelle.

« Non que je sois en faveur d’amendes importantes, mais il y avait beaucoup de crainte et d’alarmisme quant au montant des amendes qui pourraient être infligées avec le RGPD et si cela ne se concrétise pas, il y a un risque que les entreprises n’en fassent plus une priorité » reconnaît Emma Wright, associée au cabinet juridique Kemp Little.

« L’année dernière, à la même époque, toute l’attention des cinq derniers mois avait été focalisée sur le RGPD. Mais plus une grosse amende tardera et plus le sujet glissera vers le bas de l’échelle des priorités » prévient-elle.

Cependant, RGPD n’est pas seulement censé être un bâton avec lequel battre les organisations ; il est là pour leur offrir les cadres nécessaires à l’élaboration de politiques de collecte de données qui non seulement offrent aux consommateurs un consentement supplémentaire et une plus grande confidentialité, mais qui, si elles sont appliquées correctement, peuvent également aider les organisations à tirer davantage de valeur des données.

Par exemple, dans les semaines qui ont précédé le 25 mai, les consommateurs ont été inondés de courriels leur demandant de consentir à demeurer sur des listes d’envoi.

Cela a été vécu comme un désagrément par de nombreux internautes, mais en plus de conduire ce qui pourrait être considéré comme la plus grande initiative de sensibilisation à la protection de la vie privée, cela signifie également que lorsque les consommateurs choisissent de participer et de consentir à ce que les organisations et les entreprises utilisent leurs données, de nombreuses organisations disposent désormais de données plus utiles que par le passé.

Les organisations, qui ont peut-être tenté d’amasser autant de données que possible dans l’espoir de réaliser un profit d’une manière ou d’une autre, génèrent désormais de l’activité avec une liste plus adaptée – une liste qui devrait s’avérer plus utile à long terme.

La confidentialité bonne pour le business

« L’un des changements que nous commençons à observer est la préférence pour les données first-party, les données qui proviennent directement du consommateur, parce que vous avez le consentement et que le consommateur vous fait confiance  » explique Enza Iannopollo, analyste senior en risques et sécurité chez Forrester.

« Grâce à cette confiance, ils vous fourniront des renseignements plus exacts et plus pertinents, parce qu’avec ce consentement, si vous êtes transparent et que j’ai confiance en vous, il est plus probable que je partagerai plus de données avec vous. »

Cela a aidé les organisations lorsqu’elles ont dû faire face au RGPD, mais 12 mois après l’entrée en vigueur de la loi – et après des années de préparation en amont – de nombreuses organisations peinent toujours à assurer l’adhésion de tous au RGPD.

« Il y a encore beaucoup de travail à faire en matière de conformité » souligne Iannopollo.

« Il y a eu des changements dans la façon dont les entreprises font les choses, mais ces changements n’ont pas été aussi profonds qu’ils le devraient » ajoute-t-elle, soulignant combien d’entreprises ne sont toujours pas suffisamment préparées pour répondre aux demandes des personnes concernées parce qu’elles n’ont pas créé l’infrastructure requise pour le faire – un problème qui doit être résolu le plus tôt possible.

« Il n’est pas possible de mener de grands projets numériques sans la participation de votre responsable de la protection des données et sans modifier l’approche des données et la façon d’évaluer les risques. Il reste encore beaucoup de travail à accomplir » insiste-t-elle.

Mais il n’y a pas que les entreprises qui s’efforcent de comprendre ce que signifie concrètement le RGPD ; Parmi les reproches émis, le fait que la législation ne soit pas appliquée uniformément partout en Europe, comme prévu.

« Là où, à mon avis, elle n’a pas vraiment réussi à créer des conditions de concurrence équitables dans toute l’Union européenne en matière de protection des données » déclare Paul Breitbarth, directeur de la recherche stratégique et de la sensibilisation des régulateurs chez Nymity, fournisseur de logiciels de respect de la vie privée, et chercheur invité principal au Centre européen pour la vie privée et la cybersécurité de l’université de Maastricht.

Des différences d’applications entre les Etats

Le projet européen s’est bâti autour de l’idée d’une harmonisation européenne. Cependant, certains éléments du Règlement ne s’appliquent pas dans tous les Etats : par exemple, dans des pays comme l’Allemagne et la Finlande, un délégué à la protection des données est une exigence pour être conforme, ce qui n’est pas le cas pour d’autres Etats. Mais pour Breitbarth, le GDPR devrait s’appliquer selon les mêmes standards dans tous les pays membres de l’UE.

« Vous voyez que dans la législation existante, il y a des États membres qui s’écartent quelque peu de la norme de l’UE là où une marge est tolérée  » pointe-il en ajoutant : « Du point de vue législatif, les exemptions seraient ramenées au strict minimum. »

Malgré cela, Breitbarth juge que le RGPD est globalement un succès car il a forcé les organisations à améliorer leurs pratiques en matière de confidentialité des données, tout en rappelant aux consommateurs leurs droits.

« De nombreuses organisations ont amélioré leurs pratiques en matière de confidentialité des données, ont revu leurs systèmes de conservation des données, ont revu leurs politiques et se sont assurées d’être transparentes sur ce qu’elles font avec les données et pourquoi – c’est un pas en avant important » relève-t-il.

Aujourd’hui, grâce au RGPD, les organisations en sont arrivées au point où les dirigeants doivent être conscients de la confidentialité des données, de leur conformité et de ce que cela signifie en cas d’échec dans ces domaines. Le compte n’y est pas encore néanmoins, suggère Stewart Room, qui compare la situation à celle de la cybersécurité il y a une décennie.

« Il ne s’agit pas seulement de consacrer quelques millions d’euros de budget pour réaliser un programme de protection des données, il ne s’agit pas de recruter quelques responsables de la protection des données… ce n’est pas impliquer le conseil d’administration » considère Breitbarth .

« Ce qui importe, c’est un conseil d’administration qui dit : ‘Je veux m’approprier la confidentialité des données, je veux la comprendre et poser des questions difficiles à ce sujet’ – c’est la leçon des 12 derniers mois. »

Pour les organisations qui n’ont pas encore adhéré, le véritable changement pourrait intervenir lorsqu’elles – ou l’un de leurs concurrents – seront frappées d’une forte amende.

Des chefs d’entreprise qui n’adhèrent pas pleinement

« Malheureusement, très souvent, la création d’un changement dans l’état d’esprit de l’entreprise est associée à la contrainte : c’est pourquoi la conformité au RGPD est assortie de grosses amendes, pour créer la douleur » estime Room. « A moins que la douleur ne vienne, ils n’accepteront jamais, faisant un parallèle avec le buzz du bug de l’an 2000. »

Le RGPD est un projet européen, mais ses ramifications ont été ressenties dans le monde entier. Immédiatement après son entrée en vigueur, les utilisateurs européens ont constaté qu’ils ne pouvaient pas accéder à certains sites hébergés aux États-Unis. Dans certains cas, ces restrictions demeurent.

En effet, le GDPR ne s’applique pas uniquement au sein de l’UE ; si les organisations traitent les données personnelles des citoyens de l’UE, même si elles sont basées ailleurs dans le monde, elles pourraient bien être considérées comme responsables du traitement ou un sous-traitant, leur imposant de tenir compte de la législation sur la vie privée.

Mais certaines des entreprises les plus puissantes de la Silicon Valley semblent déjà se préparer à opérer dans un monde où les données doivent faire l’objet d’une transparence et d’une confidentialité accrues.

Ce mois-ci, Google a annoncé qu’il conserverait désormais les données de localisation des terminaux pendant une durée limitée, avant de les supprimer. Quant à Mark Zuckerberg de Facebook, il a commencé à souligner l’importance de la vie privée. Sans faire l’unanimité.

« C’est trop peu, trop tard. Bon nombre de ces géants de la technologie essaient d’utiliser la protection de la vie privée pour faire la une de l’actualité et assurent que la protection de la vie privée est importante pour eux. Mais j’ai du mal à comprendre comment leurs processus, et la manière dont ils traitent les données, pourraient être modifiés si rapidement » se montre sceptique Enza Iannopollo.

Des pays comme le Brésil, la Corée du Sud, le Japon et l’Inde préparent à présent leurs propres lois sur la protection des données, tandis que la Californie – qui héberge la Silicon Valley – s’apprête également à adopter sa propre loi sur la protection des données personnelles des consommateurs. Ces questions ne seraient probablement pas aussi prioritaires si le RGPD n’avait pas été le premier à y répondre.

« À plus long terme, je soupçonne que nous parviendrons à un niveau plus élevé de protection de la vie privée à l’échelle mondiale. Parce que, que cela vous plaise ou non, le RGPD établit un nouveau standard mondial en matière de respect de la vie privée et de protection des données. Et vous constatez que de plus en plus de pays adoptent au moins certains éléments du RGPD » conclut Breitbarth.

Source : GDPR: How Europe’s digital privacy rules have changed everything

source : ZDNet actualites http://bit.ly/2Sfi5tI May 27, 2019 at 06:05AM