Un nouveau tournant dans la protection des données personnelles
Après plus de deux ans de préparation, les Etats membres de l’Union européenne s’apprêtent à faire appliquer, à compter du 25 mai prochain, le nouveau Règlement Général sur la Protection des Données ou RGPD. Retour sur les processus à mettre à place avec Frédéric Vonner, associé et expert RGPD chez PwC et Philippe Pierre, associé en charge du secteur public à Luxembourg et responsable mondial Institutions Européennes chez PwC.
S’adapter chacun à son rythme
Depuis l’adoption du texte par le Parlement européen en avril 2016, de nombreuses sociétés se sont déjà largement investies afin de trouver rapidement des solutions efficaces à leur mise en conformité avec le nouveau règlement. Néanmoins, il demeure à ce jour encore quelques acteurs sur le marché qui ont tardé à étudier la question et ont décidé de repousser l’échéance interne à la fin de l’année calendaire.
«Chaque établissement ayant déjà ses propres fonctionnements, nous constatons qu’il peut être assez complexe de mettre en place, au sein des structures mêmes, des processus, des circuits, des automatismes nouveaux», explique Frédéric Vonner. «Ainsi donc, un mois avant l’échéance, le niveau de conformité n’est pas encore tout à fait atteint partout mais tend à l’être, en interne, dans les mois prochains».
Des moyens importants à soutenir
La mise en conformité au RGPD pose, pour chaque société, toutes sortes de questions tant organisationnelles que logistiques et techniques, et chaque acteur essaie d’y répondre selon sa propre structure et son niveau de maturité.
«Certaines entreprises profitent d’une réorganisation interne déjà prévue ou d’une restructuration afin d’y intégrer directement le projet. D’autres, au contraire, doivent planifier ces changements en modifiant ou créant directement de nouveaux services et en greffant de nouvelles équipes à leur système existant», précise Philippe Pierre. «Concrètement cela monopolise du temps et de l’énergie afin, par exemple, de définir qui va devoir gérer les incidents ou comment les décisions de déclaration à la Commission nationale pour la protection des données seront prises. Toutes ces modifications auront bien évidemment une charge et un coût, qui seront, à terme, supportés par le consommateur».
Au coeur du sujet: l’individu
Puisque cette nouvelle directive cible la protection des données individuelles, c’est à dire, celles confiées par l’individu lui-même et collectées par des entreprises tierces privées ou publiques, il devient alors intéressant de s’interroger sur la notion de responsabilité individuelle. Frédéric Vonner explique: «Une multitude d’informations personnelles est transmise, volontairement ou non, chaque seconde à travers diverses interfaces et divers prestataires. Qu’il s’agisse des réseaux sociaux, des centres médicaux, des communes ou de l’employeur, chaque donnée légitimement confiée est traitée et sauvegardée. Pourtant, lorsqu’une fuite de données personnelles survient, c’est toute la communauté des utilisateurs qui s’insurge. Or, et c’est sur cela que nous souhaitons communiquer, chacun a sa part de responsabilité dans les informations personnelles qu’il divulgue à une société ou un prestataire. Il est donc primordial de mettre en place des processus de responsabilisation et de sensibilisation auprès du consommateur. Par la prévention et la pédagogie, nous pouvons accompagner humainement cette nouvelle transition».
Le droit à l’effacement
L’application de ce nouveau règlement met d’ailleurs en lumière un enjeu de taille: chaque individu doit prendre conscience du traitement de ses données qu’il partage sur la toile. Un exemple très concret soutenu par le RGPD est le droit pour tout utilisateur d’avoir accès, de modifier ou demander la suppression des données personnelles qu’il a confiées à une société. C’est le droit à l’oubli, ou plus justement décrit comme le «droit à l’effacement». «La suppression de données personnelles, à la demande, sur un support numérique, entraîne un risque de perte d’intégrité de l’ensemble des données conservées sur ce support, au-delà des données personnelles initialement concernées, poursuit Frédéric Vonner. C’est là un défi pour les organisations, qu’elles soient publiques ou privées. Il nous faut donc analyser les risques et effectuer une balance pour chaque entité. Cela reste une tâche relativement complexe et nous travaillons à des solutions à mettre en place auprès de nos clients depuis l’adoption du texte».
Le rôle des sociétés
Si le regard européen diffère de celui des Etats-Unis quant à la valeur marchande des données personnelles, il n’en demeure pas moins que les sociétés européennes ont, elles aussi, un rôle majeur à jouer, notamment à travers le concept de «Privacy by design». «Il garantit le respect de la vie privée dès la conception de produits ou services et implique de cibler la collecte des données uniquement sur les besoins réels des organisations», nous précise Philippe Pierre. «Lorsqu’elles n’ont plus d’utilité à être conservées, les données doivent être supprimées». Ainsi, si chaque acteur prend en compte sa part de responsabilité, et que tout est appliqué de cette manière, le droit à l’effacement ne serait plus utile pour le consommateur, l’entreprise collectrice des données ayant déjà pris les devants en les détruisant, au moment opportun.
C’est donc en faisant évoluer les mentalités à la fois individuelles et collectives que la mise en conformité au RGPD pourra s’effectuer dans les meilleures conditions possibles. Et, nous rappelle Frédéric Vonner: «Gardons tous bien à l’esprit qu’il est toujours plus facile de protéger une donnée que l’on n’a pas fournie…»