GDPR : quelles données et quelles entreprises sont concernées ?
Pour y voir plus clair dans le nouveau règlement européen sur la protection des données privées, l’avocat spécialisé François-Pierre LANI explique les points clefs à comprendre et à mettre en œuvre. Cette deuxième partie revient sur son champ d’application réel.
François-Pierre LANI est avocat associé au sein du cabinet Derriennic Associés. Il est spécialiste en droit de l’informatique et des technologies nouvelles.
Cet article est le deuxième d'une série de cinq. Le premier a abordé les trois piliers du RGPD que sont l’« Accountability », la coresponsabilité et le « Privacy by Design ». Le troisième se penchera sur les outils que l'on peut d'ores et déjà commencer à mettre en place pour atteindre la conformité. Le quatrième précisera les différentes étapes d’un projet de mise en conformité pour la DSI. Enfin, la cinquième partie de cet entretien reviendra sur les opportunités et les menaces que le GDPR représente pour les acteurs français.
La RGPD concerne-t-elle tous les secteurs ? Ou vise-t-elle surtout les GAFA comme l'espèrent certains ?
Il y a effectivement des sociétés qui considèrent que la donnée n’est pas leur cœur de métier.
Par exemple, dans l'industrie agro-alimentaire la priorité est la sécurité alimentaire, tout le reste n’est que secondaire. Un des plus grands groupes mondiaux producteur de produits laitiers est d'ailleurs venu nous voir en nous disant: « notre président ne comprend pas pourquoi il y a quelque chose à faire ».
Il y a alors toute une démarche pédagogique à faire.
On leur a dit : « oui, vous êtes peut être énorme ; votre soucis est effectivement la qualité de vos produits alimentaires… mais derrière, vous avez des producteurs – vous travaillez sur leurs données – et surtout vous avez des consommateurs finaux – que vous gérez avec un CRM ou je ne sais quel autre outil ». Donc, non, il n’y a pas que les plateformes Internet (Google, Twitter ou Facebook) qui sont concernées.
Aujourd’hui, le taux de conformité est-il élevé dans les entreprises ?
Cela dépend vraiment. Nous avons un gros éditeur mondial dans la sécurité informatique qui a un taux de conformité de… 0% (rire). Un autre éditeur en paye, comptabilité, consolidation, est pas loin de 0% aussi.
A l’opposé, un fabricant de téléphone d’origine Coréenne, a un excellent taux de conformité sur ses interventions en France et en Europe. Et puis nous travaillons avec des sociétés d’assurance, et là il y a plutôt de bonnes nouvelles.
Certaines sociétés ont pris en compte la démarche après une notification de la CNIL. D’autres ne s’en inquiète pas du tout.
Les données hors de France sont elles aussi concernées par le règlement ?
Oui. Le RGPD ne concerne pas que les entreprises françaises qui font des traitements de données de français.
Sont aussi compris, l’ensemble des ressortissants de l’Union mais aussi les entités extérieures à l’Union – notamment américaines – susceptibles de traiter des données personnelles de ces citoyens.
Si vous êtes un grand groupe international et que vous considériez que vous étiez épargné pour tous les traitements faits depuis le Maroc, la Tunisie, le Brésil ou les Etats-Unis – ce qui était vrai – et bien sachez que ce n’est plus le cas.
Dans la cadre du RGPD, qu’entend-on exactement par « données » ? Sont-ce les données brutes (Data en anglais) - comme l’historique de navigation ou des « likes » - ou aussi les enseignements qu’on en retire (Insights) - comme des préférences déduites de cette navigation et de ces « likes » ?
Les deux sont concernées. Dès qu’il s’agit d’une donnée qui permet de m’identifier, on est dans le périmètre du GDPR.
En revanche, on peut avoir des données volontairement confiées par une personne, mais dans le processus que l’on va mettre en place, si on dit dans l’analyse d’impact qu’on a une anonymisation et quelle sécurité on met autour de l’anonymisation dans ce processus de traitement, dans ce cas en face du traitement on mettra « 0 impact ».
La vraie question ici c’est le niveau de sécurité que l’on met autour. Il doit y avoir un degré de sécurité, physique et logique, pour permettre de garantir une protection totale à celui qui a confié la donnée, et pour lui assurer que celui qui exploite la donnée anonymisée ne pourra pas remonter à lui.
Ce qui ressort de tout cela c’est que l’on va accentuer la sécurisation de tous les processus dès qu’il y a de la donnée personnelle, en premier lieu pour déceler les failles. Au passage il y a désormais l’obligation impérieuse de les communiquer. Il n'est plus question de se dire que cela peut faire perdre des clients ou du chiffre d'affaires. Il faut les déclarer, quelle qu’en soit les conséquences pour votre activité.
D'après vous la sécurité va grandement y gagner...
Oui. D'autant plus qu'aujourd’hui cela ne concerne que les données privées, mais demain cela concernera aussi les données commerciales. On va donc arriver à des systèmes où dès la conception, on aura monté tellement de schéma de sécurisation que l’on va assainir la sécurisation des transferts des données.
François-Pierre LANI est avocat spécialiste en droit de l’informatique et des technologies nouvelles. Il a été pendant plus de dix ans juriste et directeur juridique au sein de différentes directions juridiques dont celles d’AXA, de SLIGOS (ATOS) et du groupe ELF AQUITAINE. Ces expériences ainsi que celle de « business development manager » pendant 3 ans lui permettent aujourd'hui d'accompagner les dirigeants dans leurs différentes décisions.