Tout ce que vous avez toujours voulu savoir sur le RGPD sans jamais oser le demander

. © .
Pieterjan Van Leemputten

Le Règlement Général sur la Protection des Données ne doit pas être un big bang, mais l’occasion de mettre de l’ordre dans le traitement des données. Pour défricher le terrain, Data News s’est adressé à plusieurs experts.

Si vous débarquez d’une autre planète, petit rappel des épisodes précédents : le 25 mai 2018, le Règlement Général sur la Protection des Données ou RGPD entrera en vigueur. Cette directive européenne définit la manière dont les entreprises, les administrations et les organisations doivent agir face aux données à caractère personnel, en mettant l’accent sur la vie privée et la sécurité. C’est ainsi que les consommateurs pourront demander pourquoi leurs données sont stockées et traitées. De leur côté, les entreprises ne pourront plus conserver et utiliser tout ce qu’elles veulent, voire les communiquer à des tiers.

Reste que le RGPD ne se limite pas au traitement de données. L’entreprise est en effet supposée agir de manière sûre et responsable avec ces données. Si, demain, votre base de données est piratée, vous serez tenu, en fonction du type de données dérobées, de le communiquer à l’Autorité de Protection des Données (aujourd’hui connue sous le nom de Commission Vie privée) ainsi qu’éventuellement aux personnes ou clients dont les données ont été volées. Aucune amende n’est prévue en cas de piratage, à moins qu’il n’apparaisse que vous n’ayez pas pris les mesures suffisantes pour protéger ces données.

Amendes

© Lectrr

L’élément de répression prend donc la forme d’amendes. Pas de crainte certes de devoir débourser des amendes astronomiques pour la moindre infraction, mais si vous avez négligé de prendre les précautions élémentaires ou si vous refusez de vous conformer, vous risquez en cas de fuite de données une amende pouvant atteindre 10 millions ? ou 2 % de votre chiffre d’affaires global (le montant le plus élevé étant pris en compte). Et si vous collectez plus de données que ce qui est autorisé, l’amende peut se monter à 20 millions ? ou 4 % du chiffre d’affaires annuel global.

Toutefois, la pratique se révèle quelque peu plus nuancée. Le risque est en effet minime de voir débarquer dès fin mai un contrôleur et de se voir sanctionner d’une amende record d’ici l’été en cas d’infraction. Mais la loi existe et sera appliquée de manière toujours plus stricte au fil des années.

La combinaison d’histoires d’amendes et d’imbroglio juridique que représente le RGPD incite certains à vous proposer de devenir ‘RGPD-compliant’ moyennant une somme plus ou moins démocratique. Reste qu’il faut se montrer nuancé. Tout comme prendre sa voiture entre Ostende et Durbuy (bonjour Monsieur Coucke) implique davantage que d’avoir une voiture en état de marche et un permis de conduire, le traitement correct et sécurisé de données personnelles sous-entend davantage qu’un serveur fiable et d’éviter des ‘bêtises’.

Les entreprises belges seront-elles prêtes ?

” Seule une fraction des entreprises belges sera prête d’ici mai, pour autant que cela soit encore possible sachant que la législation n’est pas encore finalisée, précise Jean-Pierre Bernaerts, fondateur de DPOffice et consultant en RGPD. Des variantes locales sont possibles, par exemple en matière d’obligations relatives au DPO [la désignation d’un délégué à la protection des données, NDLR] où certains aspects ne sont pas encore clairs en Belgique. Il en va de même pour certains ajouts locaux obligatoires, notamment en matière de liberté d’expression et d’information. Cela rend la situation difficile, entre autres pour les éditeurs. ” Cela étant, Bernaerts s’attend à voir un grand nombre d’entreprises belges être en ordre face aux obligations de base.

Danielle Jacobs, directrice de Beltug, suit ce raisonnement. ” Il existe encore trop de dispositions récentes ou encore à définir et qui obligeront à revoir le cap. Même une grande entreprise qui a pris très au sérieux la phase préparatoire ne sera pas en ordre. ” Et d’évoquer la révision de l’ensemble des contrats IT, outre par exemple l’inventorisation de l’ensemble des données. ” Songez aux évaluations du personnel qui sont souvent dans un fichier Word ou Excel et non dans une base de données. Ou aux données de vos vendeurs sur les loisirs de leurs clients. ”

” La plupart des entreprises auront certes fait des progrès au niveau du RGPD, mais auront des difficultés à être prêtes pour mai, ajoute Kapil Varshney, directeur Strategic Market Development chez Tata Consultancy Services. Qui plus est, ce règlement s’ajoute à d’autres législations, ce qui accroît la pression sur les entreprises. Respecter tous les délais apparaît comme un défi. ”

” Trop d’entreprises se sont mises en route trop tardivement pour être prêtes à temps, estime Geert Somers, avocat chez Time Lex. La préparation implique de cartographier dans un premier temps l’ensemble des flux de données et de régler d’éventuels problèmes en implémentant les dispositions nécessaires. Ce processus peut prendre de 6 à 12 mois. L’échéance de 2019-2020 apparaît sans doute comme réaliste. ”

” Il faudra également voir comment réagiront les autorités de protection des données après l’entrée en vigueur du RGPD. La situation sera différente d’Etat à Etat dans l’UE “, enchaîne Sven Arnauts, expert en RGPD et DPO chez delaware, qui considère qu’il faudra attendre encore. ” La plupart des entreprises auront déjà identifié les principaux chantiers et entrepris les premières démarches. Mais il faudra sans doute attendre 2025 pour que les entreprises soient totalement conformes. ”

Exigences de base

Ne considérez certainement pas la nouvelle législation comme une liste ‘à faire’, mais comme un nouveau mode de vie pour l’entreprise. Mais par où commencer cette nouvelle vie et est-elle vraiment nouvelle ? Dans de nombreux cas, il s’agit de règles existantes et de bonnes pratiques enrobées dans un nouvel emballage. Reste qu’il ne faudrait pas négliger cet emballage.

” Il est conseillé de réaliser au plus vite une évaluation en profondeur de la situation actuelle : quelles données personnelles l’entreprise traite-t-elle vraiment ? Où ces données sont-elles stockées ? Qui y a accès ou pas ? Le niveau de protection des données est-il suffisant ? Bref, quels sont les flux de données et quels sont les risques associés ? “, résume Fabienne Lens de CTG. Cette analyse doit également indiquer les manquements légaux et ce qui peut être amélioré. Sur base de cette évaluation, l’entreprise pourra ensuite améliorer la situation.

L’important à ce niveau est de ne pas se limiter à la direction générale ou au département IT. ” Il est essentiel que chacun dans l’entreprise reçoive une formation, qu’il s’agisse d’une session de sensibilisation ou d’un cours sur certaines actions spécifiques à prendre en cas de fuite de données “, poursuit Lens.

Une telle session de sensibilisation peut être suivie de quelques ‘exercices incendie’. L’un des plus évidents consiste à lancer une fausse attaque d’hameçonnage pour voir si le personnel tombe dans le panneau. C’est ainsi que notre rédaction a découvert récemment qu’une banque belge avait adressé un courriel de phishing à ses cadres, soi-disant en provenance d’un journaliste de Data News. L’intention était louable, même s’il est conseillé dans ce cas d’avertir la personne dont l’identité a été usurpée.

” Au-delà de savoir quelles données personnelles l’entreprise collecte, celle-ci doit également pouvoir expliquer ce qu’elle en fait, savoir qui a consulté ces données (dans l’entreprise) et à quelles fins “, complète Kapil Varshney. ” De même, le principe de l’oubli est important, insiste Dany Delepierre, expert chez Accenture. Les citoyens ont le droit de pouvoir être oubliés, ce qui oblige l’organisation à s’assurer que leurs données personnelles peuvent être totalement supprimées. ”

N’oubliez pas également les petits caractères ! Le RGPD est un bon moment pour vérifier que la déclaration de vie privée et la politique de cookies sont encore valables.

Ne pas oublier

Nous avons par ailleurs demandé à nos experts quelles mesures risquaient d’être négligées. Ce qui nous a valu quelques observations étonnantes.

” Si vous recevez indirectement des informations sur une personne physique, vous devez d’abord informer cette personne dans un délai d’un mois ou lors du premier contact selon l’échéance la plus proche “, relève Jean-Pierre Bernaerts. Cette partie indirecte doit en l’occurrence préciser d’où viennent les données, ce qui est légalement autorisé, combien de temps ces données sont stockées et quels sont les droits de la personne sur ces données. ” Toute une procédure, mais obligatoire et souvent négligée. ”

Siebe De Roovere, experte en RGPD auprès de la société de consultance en sécurité IT Toreon, met en avant la nécessaire proportionnalité. En principe, il est interdit de stocker davantage de données que nécessaire. Or un département de marketing ou de ventes apprécie de stocker un maximum d’informations sur son public cible. ” On ne peut collecter et exploiter des données que sur base d’une raison valable. Ce qui débouche sur une stratégie de vente schizophrénique pour les agences de consultance BI et les intégrateurs BI. ” Le CRM constitue à cet égard un exemple intéressant. ” De nombreux outils sont dotés de champs en texte ouvert où les vendeurs stockent toutes sortes de données personnelles pour nouer un contact personnel et étroit. Par exemple, ‘le client a 2 enfants’. Cette information n’a toutefois rien à voir avec les objectifs de vente et n’est donc plus autorisée. Nous conseillons dès lors d’éviter de tels champs ouverts qui sont ingérables. ”

Marc Lambotte, Agoria:
Marc Lambotte, Agoria: ” Il ne devrait pas s’agir d’un projet financièrement lourd, même si c’est le cas en pratique. “

Quelle pertinence ?

Davantage de règles, une protection renforcée, mais également des soucis. Pourtant, la législation sur la protection des données présente aussi des avantages. ” Elle oblige les entreprises et administrations à s’interroger sur les multiples traitements des données opérés, estime Geert Somers. Trop souvent, les entreprises sont avides de données, ne serait-ce qu’en estimant que celles-ci peuvent un jour servir. Mais désormais, elles sont contraintes d’avoir une réflexion plus stratégique sur leurs données et de se limiter à ce qui est vraiment nécessaire. ” Mais le RGPD présente aussi une dimension économique. ” Un service qui est en mesure de démontrer qu’il travaille selon les principes de ‘privacy-by-design’ du RGPD pourrait être en position de force par rapport à un concurrent qui ne peut présenter de telles garanties “, ajoute son collègue Hans Graux.

De même, Marc Lambotte, directeur de la fédération technologique Agoria, acquiesce. ” Les entreprises devront changer leurs mentalités et s’interroger sur le traitement des données personnelles afin d’en faire au final un avantage concurrentiel. Le RGPD est une bonne occasion de se pencher sur ce droit fondamental de toute personne et d’agir en conséquence. ”

Reste qu’il s’agit là d’un chantier délicat pour les entreprises. ” Le RGPD est une matière abstraite et complexe à traduire en mesures concrètes. Certains droits, comme le droit de portabilité, imposent par ailleurs différentes adaptations techniques qui ne sont pas simples à implémenter pour des PME n’ayant aucune connaissance spécifique ou des connaissances très limitées. ”

A quel coût ?

Beaucoup dépend du stade d’avancement et de la manière de procéder. ” La mise en place d’un registre des traitements des données peut se révéler coûteuse si l’entreprise choisit certaines solutions commerciales avec des coûts de licences annuels. Mais il est aussi possible d’opter pour une configuration spécifique d’un logiciel existant comme SharePoint “, indique Geert Somers.

” Il ne devrait pas s’agir d’un projet financièrement lourd, même si c’est le cas en pratique, ajoute Marc Lambotte. Les entreprises qui disposent des connaissances en interne ne doivent par exemple pas faire appel à des consultants chèrement payés pour les accompagner. ” Tata Consultancy Services conseille à l’entreprise de vérifier d’abord les outils dont elle dispose. ” Souvent, ceux-ci ne sont pas utilisés pour protéger l’ensemble des systèmes qui stockent des données personnelles. Une manière d’économiser sur les coûts consiste à réutiliser les investissements existants plutôt que d’acheter d’emblée de nouvelles solutions. ”

Parfois, il s’agit de tâtonner, sachant qu’il n’existe pas toujours d’outil prêt à l’emploi. ” De nombreux aspects paraissent évidents, mais n’existent pas forcément toujours. Ainsi, une bonne procédure de sortie pour supprimer l’ensemble des accès d’un collaborateur qui quitte l’entreprise ou change de service “, note Herman Maes, marketing technologist chez Intracto.

” Dans les entreprises du monde B-to-B où les données personnelles sont surtout des données du personnel, la situation est gérable. Mais dans les entreprises fortement impactées par le RGPD comme les banques, le pharma, les hôpitaux, la distribution ou le marketing direct, la préparation est longue et coûteuse, souligne Danielle Jacobs. Le coût ne se situe pas seulement dans les frais externes pour des tiers, mais aussi dans le temps consacré à la préparation et à la sensibilisation du personnel. “

Les principaux malentendus concernant le RGPD

Nous avons demandé à notre panel d’experts les idées fausses largement répandues concernant le RGPD. Démythification.

” Qu’il s’agit d’un problème d’IT et que les entreprises peuvent se contenter de quelques documents, de nouveaux contrats et d’un audit de sécurité “, confie Herman Maes d’Intracto. De même, il ne croit pas que le RGPD empêchera le marketing numérique. De même, Dany Delepierre d’Accenture souligne que ” certes, un renouvellement technologique peut paraître nécessaire, mais il ne faut certainement s’en contenter. Le RGPD a un impact sur l’ensemble de l’entreprise et, outre les défis technologiques, il faut prendre en compte la structure de l’organisation, les connaissances et les compétences des collaborateurs ainsi que les différents processus organisationnels qui peuvent être améliorés. ” Et d’insister notamment sur un processus de sensibilisation complet et des formations adéquates du personnel.

” Un outil ne constitue pas une solution pour être conforme au RGPD, assène Siebe De Roovere. Les entreprises qui se réveillent seulement ont souvent une réaction de panique et espèrent que l’acquisition d’un outil vie privée leur permettra de se mettre rapidement en conformité. A fool with a tool remains a fool. Identifiez d’abord vos manquements et définissez une stratégie de conformité avant d’acheter quoi que ce soit dans la précipitation. ”

Jean-Pierre Bernaerts de DPOffice rappelle que la législation s’applique également aux entreprises qui travaillent dans la sphère purement B-to-B. Une position que confirme Fabienne Lens de CTG. ” La législation s’applique à toute entreprise qui traite des données personnelles, que celle-ci stocke ces informations ou pas. De même, les processeurs [qui ne font que traiter des données, pas les collecter et/ou les stocker, NDLR] sont coresponsables, même s’ils ne le savent pas toujours. “

Guides

Ce dossier se veut un guide dans le chantier de conformité au RGPD. Mais différentes organisations ont concocté également leur propre manuel ou plan par étapes pour vous soutenir.

– ‘Préparez-vous en 13 étapes’ est un guide de la Commission Vie privée belge à consulter sur : www.privacycommission.be.

– Beltug propose un questionnaire que les entreprises peuvent soumettre à leur fournisseur de services cloud et leurs secrétariats sociaux. Elles pourront ainsi vérifier dans quelle mesure leur partenaire est conforme à la nouvelle législation. Ce questionnaire peut être obtenu à info@beltug.be.

– Pour le PME, le Center for Cybersecurity Belgium (CCB) a lancé en collaboration avec la Cybersecurity Coalition un check-up RGPD. Ce test est accessible sur https://www.cybersecuritycoalition.be/ gdpr-launching/.

– La fédération technologique Agoria édite son GDPR Compass, un guide destiné aux cadres de niveau C et à différents départements d’une entreprise. Il vous faudra cependant débourser 1.700 ? : www.gdprcompass.be.

– Vous désirez consulter le texte de loi original ? Surfez sur le site Web de l’Europe (document 32016R0679) Le cabinet d’avocats DLA Piper propose également ce même texte législatif sous forme d’une appli pour smartphone sous le nom ‘Explore GDPR’. (Android & iOS)

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire