RGDP : serez-vous prêt en mai 2018 ?

Bien sûr, dans le cadre de votre activité, vous avez besoin d’identifier, localiser, caractériser et reconnaître vos clients. Le RGDP ne remet pas cela en question, mais il vous impose de clarifier les règles et les procédures mises en place pour réduire les risques d’identification des personnes physiques et d’atteinte à leur vie privée, à partir des données stockées dans vos systèmes d’informations. Comme toute nouvelle obligation règlementaire, le RDGP apparaît d’abord comme une contrainte – plutôt forte d’ailleurs, vu le montant des sanctions prévues en cas de manquement : jusqu’à 4% du chiffre d'affaires mondial de l'entreprise ou 20 millions d'euros. Ce n’est pas rien !

Mais le RGDP vous donne aussi l’opportunité de conclure un nouveau pacte de confiance avec vos clients en étant transparent sur ce que vous faites de leurs données – un sujet auquel ils sont loin d’être indifférents et sur lequel ils ne font pas réellement confiance aux entreprises. D’après un sondage Wavestone réalisé dans 6 pays (Chine, France, Allemagne, Italie, Royaume-Uni, États-Unis), la moitié des citoyens pensent que leurs informations sont utilisées dans d’autres buts que ceux qu’ils ont approuvés. On note au passage que les Français sont ceux qui font le moins confiance aux organisations publiques ou privées à qui ils « confient » des données (64 %).

Information des clients : faites clair, précis et court…
Le principe de transparence prôné par le RGDP exige, dit le texte officiel du 27 avril 2016, que les informations relatives au traitement des données à caractère personnel soient « aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples » [art. 39]. Ce n’est pas vraiment nouveau mais, quand on pense aux politiques de confidentialité/Privacy Policy de la plupart des sites web – ou, pire, des réseaux sociaux… – on se dit que ce n’est pas un luxe d’insister sur la clarté et l’intelligibilité, auxquelles on rajouterait volontiers la concision… Les documents d’information actuels, rédigés par les départements juridiques, sont tellement indigestes que, même connaissant les risques et de plus en plus soucieux de la protection de notre vie privée, nous ne les lisons pas. En tant que consommateurs, nous nous contentons tous de cocher la case attestant que nous en avons pris connaissance.

La bonne idée est de profiter de l’entrée en application du RGDP pour réécrire votre politique de confidentialité en pensant un peu plus aux clients qui vont devoir (ou sont censés) la lire. C’est d’autant plus important que vous allez désormais devoir recueillir leur consentement explicite (ou leur refus) sur les usages et traitements que vous envisagez de faire sur les données que vous recueillez.

Cela va déranger les habitudes d’opacité de plus d’un géant d’Internet et autres data brokers. Ainsi, la Cnil vient d’infliger à Facebook une amende de 150 000 euros pour de nombreux manquements à la loi informatique et liberté actuelle dans sa gestion des données personnelles des utilisateurs. La sanction est dérisoire pour un acteur comme Facebook, mais les motifs sont intéressants : il lui est notamment reproché de « procéder à des combinaisons massives des données personnelles des internautes à des fins de ciblages publicitaires », alors que ces derniers « n’y ont pas consenti et ne peuvent pas s’y opposer ». On lui reproche aussi de ne pas recueillir le consentement exprès des internautes lorsqu'ils renseignent des données sensibles dans leurs profils, et en particulier leurs opinions politiques, leurs croyances religieuses ou leur orientation sexuelle.

Consentement des clients : l’obtenir et en faire la preuve
Vos clients doivent pouvoir décider en connaissance de cause, à partir d’un texte leur exposant clairement ce à quoi ils s’engagent ET ce à quoi votre entreprise s’engage. Il va de soi que cette obligation d’informer ne recouvre pas les mêmes choses selon que vous êtes un établissement de santé, une banque, un retailer spécialisé dans le textile ou un fournisseur d’énergie… Mais, dans tous les cas, pour être licites, vos traitements de données à caractère personnel doivent désormais être fondés sur le consentement de chaque personne concernée. La Cnil précise, à propos des nouvelles dispositions du RGDP que « la matérialisation de ce consentement doit être non ambiguë » et que « la charge de la preuve du consentement incombe au responsable des traitements » (votre entreprise ou vos prestataires).

C’est moins simple qu’il n’y paraît parce que chacun de vos clients peut changer d’avis : vous autoriser un temps à utiliser ses données, puis ne plus vouloir, puis à l’occasion d’un nouvel achat/projet, accepter de nouveau. En cas de litige, vous devez être en mesure de prouver que, au moment où vous avez utilisé ses données, vous en aviez pleinement le droit.

Serez-vous prêt en mai 2018 ?
Les citoyens et les consommateurs prendront de moins en moins à la légère tout ce qui touche à la protection de leurs données personnelles et de leur vie privée. Le RGDP leur donne davantage de droits et plus de possibilités de contrôle. Toute la question est de savoir si les entreprises font le nécessaire pour être prêtes en temps et heure, sachant que les implications du nouveau règlement ne se limitent évidemment pas aux deux points dont nous venons de parler. Pour l’instant, on en doute : en février 2017, 45% des entreprises/organisations françaises ne connaissaient pas la date d’entrée en vigueur du RGDP et 38% reconnaissaient qu’elles ne seraient pas prêtes. Sur la question particulière du consentement, seules 11 % des entreprises avaient entrepris des actions (étude SerdaLAB).

La banque et l’assurance, qu’on imaginait plutôt à la pointe sur ces questions, ne sont pas tellement en avance non plus. Dans ces deux secteurs, seulement un tiers des responsables sécurité & protection des données interrogés par Capgemini Consulting estiment être bien avancés dans la mise en conformité de leur organisation avec le RGDP. Ils ne sont que 21 % à actualiser la clause de consentement à chaque fois que leur politique de sécurité et de confidentialité est mise à jour, et 78% avouent que leur organisation conserve les données des personnes qui ont cessé d’être clientes, avec une période de conservation pouvant aller jusqu’à 10 ans. Ce qu’elles en font, l’étude ne dit pas…

Les risques d’image et de réputation, ainsi que les sanctions financières prévues en cas de non respect des dispositions du RGDP, devraient pousser les entreprises à accélérer leur mise en conformité. Ce qui est en jeu, pour toutes les organisations, c’est la confiance de leurs clients, sachant que si ces derniers acceptent de communiquer des données à caractère personnel, ils attendent en retour une amélioration des services rendus, plus de personnalisation, voire des avantages financiers. Les entreprises, qui ont longtemps profité de l’asymétrie d’information sur les données personnelles, vont devoir (ré)apprendre les bons vieux principes du « donnant-donnant ».