Le RGPD, Règlement Général sur la Protection des Données, est au bord de toutes les lèvres, et pour cause ! Sa mise en application est effective dès à présent (depuis le 25 Mai 2018).
Mais avant de courir dans les détails techniques qu’impliquent le RGPD, voici une courte explication de ses objectifs et de ses enjeux.
En 1995 était née la directive 95/46/CE du Parlement Européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
En 13 ans, notre environnement technologique a grandement changé, et il nous est naturel de renseigner nos informations personnelles sur les réseaux sociaux, les plateformes administratives, les services bancaires ou encore les objets connectés. Vous imaginez donc le nombre de fois où vous avez renseigné vos données personnelles autant dans le cadre privé que professionnel.
Les entreprises internationales sont obligées de mettre à jour leurs processus de collectes et de traitement des données au regard des nouvelles lois relatives (il y a 99 articles) à la protection des données personnelles de leurs employés ainsi que de tous ceux qui se trouvent sur leurs base de données. Cela veut dire que les règles liées à la collecte et utilisation des données personnelles vont devoir suivre les directives de la nouvelle loi.
Cette mise en application a raison d’effrayer puisqu’elle implique une pénalité pouvant aller jusqu’à 20 millions d’euros pour les plus petites sociétés et 4% du chiffre d’affaire pour les grandes sociétés où ce montant dépasse 20 millions d’euros.
Cette pénalité s’implique dans les cas où il y a des défauts au niveau de la protection des données. Par exemple, si on envoie un email à une personne extérieure à la société, contenant des données sensibles par exemple, avec en copie une centaine de personnes appartenant à la société, cela pourrait être vu comme un défaut de protection des données. Donc, si ces données sont exploitées publiquement, les particuliers comme les entreprises peuvent porter plainte. Et c’est à ce moment là où la CNIL a comme mission d’investiguer auprès des partis afin de déterminer si une pénalité sera appliquée ou non.
En comparant la loi de 1995 à l’actuelle, il est très important de noter la grande nouveauté du droit à l’oubli à l’échelle européenne. Qui plus est, les internautes peuvent demander la portabilité de leurs données personnelles d’un service à un autre. Autre nouveauté à mettre en place en interne, c’est le Data Protection Officer qui aura un rôle d’interface entre l’utilisateur et l’organisme de protection (CNIL). Naturellement, ce poste est à mettre en place seulement et uniquement si c’est pertinent par rapport à la taille de la société à son organisation et à son secteur d’activité.
En somme, le RGPD va impliquer une bonne compréhension des articles, de leur respect et de s’assurer que les processus en place soient convenablement mis à jour. Ce grand chantier juridique va amener avec lui des coûts non négligeables de développement dans le cadre de la réorganisation de l’enregistrement des données, ce que l’on appelle la « Privacy by Design ». Ne serait-ce qu’en Europe, le coût jusqu’ici recensé est de plus de 100 millions d’euros au sein des entreprises et de leurs DSI.
Dans ce contexte où beaucoup d’informations sont prodiguées à ce propos, j’ai eu la chance d’obtenir une interview avec le Directeur Juridique EMEA de HAYS, Patrick Bergot. Face à une entreprise de recrutement et de conseil qui engrange des millions de données sur des candidats, l’intérêt du RGPD est plus que primordial!
En effet, l’équipe de Patrick Bergot qui est constituée de 21 juristes a commencé à travailler sur le sujet depuis Juillet 2016. La protection des données est un de ses rôles avec son équipe, surtout pour une société mère cotée en Bourse…
L’équipe juridique a donc refait toutes les politiques de confidentialité de HAYS, et ce, que ce soit la politique externe ou la politique interne qui s’applique aux employés. Si un employé ne travaille plus au sein de la société, la minimisation des données personnelles se met en place et ces dernières sont ensuite définitivement supprimées en conformité avec la politique de confidentialité. Pour HAYS qui est au centre de cette problématique avec ses millions de candidats, les données sont gardées et mises à jour constamment. Chaque recruteur va garder le contact avec les candidats. La suppression des données intervient si le candidat ne donne plus de nouvelles depuis un moment (donc impossible de mettre à jour ses données), ou bien si ce dernier demande au cabinet de supprimer sa fiche.
En somme, chaque information collectée est faite en respectant le RGPD et les informations conservées pendant un moment sous l’accord du candidat. Comme le montre l’article 6(1)(f), du moment que les données sont collectées de façon légale et que HAYS peut le traitement est nécessaire aux fins des intérêts légitimes poursuivis par HAYS, tout est dans les clous!
Comme vous pouvez le vivre quotidiennement en allant sur des plateformes sociales comme Facebook, ou bien encore Linkedin, la préparation du RGPD informe les gens des droits de protection de leurs données. À long terme, cela va amener une augmentation des coûts, mais cela va aussi obliger les entreprises à mettre à jour presque tout le temps leurs bases de données et de les justifier. Si une base de donnée est mise à jour et justifiée, sa qualité augmente. Et le double intérêt ici, c’est de nourrir des bases de données qui soient d’excellentes qualité pour mieux connaitre son périmètre.
Si le RGPD n’est pas respecté, non seulement il y aura une pénalité, mais cela peut mettre en péril la vie d’une société.
Voici quelques conseils de Patrick Bergot dans le cadre de la mise en place du RGPD :
« La première chose que l’on a faite, c’est de comprendre exactement ce que l’on a en terme de base de données. Quelle sont les données, leur nature ? Où sont-elles stockées ? Qui les traitent ?
Ces premières questions de base sont importantes puisque ce sont celles-ci qui vont nous permettre de justifier notre traitement des données. Étant donné que l’on a plusieurs serveurs en Europe, il faut pouvoir réaliser des transferts, et donc justifier le transfert des données.
Si on regarde l’article 6(1)(f) et 6(1)(a) du RGPD, il y a six façons différentes de justifier le traitement des données. C’est pourquoi nous avons dû revoir toutes nos politiques internes et externes et les rendre conformes en fonction de l’article 6.
Ce qu’il faut aussi savoir, c’est que l’entrée en vigueur du 25 Mai n’est pas la fin de ce process, mais que le début. C’est pourquoi il ne faut pas hésiter à accélérer le rythme pour rester à jour. »
Bien entendu, nombre de DSI se posent des questions quant aux articles du RGPD puisque toutes les entreprises n’ont pas recruté des experts dans la loi de la protection des données ou des Data Protection Officers. Mais disons que la priorité du moment est de limiter la duplication des données afin d’affiner le niveau de sécurité. Pour cela, les entreprises doivent se débarrasser des data qui n’ont rien à faire dans leurs systèmes d’informations en les nettoyant et les justifiant afin de ne pas engranger d’avantage de données inutiles et compromettantes…
