ToulÉco

Publié le dimanche 7 janvier 2018 à 17h53min par Philippe Font

RGPD : « Aujourd’hui, nos données sont plus sensibles que nos empreintes digitales »

A partir du 25 mai 2018, le nouveau Règlement européen sur la protection des données devrait bouleverser l’approche des données dans les entreprises. Explications avec France Charruyer, avocate toulousaine spécialisée dans les questions numériques.

Le RGPD, le Réglement européen sur la protection des données, va entrer en vigueur en mai 2018. En quoi cela-va-t-il consister ?
Le RGPD a pour objectif de sensibiliser les individus à la maitrise numérique de leurs données. Au mouvement citoyen qui nous incite au partage et à la circulation des données via les capteurs connectés, s’oppose une nécessaire vigilance sur les implications du dévoilement de notre intimité et de nos intentions. Nos métadonnées sont en effet plus personnelles que nos empreintes digitales. Nous ne jouons pas à armes égales, car les Gafam (Google, Apple, Facebook, Amazon, Microsoft) et les sociétés du big data imposent une logique de la « data-ification » sans frontières, sans État et sans contrôle.

Qu’est ce que cela va changer pour les entreprises ?
Le RGPD représente pour elles un défi et une opportunité. Un défi parce qu’il demande un véritable changement de culture au sein de l’organisation, avec à la clé des mesures techniques et organisationnelles considérables. Une opportunité parce que dans ce nouveau contexte, les entreprises qui savent sécuriser leurs traitements des données à caractère personnel auront des avantages concurrentiels considérables.
Dans cette optique, le RGPD est une bonne chose car il va accélérer une transition économique qui était déjà en cours.

Quel est l’enjeu ?
Le premier enjeu du RGPD est un enjeu de réputation : aujourd’hui, le consommateur est de plus en plus sensible à la cyber-sécurité, et les entreprises qui seront en mesure de démontrer qu’elles sont conformes au RGPD vont fidéliser leur clientèle. En revanche, les entreprises sanctionnées pour la non-conformité, soit administrativement par la Cnil, soit devant les tribunaux dans une action en réparation suite à une fuite de données, souffriront de l’atteinte et de la dégradation de leur réputation commerciale. De la même manière, la conformité au RGPD deviendra un vrai sujet lors de la valorisation des entreprises.

Toutes les entreprises seront-elles prêtes au mois de mai ?
Il va simplement falloir être modeste sur les délais, car la conformité ne se décrète pas. Elle se met en oeuvre en douceur et fermeté. Peut-être toutes les PME ne seront pas prêtes le 25 mai. Mais il s’agit d’ores et déjà d’entamer le process de mise en conformité. A cet égard, il faut se méfier des précipitations et des cowboys du RGPD qui vous promettent en ligne une conformité à 100% qui ne peut exister en pratique. Le nouveau projet de loi sur la protection des données a été déposé le 13 décembre sur le bureau de l’Assemblée. Il doit d’ailleurs être encore discuté car il fait l’objet de multiples critiques. Il faudra se faire accompagner à la transition numérique avec pragmatisme. Le RGPD ne doit pas être vécu comme un épouvantail mais comme un vecteur d’accélération de confiance et de création de nouveaux modèles économiques.

Qu’es-ce que cela implique pour les salariés ?

Le RGPD impacte en profondeur la gestion RH des entreprises, Il conviendra de mettre le respect de la vie privée au centre de toutes nos pratiques (toilettage des contrats de travail, refonte des charte informatiques, fiches de postes, gestion des accès, délégations de pouvoir, stockage des données des salariés, durée de conservation en cas de départ etc.).
Surtout, il faut sensibiliser tous les salariés à l’importance de la sécurité des systèmes et de la gestion raisonnée des outils informatiques : fini le temps du poste de travail sans mot de passe, des informations sensibles sur les clients dans un fichier accessible à tout le monde. Il faut que tout le monde soit plus vigilant dans l’entreprise. Et en même temps, les salariés eux-mêmes bénéficieront d’un meilleur niveau de protection de leurs données à caractère personnel, car toutes les entreprises doivent penser à limiter et sécuriser la manière dont celles-ci sont traitées et stockées.

 Avec le RGPD vous attendez-vous à une recrudescence de dossiers au sein de vote cabinet spécialisé dans les questions de numérique et droits d’auteur ?
Nous remarquons déjà une prise de conscience parmi nos clients, ce qui est normal avec l’approche de la date du 25 mai 2018. Nous anticipons une recrudescence des dossiers contentieux concernant les données à caractère personnel, le RGPD donne la possibilité aux personnes concernées de mener une action de groupe contre un responsable du traitement.

Des plateformes et associations de consommateurs militantes se montent dans toute l’Europe pour proposer des actions collectives et/ou de groupe aux consommateurs pour les sensibiliser à la protection de leurs données personnelles ( par exemple Max schrems et son association NoYb.eu ). Ce ne sont pas les sanctions de la Cnil qui seront le plus à craindre mais bien davantage les recours juridictionnels. Par exemple aux États-Unis, des associations viennent de lancer des actions de groupe contre les multinationales Disney et Viacom pour s’insurger contre l’espionnage et le profilage en ligne de leurs enfants. Le Game of thrones de la data ne fait que commencer.
Propos recueillis par Philippe Font

Sur la photo : France Charruyer, avocate toulousaine spécialisée dans les questions de numérique et droits d’auteur. Crédits : DR

P.S. :

Alors que les anglo-saxons ont tendance à considérer la donnée personnelle comme un simple bien de consommation, l’Union européenne a décidé d’instaurer le Règlement général sur la protection des données n°2016/679 (RGPD) qui entrera en vigueur le 25 mai 2018. Il permettra aux ressortissants Européens de disposer d’une législation qui considère la protection des données personnelles comme un droit fondamental. Si une entreprise ne respecte pas le RGPD, il encourt une amende de 4% de son CA mondial ou une sanction de 20 millions d’euros.