Accountability et RGPD

Le Règlement Européen sur la Protection des Données est en train de s'abattre sur les PME comme une révolution économique majeure car il oblige notamment à certains de ses principes comme l'Accountability à totalement revoir le rapport que les entreprises entretienne avec la création de bases de données. Cet article met en perspective ce principe.

Aujourd'hui, les entreprises utilisent des quantités de données difficilement inimaginable lorsque les première loi sur la protection des données ont été votées à la fin des années 1970. Nous parlons d'une époque sans Google. Sans Facebook. D'une époque avec de gros ordinateurs de bureau disposant de moins de puissance de traitement que nous n'en avons tous maintenant dans nos poches et sacs à main.

Une époque où vous avez faisiez signe à un taxi dans la rue, et le seul détail dont le conducteur disposait sur vous était l'adresse où il devait vous déposer.

Aujourd'hui, Uber peut monitorer en temps réel dans son système de géolocalisation  toutes ses voitures et suivre où vous en êtes dans les minutes qui suivent la fin de votre trajet en taxi.

Lorsque la première loi sur la protection des données a été conçue, l'idée qu'une entreprise puisse être capable de suivre des dizaines de milliers de trajets en taxi dans les villes du monde entier aurait ressembler à de la science-fiction.

Dans les années à venir, les voitures connectées, les réfrigérateurs, les fours et autres objets connectés seront conçus pour nous faciliter la vie mais font éclater les anciens cadres de protection des données.

L'intelligence artificielle, le Machine Learning et les technologies de détection feront de même - en faisant se développer l '«Internet des objets».

C'est un défi pour le régulateur, mais c'est un défi pour les entreprises qui veulent - qui doivent - se conformer à la loi. Nous allons tous devoir changer notre façon de penser à la protection des données.

Accountability et RGPD: le coeur de la nouvelle législation

Au centre de cette nouvelle façon de conveoir les choses, le GDPR. Pour les non-initiés, en mai 2018, nous aurons une nouvelle législation sur la protection des données, ici en France et dans toute l'UE.

Le règlement général sur la protection des données se fonde sur les législations précédentes, mais fournit plus de protections aux consommateurs et plus d'obligations relatives à la confidentialité pour les entreprises. Il apporte une approche « 21ème siècle » au traitement des données personnelles. Et il incombe aux entreprises de changer toute leur philosophie en matière de protection des données – un élement sur lequel cet article se concentre. 

Si l'essentiel de la GDPR se situe dans la continuité des lois Informatique et Liberté, un principe change néanmoins considérablement la donne pour tous.

Accountability dans le RGPD: une priorité pour les entreprises

Et cela concerne en priorité les entreprises.

Tout d'abord, les entreprises doivent d'ores et déjà veiller à un traitement des données personnelles. Les informations sur la paie, dossiers personnels des employés, dépenses des personnes. Il est  de la responsabilité des entreprises de conserver ces informations en sécurité et de veiller à ce que les droits des individus soient respectés, avec le risque d'une action coercitive et d'une publicité préjudiciable pour l'entreprise qui viendrait à se tromper.

Le GDPR ne change pas cela, mais renforce le niveau de responsabilité : les entreprises avec doivent démontrer que le niveau de sécurisation des données contre les cyberattaques est suffisant. Cela concerne d'ailleur aussi bien les traitements internes à l'entreprise que les traitements réalisés pour le compte d'autres entreprises.

Accountability, un défi relevable par les TPE ?

A cet égard, la RGPD représente un défi de taille pour les TPE et PME qui n'ont pas d'équipes de conformité ou d'agents de protection des données, alors qu'elles traitent souvent beaucoup de données personnelles.

Le RGPD donne aux consommateurs plus de contrôle sur leurs données. Les consommateurs et les citoyens ont plus de droits pour être informés sur la manière dont les organisations utilisent leurs données personnelles. Ils auront le droit de demander que les données personnelles soient effacées ou supprimées s'il n'y a pas de raison impérieuse pour une organisation de continuer à les traiter. Et ils auront le tout nouveau droit à la portabilité des données: obtenir et transférer leurs données personnelles pour leurs propres objectifs à travers différents services. Le GDPR inclura de nouvelles obligations pour les organisations. Les entreprises devront signaler à la CNIL, et dans certains cas aux personnes concernées, les violations de données qui présentent un risque pour les individus. Elles devront s'assurer que des protections spécifiques sont en place pour le transfert des données vers les pays qui n'offrent pas un niveau de protection suffisant au regard de la législation européenne, comme l'Inde ou le Japon.

Le consentement devra être donné, spécifique, informé et sans ambiguïté, et les entreprises devront être en mesure de prouver qu'elles l'ont obtenu.

Une boîte pré-cochée ne sera pas un consentement valide. Et enfin, le RGPD augmentera les pouvoirs de réglementation.

Le principe d'Accountability de la RGPD

Le principe d'Accountability est sans doute le plus grand changement du RGPD

La nouvelle législation oblige les entreprises à identifier les risques qu'elles créent pour les autres et à atténuer ces risques. Il s'agit de ne plus considérer la loi comme un exercice machinal, mais plutôt comme un cadre, une façon de penser, qui peut être utilisé pour bâtir une culture de protection de la vie privée qui imprègne toute l'entreprise. 

Le RGPD impose, donc, aux organisations de mettre en place mesures de gouvernance, comme les évaluations d'impact sur la vie privée et la protection de la vie privée dès la conception. Cela signifie un changement de la culture d'une organisation. Ce n'est pas une chose facile à faire, et il est certainement vrai que l'accountability ne peut pas être décrêtée: elle doit faire partie de l'approche systémique globale de l'entreprise pour gérer et traiter les données personnelles. 

Ce changement d'approche est absolument nécessaire car il correspond à ce que les consommateurs attendent. Le bénéfice pour les entreprises n'est pas seulement la mise en conformité avec la RGPD, mais aussi une opportunité de créer durablement de la confiance chez leurs consommateurs. Les consommateurs ressentent une nette perte de contrôle de leurs données. Ce sentiment de perte de contrôle a une incidence sur leur confiance dans les entreprises. Les trois quarts d'entre nous ne font pas confiance aux entreprises pour gérer de façon adéquate nos emails, numéros de téléphone, préférences et coordonnées bancaires. Je trouve cela choquant. Imaginons que 75% d'entre nous ne fassent pas confiance aux entreprises pour être honnêtes sur les prix, ou pour garder leurs propres contrats de service. Nous dirions que quelque chose de fondamental est tombé en panne. Pensez au milieu des années 90. C'était un monde dans lequel la plupart d'entre nous avaient une relation brique-et-mortier relativement directe avec chaque compagnie avec laquelle nous traitions. Si nous voulions faire des banques, nous sommes allés à la banque; Si nous voulions l'épicerie, nous sommes allés au super marché. Maintenant, il y a plus de chaînes de sociétés en ligne, plus de profilage et de partage de données, plus de consolidation des entreprises. Souvent, un individu n'a aucune idée de l'endroit où ses données personnelles pourraient se retrouver. Faites la cyberattaque sur TalkTalk en 2015 dont vous avez tous entendu parler. Les noms, adresses, dates de naissance, numéros de téléphone et adresses électroniques de plus de 150 000 clients ont été compromis. La plupart des données volées proviennent d'une base de données compilée plus de dix ans auparavant par la société de télévision payante Tiscali, acquise par TalkTalk en 2009. Personne qui donne ses coordonnées bancaires à une petite entreprise de télévision payante il y a dix ans J'aurais imaginé qu'ils pourraient être volés des années plus tard à partir d'une entreprise de télécommunications.Mais cet exemple sous-estime la perte de contrôle.Dans les premières années de cette décennie, beaucoup d'entre nous ont téléchargé une application de messagerie peu connue appelée WhatsApp.Take d'une vie canadienne WhatsApp est un excellent moyen de rester en contact. Bien sûr, il nécessite l'accès à une grande quantité de données sensibles, et encore moins vos contacts téléphoniques. Il n'est pas difficile d'imaginer une situation dans laquelle quelqu'un serait stocker un nombre qui est assez sensible, comme le numéro d'un conseiller ou d'une clinique de toxicomanie.Maintenant, il ya déjà des millions de personnes dans le monde qui partagent plus d'informations avec Facebook que ce qu'ils disent à leurs amis. Même si vous faites attention à ce que vous publiez, ses paramètres de localisation peuvent toujours indiquer où vous étiez, par exemple, et combien de temps vous êtes resté. Ainsi, lorsque Facebook a acheté WhatsApp, WhatsApp a informé les utilisateurs de son intention de partager certaines données. avec Facebook, les utilisateurs étaient inquiets. L'inquiétude que certains clients pourraient avoir est de savoir quelle image pourrait être peinte si l'entreprise choisit de mettre les deux ensembles de données côte à côte. En tant que régulateur de protection des données, nous avons un rôle à jouer: nous avons clairement défini la loi sur Facebook et WhatsApp. Nous sommes heureux d'avoir accepté de suspendre les plans de partage de données.smith Nous avons demandé aux deux entreprises de signer une promesse d'amélioration, et des discussions sont en cours à ce sujet avec notre bureau et avec d'autres autorités de protection des données en Europe. Mais rien de tout cela ne change la façon dont certains consommateurs vont maintenant penser à WhatsApp. Ceux qui étaient satisfaits de l'accord sur les données étaient d'accord avec un service, content de l'accord avec une seconde, mais pris au dépourvu lorsque les deux services se sont réunis. Minimisation de l'entreprise Je pense que cela va à l'un des fondements d'une bonne protection des données responsabilité: minimisation surprise. Quelles sont les personnes que vous attendez de vos données? Il ne s'agit pas seulement d'avoir un bon avis de confidentialité dès le départ, mais aussi d'avoir la confiance des clients que vous ne changerez pas d'avis et que vous fassiez quelque chose de différent.Parce que la confiance des clients n'est pas la pierre angulaire d'une bonne affaire ? N'est-ce pas une relation intangible avec les clients: la loyauté, la confiance, les clients réguliers, ce que la plupart des entreprises veulent? GoogleLet parle de Google, étant donné qu'il vous parle ensuite. Peu de sociétés symbolisent mieux l'évolution de notre relation avec les données au cours des deux dernières décennies. Lorsqu'elle a été créée en 1998, Google était un moteur de recherche dont la mission était «d'organiser l'information mondiale et de la rendre universellement accessible et utile».

Aujourd'hui, la société de Mountain View ne fait pas que chercher. Elle filtre également les nouvelles et les livres, elle a un réseau social, elle offre Streetview, des calendriers, des courriels, des analyses, un navigateur, des vidéos; elle fait du téléphone, du matériel téléphonique, des voitures autonomes et de l'intelligence artificielle.

Mais c'est aussi un bon symbole de la façon dont les attitudes des consommateurs ont changé. Lorsque le moteur de recherche a commencé à devenir plus intelligent, les internautes ont commencé à voir des publicités sur Google pour des sites liés à des lieux qu'ils avaient recherchés sur Google Maps ou des vidéos qu'ils avaient regardées sur YouTube, certains ont commencé à se sentir moins à l'aise.

Plusieurs régulateurs européens ont pris des mesures contre Google sur des questions de protection des données, y compris la CNIL, notamment sur les informations inutiles recueillies dans le cadre du projet Streetview.

Et maintenant, même les équipes de Google,  définissent leur infrastructure de gouvernance des données, leurs flux de travail pour être prêt pour le RGPD. Ils cherchent à améliorer leurs pratiques et à mettre en place cette culture d'engagement en faveur de la protection des données.

L'accountability : un avantage commercial ?

On peut espérer que les entreprises qui prosperetont dans cet environnement changeant seront celles qui considérerons l'accountability avec un état d'esprit qui tient compte de ce que les consommateurs veulent, de ce que les consommateurs attendent.

Aujourd'hui, de nombreuses entreprises pensent que la protection des données ne concerne que la «conformité». C'est un état d'esprit qui dit: «mon travail consiste à respecter les exigences légales. Tant que je coche les bonnes cases, tout ira bien » .

Mais pour relever les véritables défis, nous devons passer d'un état d'esprit de conformité à un état d'esprit d'engagement: l'engagement à gérer les données avec sensibilité et éthique.

Pas seulement parce que c'est la loi, mais parce que cela fait partie des bonnes pratiques commerciales de base, comme la transparence sur les prix ou un bon niveau de service.

L'accountability contraint à un investissement initial dans les principes fondamentaux de la protection de la vie privée, mais elle offre un avantage concurrentiel, non seulement en ce qui a trait à la conformité à la loi, mais aussi à la concurrence. 

C'est la carotte pour bien faire les choses. Et il y a aussi un gros bâton.

Le RGPD augmentera les pouvoirs de réglementation

Pour les violations les plus graves de la loi, la CNIL aura le pouvoir d'infliger des amendes aux entreprises jusqu'à vingt millions d'euros ou quatre pour cent du chiffre d'affaires annuel total d'une entreprise pour l'année précédente.

Et nos pouvoirs d'exécution ne sont pas seulement pour les violations de données «typiques», comme les ordinateurs portables laissés dans les trains ou les informations laissées ouvertes à une cyberattaque. Le GDPR donne aux régulateurs le pouvoir de faire respecter dans le contexte de la responsabilité - la protection des données dès la conception, l'absence d'évaluation de l'impact de la protection des données, les DPD et la documentation. Si une entreprise ne peut pas démontrer qu'une bonne protection des données est la pierre angulaire de ses pratiques, elle se rend elle-même passible d'une amende ou d'une autre mesure d'exécution qui pourrait nuire à l'équilibre bancaire ou à la réputation de l'entreprise.