Quels sont les impacts du GDPR sur l’organisation et le fonctionnement de votre entreprise ?
Le nouveau règlement européen sur la protection des données – qui entre en vigueur le 25 mai 2018 – va impacter toutes les entreprises faisant du traitement de données. Le GDPR impose un nouveau mode de gouvernance de la data (passage d’une logique quantitative à une logique qualitative, Privacy By Design, etc.) et crée de nouvelles obligations pour les entreprises. Quels sont les principaux impacts de le GDPR pour les entreprises ? Quels sont les principaux changements à anticiper au niveau organisationnel et technique ? Si vous vous posez ces questions, cet article devrait vous intéresser. Cet article est le deuxième de notre série dédiée à le GDPR. Il fait suite à l’article introductif consacré à la définition, au périmètre, aux principes et principales mesures de le GDPR. Nous publierons prochainement un troisième article consacré à la démarche de mise en conformité à le GDPR. Cabinet de conseil en Relation Clients, CustUp vous accompagne dans la compréhension des enjeux du GDPR, dans la qualification des impacts.
Les sanctions financières prévues par le GDPR en cas de non-conformité
La règlement 679/2016 sur la protection des données, connu sous l’appellation GDPR (en anglais) ou RGPD (en français), poursuit trois objectifs principaux : unifier les législations européennes en matière de protection des données personnelles, renforcer les droits des personnes sur leurs données et enfin imposer un nouveau mode de gouvernance des données clients aux entreprises. Toutes les entreprises réalisant du traitement de données à caractère personnel (DCP) sur des résidents européens devront respecter, à compter du 25 mai 2018, les nouvelles obligations nées de le GDPR. Pour un rappel des principes de le GDPR et des principales mesures contenues dans ses 99 articles, nous vous renvoyons à la lecture de notre premier article consacré à le GDPR. Le GDPR prévoit de lourdes sanctions financières en cas de non-conformité.
Les sanctions financières
Les entreprises non conformes s’exposent, à partir du 25 mai 2018, à de lourdes sanctions financières en cas de contrôle de la CNIL. L’amende prévue s’élève à :
- Un maximum de 20 millions d’euros.
- OU 4% du chiffre d’affaires mondial (de l’année passée).
Ces sanctions financières, par leur niveau, dotent la CNIL de moyens très dissuasifs. Le montant des sanctions financières du GDPR renforce, de fait, le pouvoir de la CNIL.
Le GDPR implique un changement d’approche et de philosophie dans le traitement des données
La RGPD a retenu une définition très large du « traitement des données ». Le traitement des données désigne à la fois la collecte, l’accès, le stockage, la manipulation, la destruction et la consultation à distance des données. Cette compréhension, très extensive, fait entrer la plupart des entreprises dans le champ d’application du GDPR. Même les entreprises qui externalisent la collecte et le stockage des données sont réputées faire du traitement des données, dès lors qu’elles les consultent à distance. Tous les services des entreprises sont potentiellement concernés par les nouvelles règles de la RGPD : service client, marketing, ressources humaines, facturation, service juridique, service commercial. La mise en conformité de la RGPD va impacter toute l’organisation des entreprises – et pas seulement les services techniques. Cela implique, pour les entreprises, d’avoir une vision globale des différentes données dont disposent leurs services et des usages qui en sont fait. Force est de constater que cette vision globale fait encore défaut à la plupart des entreprises. L’un des premiers impacts du GDPR sur les entreprises est d’obliger les entreprises à acquérir cette vision globale, par le recensement de toutes les données à disposition et la rationalisation de la gouvernance des données.
Une nouvelle philosophie : la minimisation des données (data minimization)
La RGPD impose des règles très strictes en matière de gouvernance des données, et notamment des standards très élevés en matière de sécurisation des données et de respect des droits des personnes. Cela implique, pour les entreprises, de passer d’une logique quantitative à une logique qualitative. Plus les quantités de données collectées sont importantes, plus importants sont les risques. Une gestion optimale des risques implique de se recentrer sur les données les plus pertinentes et les plus récentes, sur les données nécessaires à l’atteinte des objectifs business. C’est ce que le règlement GDPR appelle la « minimisation des données ». La notion est mentionnée à plusieurs reprises dans le texte. Elle est traduite en anglais par « data minimization ». Pour les entreprises, la minimisation des données impliquent de :
- Recenser toutes les données à disposition de manière systématique.
- Nettoyer la base de données : faire le tri dans les données et supprimer les données inutiles ou périmées.
- Revoir la stratégie de collecte de données en se recentrant sur les données créatrices de valeur.
Le premier impact « global » réside bien là : forcer les entreprises à se doter d’une nouvelle philosophie de la data. Le GDPR oblige les entreprises à rationaliser leur collecte et leur traitement des données à caractère personnel.
Une nouvelle méthode : le Privacy By Design
A cette nouvelle philosophie de la data minimization est associée une nouvelle méthode ou approche : le « Privacy By Design ». Si le Privacy By Design n’est certainement pas une approche nouvelle, il est explicitement mentionné dans la RGPD et rendu obligatoire (GDPR, article 25). Le Privacy By Design est le nom de l’approche qui consiste à se préoccuper des enjeux de protection de la vie privée – et donc des données personnelles numériques – dès la phase de « design », c’est-à-dire dès la conception d’un produit (ou d’un service). Une application, par exemple, devra respecter les exigences du GDPR dès le jour de son lancement. La protection des données ne pourra plus être considérée comme un à-côté, comme un « add-on ». Le Privacy By Design implique de faire de la protection des données une priorité absolue, prise en compte tout en amont des phases de développement des produits ou services. Dans la pratique, l’approche « Privacy By Design » consiste, pour le responsable des traitements, à mettre en œuvre des « mesures techniques et organisationnelles appropriées », comme par exemple la pseudonymisation, qui permet de dissocier les données des personnes physiques auxquelles elles sont rattachées. Il s’agit aussi de garantir que, par défaut (Privacy By Default), seules les DCP (Données à Caractère Personnel) nécessaires aux objectifs du traitement seront traitées. En cela, le Privacy By Design est inséparable de la « Data Minimization » dont nous avons parlé plus haut. Privacy By Design et Data Minimization poursuivent deux objectifs identiques : responsabiliser davantage les entreprises sur les enjeux de protection des Données à Caractère Personnel, et offrir aux personnes un niveau de protection maximum de leurs données.
Consentement, transparence, droit des personnes, responsabilité : les impacts concrets du GDPR
Au-delà des impacts généraux évoqués plus haut, le GDPR impose aux entreprises des changements organisationnels et techniques très concrets et spécifiques. Tour d’horizon.
Impacts sur la gestion du consentement et la transparence
La RGPD impose de nouvelles exigences en matière de consentement. Au niveau de la collecte, les demandes devront être formulées en des termes simples et clairs. Le consentement devra résulter d’un acte positif et explicite de la part de l’utilisateur. Une case cochée par défaut ou une inactivité ne pourront plus valoir accord. Enfin, le consentement pourra être retiré à tout moment. Très concrètement, cela va obliger les entreprises à revoir la formulation des consentements et des informations légales, à mettre en conformité les formulaires, à encadrer le recours au profilage, etc. Plus largement, les changements au niveau des règles de consentement et transparence vont impacter les modes de collecte de DCP et imposer à toutes les entreprises une révision de leur plan de collecte.
Les impacts du renforcement des droits des personnes
Comme nous l’avons vu dans l’article consacré à ses définitions et son périmètre, le GDPR se donne pour objectif de renforcer les droits des personnes et le contrôle des personnes sur les données à caractère personnel les concernant. La RGPD redéfinit des droits déjà existants et en consacre de nouveaux :
- Droit d’information sur la finalité de la collecte et la nature des traitements. Ce droit résulte du renforcement des exigences en matière de transparence.
- Droit d’accès : toute personne, en vertu de l’article 15, aura le droit d’obtenir la confirmation que ses données sont traitées ou non, et d’accéder à ses données traitées. Ce droit découle aussi du principe de transparence. Les entreprises devront mettre en place des dispositifs, des interfaces et des outils permettant de garantir le droit d’accès, en facilitant l’accès des utilisateurs aux données.
- Droit de rectification : toute personne pourra obtenir que les données inexactes soient rectifiées, et les données incomplètes complétées. Cela implique des changements organisationnels du côté des entreprises, pour garantir ce droit « dans les meilleurs délais ».
- Droit à l’oubli (= droit à l’effacement) : toute personne pourra demander l’effacement de ses données après avoir retiré son consentement. Si le responsable des traitements a rendu les données publiques, il devra informer les autres responsables des traitements et leur demander de les effacer.
- Droit à la limitation du traitement, dans certains cas.
- Droit à la portabilité : toute personne aura le droit, dans certains cas, de recevoir, dans un format structuré et facilement utilisable, les données la concernant, afin de les transmettre, le cas échéant, à un autre responsable des traitements.
- Droit d’opposition, qui permet à la personne de s’opposer au traitement des données la concernant.
Les entreprises devront mettre en place des procédures et des outils permettant l’exercice de ces droits. Ce qui implique des changements organisationnels et techniques plus ou moins importants selon l’état de la gouvernance des données des entreprises.
L’extension du champ de la responsabilité
Le GDPR étend le champ de la responsabilité des responsables des traitements – et donc des entreprises. Pour responsabiliser les entreprises, le GDPR oblige ou encourage (selon les cas) les entreprises à désigner un Data Protection Officer (DPO). Cette mesure est au cœur du GDPR. La désignation d’un DPO est obligatoire pour les entreprises traitant des données sensibles ou à grande échelle. Elle est encouragée pour les autres. Le rôle du DPO ? S’informer sur les nouvelles obligations, conseiller le responsable des traitements, assister les décideurs sur les conséquences des traitements, en réaliser l’inventaire et piloter la mise en conformité. Il sera le véritable chef d’orchestre de la mise en œuvre du GDPR au sein des organisations. Pour en savoir plus sur le DPO, nous vous recommandons la lecture de cet article. Sous le contrôle et sur les conseils du DPO, le responsable des traitements devra veiller à :
- Renforcer la sécurisation des données.
- Evaluer les risques liés au traitement des données, en procédant le cas échéant à des analyses d’impact en amont.
- Documenter les traitements effectués. Le GDPR oblige toutes les entreprises à tenir un registre des traitements à jour.
- Notifier les failles de sécurité dans un délai de 72 heures.
- S’assurer que les sous-traitants fournissent des garanties suffisantes et respectent les obligations du GDPR
Le GDPR conseille aux entreprises la conception d’un code de conduite (article 24), afin de diffuser, dans l’organisation, les nouvelles pratiques en matière de traitement des données. L’augmentation des obligations du responsable des traitements et le renforcement de ses responsabilités vont obliger les entreprises à revoir de fond en comble leur gouvernance des données. Les mesures liées à la responsabilisation des entreprises sont sans aucun doute les plus impactantes à moyen terme. Finalement, la RGPD implique un changement profond de culture. Les réticences et les appréhensions des entreprises concernant le GDPR sont en partie justifiées : on passe clairement d’un monde de libertés, où l’encadrement du traitement des données personnelles était limité, à un mode plus contraignant. Mais aussi un levier de différenciation et un moyen d’offrir un maximum de garanties à ses clients. A nous d’en faire une opportunité pour une Relation Clients plus forte et performante !
Un article conçu et produit par Antoine Coubray et Jordane Feuillet. Antoine, directeur du développement CustUp, anime l’équipe de consultant en CRM et données clients.