Protection des données clients: êtes-vous prêt pour mai 2018 ?

 

 

 

Avec l’entrée en vigueur de la nouvelle loi sur la protection des données personnelles (GDPR) le 25 mai 2018, nous avons remarqué que plusieurs clients et partenaires d'altamedia se posaient beaucoup de questions autour de ce nouveau dispositif.

Nous avons donc décidé d'interroger des spécialistes, Tony Germini et Karim Bensaci, tous deux experts de la data intelligence au sein de Calyps SA, afin de mieux préparer votre entreprise à ces changements.

 

 

  • Toutes les entreprises (taille, secteur d’activité…) sont-elles concernées par cette nouvelle réglementation ?

Oui, si une entreprise et/ou un organisme, public ou privé, interagit massivement via un service digital avec des citoyens européens (indépendamment du vecteur d’interaction et/ou du réseau porteur et /ou du lieu d’interaction) et capture à des fins lucratifs (ou pas) leurs données personnelles générées avant, pendant ou après l’interaction.

  • Qu’elles sont les obligations des entreprises envers leur clients ?

La révolution qui s’annonce pour les professionnels de la collecte des métadonnées va désormais s’appeler RÈGLEMENT E-PRIVACY et doit remplacer la directive Vie Privée et Communications Electroniques (ou VPCE). On y trouve notamment une définition des métadonnées touchant aux communications électroniques, ainsi que les contraintes et autres obligations y afférant. Cette nouvelle loi prévoit six grands principes pour encadrer les traitements appliqués aux données personnelles que les organismes (publics ou privés) peuvent être amenés à stocker :

- le traitement doit être licite, loyal et transparent

- la finalité de traitement doit être déterminée, explicite et légitime

- les données inhérentes devront être pertinentes et limitées (principe de minimisation)

- les données se voudront exactes et si nécessaire, tenues à jour

- la durée de conservation des données sera limitée

- la garantie de sécurité des données doit être assurée (a minima : anonymisation et chiffrement)

Cette nouvelle loi fait reposer de nombreuses responsabilités sur les épaules des entreprises qui pratiquent le traitement de données. Elle identifie notamment deux acteurs pour les différencier :

- le data controller ou responsable du traitement (l’entité qui détermine les moyens et les finalités du traitement)

- le data processor ou sous-traitant (l’entité qui agit pour le compte du data controller)

 
Il va de soi qu’une entreprise peut assumer les deux rôles selon les traitements. MAIS dès l’instant que vous collectez, stockez et traitez des données que vous ne produisez pas (statistiques de trafic web, informations clients contenues dans votre CRM, etc.), vous êtes considéré comme sous-traitant. Et il suffit de très peu de données pour l’être. Cela concerne donc toutes les entreprises actives sur le net et proposant des services digitaux aux utilisateurs européens. 

  • Qu’entend-t-on par données personnelles ?

Selon le GDPR, les données à caractère personnel sont toutes les informations en lien avec une personne physique identifiée ou identifiable (« personnes concernées »). Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Cette définition des données à caractère personnel est importante pour les professionnels de la sécurité de l’information parce qu’elle implique des données qui ne semblent pas, à première vue, pouvoir être considérées comme personnelles. Les adresses IP, les identifiants d’application, les données des systèmes de navigation (GPS), les cookies, les adresses physiques des cartes réseau (adresses MAC), les identifiants uniques d’appareils mobiles (UDID), et le numéro de série des équipements mobiles (IMEI) en sont des exemples.

  • Dans quel cadre les entreprises doivent informer leurs clients que certaines données ont été récoltées à leur sujet ?

La loi demandera également un consentement explicite de la personne dont on traite les données pour une finalité déterminée. Conserver des données personnelles selon le principe du « récupérons tout ce qu’on peut et on verra après comment le valoriser » ne sera désormais plus possible (Twitter and Co. vont devoir revoir leurs copies…). Les obligations liées aux données collectées sont désormais explicites : stocker et traiter des données personnelles exigera un traitement déterminé en amont et exprimé clairement aux personnes concernées. Ces dernières devront non seulement donner leur accord, mais pourront encore le retirer à tout moment

  • Faut-il engager ou designer une personne responsable de la mise en conformité de l’entreprise ? Si oui, quel est son rôle ou le profil (juriste, informaticien, cabinet externe…)

La GDPR exige la présence d’un Data Protection Officer (ou délégué à la protection des données). Ce dernier a un rôle de conseil et de contrôle. Il est le point de contact pour tout ce qui concerne le traitement des données dans quatre cas :

- le traitement est effectué par une autorité publique ou un organisme public

- les activités de base de l’entreprise sont des activités de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes

- les activités de bases de l’entreprise sont du traitement à grande échelle de données sensibles et de données d’infractions pénales

- le droit de l’UE ou de l’Etat membre l’exigent

  • Faut-il mettre en place un système informatique spécial ? Si on a déjà un CRM comment savoir s’il est aux normes ?

Avant tout, il faut d’abord s’appuyer sur des experts compétents qui ont l’habitude de gérer ce genre de problématique. Une fois l’équipe adéquate identifiée, il s’agit de d’identifier quelles sont les données importantes susceptibles d’aider l’entreprise et/ou l’entité à respecter les contraintes légales. Ces données (ou leur nature ou le cadre légal les entourant ou tout autre élément pouvant influencer la situation) pouvant évoluer, une gestion des données de référence ou gestion des données maître (plus connue sous le terme anglais de Master Data Management ou MDM) est requise.

Le MDM définit un ensemble de concepts et de processus visant à définir, stocker, maintenir, distribuer et imposer une vue complète, fiable et à jour des données référentielles au sein d’un système d’information, indépendamment des canaux de communications, du secteur d’activité ou des subdivisions métiers ou géographiques.

Les données référentielles sous-tendent l’ensemble du système d’information, ce qui explique pourquoi leur gestion est devenue un enjeu crucial dans toutes les organisations depuis une dizaine d’années. Classiquement, cinq types de données référentielles sont sous MDM :

- les données client

- les données fournisseurs

- les données « produit »

- les données financières

- les données légale

  • Est-ce important de sensibiliser les collaborateurs ?
    D'après vous ? :-)
  • En cas de contrôle, que devront fournir les entreprises pour prouver de leur conformité ?

Toutes les entreprises ou organisations concernées seront tenues de respecter les obligations (et contraintes), à savoir :

- maintenir un registre des traitements

- sécuriser les données (et pouvoir le démontrer)

- notifier sans délai les personnes concernées en cas de faille de sécurité et/ou de fuite de données

- respecter le droit à la transparence

  • Quels sont les risques pour les entreprises qui ne seront pas prêtes pour le jour J ?

En cas de non-respect des règles, la GDPR introduit un mécanisme de mise à l’index par lequel les entreprises devront notifier aux autorités compétentes en matière de protection des données s’il y a un incident de sécurité qui affecte la sécurité des données à caractère personnel qu’elles détiennent. La notification doit être faite dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Si la notification n’est pas faite dans les 72 heures, les entreprises doivent donner le motif justifié de ce retard. Si la violation peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, ou à tout autre dommage économique ou social important pour les personnes concernées, les entreprises devront notifier la violation aux personnes concernées.

 
Il est important de noter qu’aucune notification aux personnes concernées ne sera requise si les entreprises ont mis en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour les données qui ont été affectées par la violation. Ainsi, si, avant la violation, les données ont été rendues incompréhensibles, par exemple par un chiffrement, les entreprises ne sont pas tenues de notifier cette violation aux personnes concernées.
 
Le coût élevé des défaillances : l’UE veut que les nouvelles règles de protection des données deviennent une question abordée au plus haut niveau de l’entreprise et elle a donc décidé de rendre les infractions passibles de lourdes amendes : si une entreprise ne se conforme pas aux obligations en matière de sécurité des données stipulées dans la GDPR, elle peut recevoir une amende pouvant aller jusqu’à 10’000’000 € ou jusqu’à 2 % de son chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu. Pire encore, si une entreprise est repérée en violation de certaines autres obligations relevant de la GDPR, l’amende peut s’élever à 4 % de son chiffre d’affaires annuel mondial total. Ce qui peut faire inciter plus d’un acteur à respecter les contraintes imposées par la GDPR.

 

 

Pour plus de renseignements, Karim Bensaci est à votre disposition: karim.bensaci@calyps.ch