PDG OpenDataSoft
Le compte à rebours est lancé et l’échéance se rapproche à vitesse grand V pour tous les acteurs économiques et sociaux (entreprises, collectivités locales, administrations …): plus que 14 mois pour se préparer à la nouvelle réglementation européenne sur la gouvernance des données, la GDPR (General Data Protection Regulation), RGPD en français (Réglement général sur la protection des données), qui a été publié au journal officiel européen le 4 mai 2016 et entrera en vigueur en mai 2018. Son impact sera profond.
Le GDPR, pour quoi et pour qui?
Le double objectif du règlement est simple, mais peut-être perçu comme paradoxal: il s’agit d’une part de renforcer la protection des données personnelles en encadrant davantage les conditions de leur conservation et réutilisation, d’autre part d’accroître les opportunités d’exploitation de ces mêmes données en les transformant en services innovants.
Ce règlement à deux grands volets va ainsi concerner:
- Les entreprises et administrations qui devront garantir que les données personnelles qu’elles collectent sur chaque client et usager ne seront conservées que si elles sont nécessaires à la « finalité » du service proposé et utilisé par ce même client ou usager. Elles devront donc se passer de nombreuses données jusqu’à présent conservées pour enrichir la connaissance client et in-fine dédiées à des objectifs strictement commerciaux, sous peine de sanctions significatives (de 2 à 4% du chiffre d’affaires annuel total).
- Les utilisateurs eux-mêmes, puisque le règlement vise à redonner à chaque citoyen européen le contrôle sur ses données personnelles. Loin d’empêcher la réutilisation des données par les entreprises et les administrations, le GDRP introduit la notion de portabilité des données et de consentement. Pour permettre la conservation et l’exploitation de leurs données par un tiers (données de tenue de compte bancaire, listes de courses en ligne ou des informations de l’ordinateur de bord de son véhicule), les citoyens devront donner leur consentement en amont. Nous connaissons déjà cette notion avec Facebook, par exemple, que nous autorisons (ou non) à aller puiser dans nos données générées via d’autres applications.
Replacer le citoyen au centre du débat
Un des thèmes fondateurs du GDPR est le droit fondamental et inaliénable que constitue pour chaque citoyen la protection de sa vie privée et de ses données personnelles, non pas en interdisant toute réutilisation de ces dernières, mais en lui rendant le contrôle sur ces mêmes données.
Il s’agit de permettre au grand public européen d’avoir le choix d’accorder ou non sa confiance à ceux qui développent et opèrent les applications et services du quotidien et dont le carburant principal est l’ensemble des données produites par ce même grand public.
Très concrètement, mon fournisseur d’accès ou de contenu préféré devra m’informer de façon simple et intelligible si et avec qui il est susceptible de réutiliser et de partager mes données personnelles, me laissant le choix de ne les partager qu’avec d’autres organisations, qui répondent à mes critères éthiques par exemple.
Le GDPR replace ainsi le citoyen au centre du débat sur les données et offre un cadre innovant sur la protection et le partage des données personnelles, en conciliant sécurisation accrue et circulation améliorée pour une gouvernance plus équilibrée, car répartie, des données.
La portabilité des données va ainsi entraîner plus de circulation des données mais sur la base d’une autorisation renforcée des utilisateurs. La notion de consentement aura un impact considérable pour les organisations et administrations qui devront se mettre en ordre de marche sur axes :
- Technique: pour conjuguer le paradoxe apparent de la protection des données et leur accessibilité.
- Juridique: aujourd’hui, la problématique est gérée par des correspondants informatiques qui appliquent les règles de la CNIL (Commission Nationale de l’Informatique et des Libertés) avec comme préoccupation première le respect de la bonne réutilisation des données. A partir de mai 2018, c’est l’utilisateur qui va définir par son consentement la finalité d’exploitation de ses données. Avec autant de finalités que d’utilisateurs. C’est pour cette raison que le règlement européen va imposer la fonction de DPO (Data Protection Officer), internalisée ou externalisée, qui s’assurera des méthodes et moyens mis en oeuvre par chaque organisation pour garantir cette sécurisation et portabilité des données personnelles.
- Organisationnel: la nouvelle réglementation induira de nouvelles compétences professionnelles et, donc, de nouveaux postes dédiés au bon respect de la traçabilité et de la conformité du partage des données des individus.
Une ouverture vers de nouveaux horizons.
Il y a encore peu, la notion de portabilité des données n’existait pas. Le concept est encore jeune, mais on peut déjà entrevoir les bénéfices pour le grand public.
Toutes les données disponibles sur un utilisateur devront être accessibles en un seul endroit grâce à la création d’un espace dédié, créant ainsi des « réservoirs de données » dont seuls les citoyens pourront choisir d’entrouvrir avec discernement les robinets.
A un an de son entrée en vigueur, l’enjeu pour les entreprises est de comprendre l’impact stratégique, organisationnel et juridique du GDPR, d’identifier les opportunités qu’il représente et de préparer sa mise en oeuvre.