Les implications business du RGPD

Byrony Seifert
Byrony Seifert

VP of Marketing and Product Delivery, EMEA

[Vous pouvez lire la première partie de cette série, “Ce que les marketeurs IT B2B doivent savoir à propos du RGPD” ici.]

 

Si vous voulez être sûr d’engager votre audience avec vos contenus marketing IT BtoB, parlez du RGPD. Pour ceux qui ne le savent pas encore (et qui n’ont pas encore lu mon premier billet à ce sujet), le RGPD est le Règlement Général sur la Protection des Données, c’est la nouvelle réglementation européenne sur la protection des données, qui remplace la directive européenne sur la protection des  données existante et qui sera appliquée par l’ensemble des pays de l’UE.

L’équipe diffusion de contenus de TechTarget est friande de sujet performants et de ce point de vue, le RGPD tient ses promesses : les performances de nos emails sur le RGPD sont 5 fois supérieures à ceux que l’on observe habituellement. Vos clients (ou potentiels clients) sont très attentifs à ce sujet car cette année et en 2018, ils vont devoir allouer du budget pour mettre en place les changements IT nécessaires à la mise en conformité au RGPD.

Je me suis récemment entretenue avec un expert du sujet, Bryan Glick, rédacteur en chef de Computer Weekly, pour connaitre tous les tenants et aboutissants du RGPD.

[Pour en savoir plus, téléchargez GDPR 5 conseils indispensables]

 

Le RGPD va impacter l’IT dans de nombreux domaines, et notamment le stockage des données. Les données pourront-elles quitter l’Union Européenne ?

La localisation géographique des données reste un sujet controversé. De manière stricte, l’UE établit que les données personnelles des citoyens européens, peuvent être déplacées en dehors de l’UE uniquement vers un pays ayant un niveau de protection comparable à celui prévu par le RGPD. Les Etats-Unis sont donc potentiellement concernés.

Précédemment, la mobilité des données vers les Etats-Unis était régie par l’accord Safe Harbor. Safe Harbor a cependant été invalidé lors d’un procès tenu en Irlande en 2016 du fait qu’in fine le Patriot Act américain devenait prioritaire dès lors que les données européennes arrivaient aux US, rendant donc les données des citoyens européens plus exposées. Fin 2016, les Etats-Unis et l’Union Européenne ont conclu un nouvel accord : le Privacy Shield. Mais la question du mouvement des données hors de l’UE se pose toujours, même dans le cadre du Privacy Shield. Demain, le RGPD imposera un niveau bien plus élevé de protection des données que la législation actuelle mais le problème du curseur se pose toujours en matière de mobilité des données dès lors qu’elles sont déplacées à l’extérieur de l’UE.

 

Qu’en est-il de la gestion des données ? Qu’est-ce que les entreprises vont devoir mettre en place ?

Certaines des conditions les plus strictes prévues par le RGPD concernent le stockage des données et particulièrement, le backup et l’archivage. Le RGPD élargit la définition de ce qui est considéré comme « une donnée personnelle ». La nouvelle définition est désormais la suivante « toute donnée qui peut être utilisée pour identifier un individu constitue une donnée personnelle ».  Par exemple, les données génétiques, qui ne sont pas nominatives en soi, peuvent être utilisées pour identifier un individu. Les dossiers médicaux anonymes protégés, qui sont jusqu’à maintenant des formes de données indéterminées. Dans le cadre de la gestion des données, vous devrez pouvoir identifier les données pouvant être utilisées, même combinées à d’autres, pour identifier un individu. Car avec le RGPD, si une donnée peut être utilisée pour identifier un individu, cet individu a le droit de vous demander de la supprimer.

 

Le RGPD restreint également les règles du consentement. Aujourd’hui, vous devez avoir le consentement des individus pour collecter leurs données. Sous le RGPD, vous devrez pouvoir prouver que vous avez expliqué à quoi les données serviront et que vous avez les moyens de vous assurer que les données serviront uniquement ce pour quoi elles ont été collectées.  En pratique, cela implique une plus grande discipline dans la gestion des métadonnées. Vous aurez à stocker bien plus de données que les données sur le consentement accordé par les individus.

 

Le troisième point que le RGPD impacte est la “minimisation des données”. Le RGPD affirme que vous ne pouvez conserver des données que pour la durée durant laquelle vous en aurez besoin et que l’individu concerné possède un droit à l’oubli.  Dans le passé, vous avez pu récolter des données sur un individu, ne jamais être en contact avec ce dernier, et pourtant garder ses données. Dorénavant, vous devez avoir des règles en place afin de supprimer les données après une certaine durée. Toutefois, la réglementation ne discrimine pas les entreprises qui archivent les données avant la mise en place du RDPG. Elle introduit le fait que les données personnelles ne sont plus qu’un prêt et ne vous appartiennent pas.   Si vous gérez des données, cela pose donc beaucoup de questions sur ce que vous pouvez faire avec ces données prêtées.  Cela est similaire à un prêt bancaire, la banque a des règles sur la gestion et le suivi des prêts.  

 

Donc, est-ce que cela affecte les données RH ?

Les données RH vont être impactées par le RGPD et il y aura également de nouveaux termes et conditions en matière  d’emploi. En tant qu’employeur, vous avez la responsabilité de vous conformer à la législation de protection des données.

 

Qu’en est-il de la sécurité ? Gestion de la sécurité, prévention de la perte de données etc …

Il y a deux enjeux en ce qui concerne la sécurité. Pour la première fois, l’UE introduit un besoin de notification de violation de données. Certains pays avaient déjà cela en place, d’autres non, mais maintenant les entreprises doivent prévenir les utilisateurs dans les 72h en cas de découverte de violation des données. Toute violation découverte devra être reportée.  Cela devient controversé dans les grandes entreprises comme les banques, qui contiennent souvent des brèches sans les reporter et qui ont maintenant l’obligation de le faire. En plus de cela, le RGPD accroit considérablement les amendes qui peuvent être requises contre les entreprises qui ne respectent pas le RGPD. Les amendes peuvent aller « jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires ».   

 

Le deuxième aspect sécurité du RGPD est que la réglementation implique que la sécurité soit inclue dès le début des développements des systèmes IT. Cela signifie que quand vous développez de nouveaux process ou systèmes IT, vous devez y inclure des règles de privacy dès le début, vous ne pouvez pas les ajouter après coup. Cela aura donc un gros impact sur la conception des systèmes logiciels. Si vous faites appel à un développeur, il en va de votre responsabilité de faire en sorte d’inclure la sécurité dès la conception du logiciel. Si vous faites appel à une autre société pour gérer votre réseau en outsourcing, vous devez vous assurer qu’elle ait les bons prérequis en terme de sécurité.  Si vous êtes un fournisseur de cloud, vous devez pouvoir prouver que vous êtes en règle avec le RGPD ou vos clients ne pourront pas stocker leurs données dans votre cloud. Les 3 grands fournisseurs cloud se sont engagés dans ce sens, mais de plus petits acteurs pourraient se voir désavantagés s’ils ne respectent pas cette réglementation…

 

Data privacy, GDPR