Je m'abonne

Les données, nouveau carburant des entreprises


Tribune de Cédric Pierrard, PDG d’Efficy Dès 1950, la Convention Européenne des droits de l’homme stipulait que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance »[1]. Depuis lors, l’Union européenne s’est fixée pour objectif de protéger la vie privée de...

Entreprendre - Les données, nouveau carburant des entreprises

Tribune de Cédric Pierrard, PDG d’Efficy

Dès 1950, la Convention Européenne des droits de l’homme stipulait que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance »[1]. Depuis lors, l’Union européenne s’est fixée pour objectif de protéger la vie privée de ses citoyens par tous les moyens, notamment en adoptant une législation qui garantisse la sécurité des informations les concernant.

Une première directive européenne sur la protection des données a été adoptée en 1995, établissant une norme minimale obligatoire pour la confidentialité des données. On parlait alors de directive et non de règlement, ce qui insinue que les lois étaient laissées à l’appréciation de chaque pays. C’est à cette période qu’internet a commencé à se développer grandement pour atteindre les quatre coins du monde. La législation existante s’est avérée insuffisante. Après de nombreux débats, recherches et réflexions de la part de tous les États membres de l’UE, le RGPD (Règlement Général sur la protection des données ou GDPR en anglais) a été adopté par le Parlement européen en 2016.

Le RGPD est probablement l’une des lois les plus protectrices au monde en matière de vie privée et de sécurité, si ce n’est la plus protectrice. Il s’applique sur le territoire européen, mais aussi et surtout à toutes les entreprises traitant des données de citoyens ou de résidents de l’Union européenne, quel que soit l’endroit du monde où elles se trouvent. Le RGPD est entré en vigueur dans l’ensemble de l’UE au cours du premier semestre 2018, et il est connu pour imposer des pénalités et des amendes de plusieurs millions d’euros à toute entreprise qui l’enfreint – ces amendes pourraient atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial (le montant le plus élevé étant retenu).

Le RGPD est important parce que c’est la façon dont l’Europe dit au monde que la confidentialité et la sécurité des données sont importantes. Il s’agit d’une question urgente. Aujourd’hui plus que jamais, les gens stockent des données et des informations personnelles dans des services hébergés dans le cloud, où les violations et les fuites sont monnaie courante. Une entreprise traitant des données de citoyens ou de résidents de l’UE, doit se conformer aux sept principes de protection et de responsabilité du RGPD[2] :

  1. Légalité, équité et transparence : toujours avoir la personne concernée à l’esprit et au centre de toute l’opération.
  2. Limitation de la finalité : les données ne peuvent être traitées qu’aux fins spécifiées aux personnes auprès desquelles elles ont été collectées.
  3. Minimisation des données : seules les données strictement nécessaires doivent être collectées.
  4. Exactitude : les données doivent être mises à jour.
  5. Limitation du stockage : les données ne peuvent être stockées que pendant la durée nécessaire à la réalisation de la finalité spécifiée (principe n° 2).
  6. Intégrité et confidentialité : le traitement des données doit les garantir par les moyens nécessaires (par exemple, le cryptage).
  7. Responsabilité : le responsable du traitement des données est chargé de démontrer à tout moment la conformité au RGPD.

Le non-respect des normes et principes du RGPD entraînera non seulement une lourde amende, mais aussi la perte de confiance de la part de leurs clients. Celle-ci, certes non-mesurable, peut avoir de grandes conséquences pour l’entreprise, d’autant qu’il est extrêmement difficile de la récupérer. Une étude de PwC[3] a montré que 88 % des clients décident ou non de partager leurs données personnelles en fonction de la confiance qu’ils accordent à l’entreprise en question.

Afin de conserver la confiance des clients, les entreprises doivent expliquer clairement l’utilisation qu’elles font de leurs données, ainsi que les efforts qu’elles déploient pour les protéger. Ces mesures doivent être clairement énoncées dans les canaux officiels de l’entreprise et faire l’objet d’une communication.

En cas de violation de données, les entreprises traitant des données d’un citoyen européen disposent de 72 heures pour en informer leurs utilisateurs, sous peine de se voir infliger une amende. Toutefois, si l’entreprise peut prouver qu’elle a utilisé des mesures de sécurité des données (comme une méthode de cryptage qui rendrait les données volées inutilisables), l’obligation de notification peut être levée.

Les mesures de sécurité des données prises par une entreprise peuvent être d’ordre technique ou organisationnel. Des exemples de mesures techniques sont l’authentification à deux facteurs pour les employés, ou l’utilisation d’un cryptage de bout en bout par les fournisseurs de services cloud. Des exemples de mesures organisationnelles sont la formation du personnel, les politiques de confidentialité des données et la limitation de l’accès aux données personnelles au sein de l’entreprise.

Aujourd’hui, les entreprises sont également tenues de demander le consentement des personnes concernées pour traiter leurs informations personnelles. Le consentement au traitement des données doit être donné librement et clairement, et les entreprises doivent conserver une preuve documentaire du consentement donné. Selon GDPR.eu, il existe une liste de droits à la vie privée inhérents aux personnes concernées :

  1. Le droit d’être informé
  2. Le droit d’accès
  3. Le droit de rectification
  4. Le droit à l’effacement
  5. Le droit de restreindre le traitement
  6. Le droit à la portabilité des données
  7. Le droit d’opposition
  8. Droits liés au profilage et à la prise de décision automatisée

Ces droits sont accordés à tout citoyen européen afin qu’il puisse mieux contrôler les informations qu’il partage avec les entreprises. Pour être considérées comme conformes au RGPD, les entreprises doivent respecter et se conformer à ces règles.

En raison de toutes ces règles et de la complexité de leur gestion, les données sont devenues plus précieuses que jamais. Il est important de souligner à quel point l’Europe est différente à cet égard, notamment par rapport à des pays comme les États-Unis et la Chine. La position juridique de l’Europe sur les données et leur traitement n’est pas une réglementation comme les autres – elle rend la région unique et fait de la protection de la vie privée et de la sécurité des résidents européens une priorité.

Les entreprises doivent apprécier à leur juste valeur les données que leurs clients leur confient et faire tout ce qui est en leur pouvoir pour les protéger. Les données sont des informations, et l’information est un pouvoir, c’est pourquoi les entreprises doivent en prendre le plus grand soin. Si elles y parviennent, elles disposeront non seulement d’informations précieuses pour prendre leurs prochaines décisions commerciales, mais aussi de clients heureux et satisfaits qui sauront qu’ils ont trouvé une organisation en qui ils peuvent avoir confiance.

Cédric Pierrard
https://www.linkedin.com/in/c%C3%A9dric-pierrard-6300314/
https://www.efficy.com/fr/


[1] https://gdpr.eu/what-is-gdpr/?cn-reloaded=1

[2] Idem.

[3] https://www.pwc.com.au/digitalpulse/report-protect-me-consumers-cyber-security.html

À voir aussi