Qu’est-ce que Global Data Protection Regulation – GDPR ? Qui et quoi cela concerne-t’il ? La Suisse ne faisant pas partie de l’UE, dans quelle mesure sommes-nous concernés ? Quels délais pour la mise en conformité ? Que va-t-il se passer si nous ne sommes pas au rendez-vous à temps ?
Qu’est ce que GDPR ?
Global Data Protection Regulation est une réglementation Européenne adoptée en mai 2016 pour une mise en application le 25 mai 2018. Elle remplace la Directive 95/46/EC de 1995 et ses déclinaisons légales au sein des états membres de l’UE.
Il s’agit de la réglementation la plus structurante à ce jour au sujet de l’utilisation des données à caractère personnel. Son objectif : protéger les données des personnes physiques, assurer la transparence des traitements effectués et permettre aux individus d’en reprendre le contrôle.
Quelles sont les organisations ciblées par GDPR ?
En effet, les lois en vigueur aujourd’hui ont été conçues à une époque où les données collectées relevaient essentiellement du traditionnel « fichier client ». Avec l’explosion de l’économie numérique, nous fournissons parfois à notre insu des données – parfois très personnelles – qui sont largement utilisées à des fins de profilage, revendues et tout ceci sans que nous n’en ayons le contrôle. C’est cette nouvelle situation que l’UE cherche à encadrer. Les premières cibles de GDPR sont donc les GAFA, BATX et autres entreprises dont le modèle économique repose principalement sur l’exploitation de nos données.
Quelle est la définition des données personnelles ?
La notion de données personnelles concernées par GDPR est large :
- Toute donnée directement identifiée: données nominatives, coordonnées personnelles, âge, statut civil, toute donnée saisie dans un formulaire par une personne authentifiée, informations de profilage….
- Ou même des données indirectement identifiables: données liées à un identifiant ou pseudonyme liés à un compte identifié nominativement dans un système tiers, combinaison d’informations qui permettent d’identifier un individu même sans son nom (ex : adresse + âge + sexe + profession), photos dans lesquelles le sujet apparaît….
GDPR impose aux organisations de sérieusement revoir leur gestion de ce type de données afin de mieux protéger le « data subject », c’est-à-dire l’individu concerné. Nous détaillerons les impacts précis dans un prochain article. En résumé les droits de l’individu sont explicitement renforcés ainsi que la responsabilité des entreprises en cas de manquement à leur respect.
Afin de clarifier la responsabilité des parties prenantes, GDPR introduit d’ailleurs une distinction entre le Data Controller (qui définit pourquoi et comment les données doivent être traitées) et le Data Processor (qui agit pour le compte du Data Controller et dont la responsabilité est engagée en cas de non-respect des règles et processus définis par ce dernier). L’objectif est d’assurer une maîtrise de bout en bout des chaînes de traitement des données, avec un impact significatif sur les dispositifs contractuels liant les entreprises avec leurs service providers, prestataires et éditeurs…
Qui est concerné par cette réglementation ?
GDPR s’applique aux entreprises ayant leur siège ou une filiale hébergée en UE ou traitant les données de résidents de l’UE (profilage ou fourniture de biens ou services). Les entreprises Suisses ne traitant pas des données de résidents UE pourraient a priori ne pas être concernées par GDPR – mais ça ne sera pas le cas ! En effet, la loi Suisse sur la protection des données LPD est également en cours de révision pour s’aligner sur GDPR, avec une mise en application début 2019. La pleine compatibilité entre LPD et GDPR a été voulue conjointement par la Confédération Helvétique et l’UE afin de ne pas introduire de difficultés dans les échanges commerciaux. Donc toute entreprise Suisse est concernée, sans exception !
Pourquoi se mettre en conformité avec GDPR ?
Que se passera t’il si nous ne sommes pas en conformité en mai 2018 ? Comme nous l’avons tous compris, des amendes très dissuasives sont prévues par GDPR :
- Manquement aux obligations: 10 Mio € ou 2% du CA mondial (le plus important)
- Si intention frauduleuse: 20 Mio € ou 4% du CA mondial (le plus important)
- Auxquelles la révision de LPD en cours pourrait ajouter 250KCHF dans le premier cas voire 500KCHF dans le deuxième, à payer par les individus responsables…
Dans les faits, ces amendes s’appliqueraient après audits et injonctions répétées de l’autorité de supervision… lorsque le régulateur sera en mesure de se pencher sur votre cas – leurs premières investigations porteront sans doute davantage sur les grands acteurs de l’économie numérique et du web marketing.
Néanmoins, comme pour toute nouvelle réglementation, toute entreprise doit avoir identifié son Data Protection Officer, fait une évaluation de son exposition aux risques ciblés et avoir défini un plan de mise en conformité détaillé. Ceci constituera une bonne base de discussion avec l’autorité de supervision pour définir une cible réaliste de mise en conformité le cas échéant.
En revanche le risque de réputation est à notre avis bien plus préoccupant : le public étant averti et les problèmes de sécurité devenant de plus en plus fréquents (vols de données et ransomwares, usurpation…) – la protection des données personnelles va être sous le feu des projecteurs bien avant mai 2018 !
GDPR est donc un sujet sensible duquel il faut se préoccuper dès maintenant et au-delà même de son aspect réglementaire.