Tine A. Larsen (CNPD) : Ne pas se perdre dans les données

Le Règlement général sur la protection des données est entré en vigueur le 25 mai 2018. Les entreprises doivent s'y conformer. Tine A. Larsen, Présidente de la Commission national pour la protection des données, a détaillé le nouvel environnement juridique et les nouveaux usages à respecter lors du CEO Lunch organisé par 360Crossmedia le 19 avril.

Des droits et des devoirs

La révolution numérique induisant une inflation des données personnelles collectées, les textes de 1995 s'avéraient obsolètes. Une législation homogène au sein de l'Union européenne quant à leur traitement devait être initiée. Le Règlement général sur la protection des données (RGPD) répond à cette nécessaire harmonisation et adaptation, et énonce clairement les droits des citoyens. En parallèle, ceux-ci correspondent à autant d'obligations pour les entreprises. L'architecture du RGPD repose sur le droit à l'information : les sociétés doivent informer les personnes concernées du traitement de leurs données, par qui et pourquoi. Les autres prérogatives en découlent, du droit d'accès au droit à l'oubli en passant par le droit de rectification ou d'opposition. En ce sens, la notion de protection des données possède pour corollaires celles de transparence, loyauté et légalité.

"L'architecture de la protection des données repose sur le droit à l’information "

 

Le rôle des DPOs ou sous-traitants 

Au fait de la législation, le délégué à la protection des données (DPO) veille au respect des règles en terme de processus de collecte et du bon usage des données La désignation du DPO est obligatoire dans trois scenarii. Premièrement, le traitement des données s’effectue par une autorité ou un organisme public. Deuxièmement, l’activité de l’entreprise ou du sous-traitant consistent en des opérations de traitement qui, par leur nature, portée et finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées. Finalement, toujours dans le cas du secteur privé, l’activité de base de l’acteur consiste en un traitement à grande échelle de catégories spécifiques de données, dites sensibles. Une des priorités impose de distinguer les données simples telles qu'état-civil ou numéro de téléphone et données sensibles comme l’opinion politique ou l’orientation sexuelle. L’entreprise reste toujours responsable sur le plan juridique, que son PDG délègue cette mission en interne ou fasse appel à une expertise extérieure. Dans ce cas, effectuer le bon choix amènera à écarter des sous-traitants mercantiles et jouant sur la peur du gendarme, en l'occurrence la Commission nationale de la protection des données. Au final, transparence et loyauté génèrent la confiance des « consom'acteurs », et un chiffre d'affaires potentiel à la hausse. Les spécialistes de l'e-marketing par envoi de newsletters pourront le mesurer s'ils mettent en œuvre sans tarder de nouvelles pratiques. Le défi consistera à ne plus s'appuyer sur le consentement des titulaires des adresses mail (y compris professionnelles), mais à se prévaloir de leur accord. Le RGPD confère aux personnes un droit de s’opposer « opt-out » au traitement de leurs données à caractère personnel et à des fins commerciales. Il faut cependant noter que l’entreprise reste autorisée, dans le cas d'une base contractuelle déjà existante - vente/services -, à utiliser sans consentement préalable le courriel de son client. Si aucun lien entre l’entreprise et l’utilisateur n’existe, ce dernier doit consentir « opt-in » préalablement à l’envois de courriel. Les autres conséquences de cette révolution vont presque sans dire. A savoir un nettoyage de la base de données constituée avant le RGPD, l'accès pour le public à la politique de collecte et traitement de la société et la possibilité à tout moment de se désinscrire. L'utilisation des réseaux sociaux dans une optique commerciale n'échappera pas à la règle, mais le chapitre législatif concernant l'e-privacy accuse quelque retard dans sa mise à jour. L’insécurité juridique perdure, mais la différence entre la communication par mail ou sur les réseaux sociaux en terme d'e-marketing n'apparaît que provisoire.

La CNPD en première ligne

« Indiscutablement, le rôle de la Commission est renforcé » admet Tine A. Larsen. Mais encore faut-il bien comprendre que la philosophie du Règlement repose sur l'« accountability », c’est-à-dire une responsabilisation des acteurs. Dès lors, la CNPD que peuvent d'ores et déjà saisir les citoyens passe d’un système de contrôle a priori à un contrôle a posteriori. Sa vocation l'amène également à se concentrer sur ses missions de sensibilisation et de conseil. Quant aux éventuelles sanctions, l'éventail paraît large. La CNPD peut ordonner à une société l’effacement ou la destruction des données en sa possession voire lui interdire temporairement ou définitivement tout traitement. Dans les cas les plus graves, les autorités pourront infliger des amendes s'élevant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel de l'entreprise visée.  « La CNPD favorise cependant une approche basée sur la carotte plutôt que du bâton, les sanctions demeurant un dernier recours » note la Présidente.