Dans 6 semaines, la Réglementation Générale sur la Protection des Données (RGPD) entre en vigueur en Europe. Assortie de pénalités très lourdes pour les contrevenants, elle oblige toutes les entreprises qui ont des clients dans l’Union Européenne à prendre des mesures fortes pour protéger leurs données clients sensibles qu’elles stockent, et à leur permettre de les rectifier… dès le 25 mai prochain.

La RGPD (GDPR en anglais) est un eldorado pour beaucoup d’entreprises de services du numériques (ESN) car la mise en conformité d’infrastructures lourdes et complexes nécessite des modifications d’architecture et d’infrastructures significatives… et coûteuses. Soyons clairs, dans les directions informatiques des très nombreuses sociétés impactées, personne n’a sauté de joie en découvrant l’ampleur de la tâche. D’autant que Seulement 6% des entreprises ont déclaré être complètement préparées en Novembre dernier.


La RGPD est aussi une grosse source d’activité pour les conseils juridiques qui ont dû en analyser les impacts pour leurs clients, retoucher et completer les conditions générales, les contrats commerciaux, mais également créer de nouveaux process de mise en conformité. Si cette nouvelle réglementation est avant tout une harmonisation des différentes legislations européennes, elle en étend les prérogatives et demande nécessairement une nouvelle lecture des process client notamment dans les grandes entreprises s’adressant aux clients particuliers. Elle devront notamment les informer des traitements de leurs données, de leurs droits et de la façon de les exercer, indiquer la durée et la localisation de conservation des données, traiter des potentiels sujets impactant la vie privée… et informer les clients proactivement en cas de fuite en moins de 72 heures. D’une façon générale, la collecte, le stockage et l’utilisation des données doivent être conçus pour protéger les données de l’utilisateur : un principe connu partout en Europe sous sa désignation anglaise de “Privacy by Design”.

Cette réglementation vous concerne-t-elle ? 

Cette nouvelle réglementation concerne toutes les sociétés y compris étrangères qui recueillent des données clients dans l’Union Européenne. Elle concerne donc toutes les sociétés européennes, bien entendu, mais également les sociétés étrangères. Si les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) ont donné des signaux positifs concernant leur mise en conformité, de nombreuses entreprises étrangers sont encore en train de prendre conscience que cela les concerne. De fait, tous les acteurs européens ou non qui ne seront pas en mesure de prouver qu’ils sont en conformité avec la RGPD vont se retrouver à court terme exclus des consultations publiques et privées qui touchent de près ou de loin aux données personnelles. 

La RGPD s’applique pour tous les entreprises ayant des clients identifiés ou identifiables. Un client identifiable est un client qui peut être localisé précisément (via son mobile notamment) au moins 3 fois par jour. Les sociétés qui monétisent des bases de données individuelles mais sans forcément avoir de relation avec les individus (commerces de bases de données qualifiées…), vont donc se retrouver dans le collimateur. Ces sociétés ne sont pas toujours connues des individus, donc leur droit d’accès et de rectification de leur données personnelles sera bien compliqué. Les coeur de business “anti-privacy by design” auront probablement du mal à trouver leur pérennité.

C’est néanmoins aussi une opportunité à plusieurs titres 

  • Cela permet d’encourager une approche plus globale des marchés européens : la RGPD a pour objectif d’harmoniser les réglementations européennes jusqu’à présent très différentes. Que ce soit pour une grosse entreprise ou pour une start-up, ce sera une facilité d’accès dans tous les pays européens… et cela va favoriser les entreprises sous-traitantes en conformité, par rapport à leur concurrents qui seront exclus de certaines consultations. 
  • La RGPD permet de renforcer la confiance des clients : elle a pour objectif de protéger le consommateur et de lui “redonner la main”, dans un contexte où les abus, les excès, les négligences et les fraudes ont été nombreux. Elle encourage une prise de conscience nécessaire sur les traitements de données qui sur le moyen terme a des impacts positifs. 
  • La RGPD encourage les acteurs à conserver seulement le minimum de données personnelles nécessaire, à créer un process et à clarifier les responsabilités à ce sujet dans toutes les organisations : un exercice d’introspection forcément utile, qui peut accessoirement créer des gains de productivité. 
  • Elle encourage le passage à des architectures informatiques plus claires et plus souples : la mise en conformité à la RGPD implique des modifications dans les bases de données, cela a été l’occasion de les moderniser pour de nombreuses sociétés, ce qui leur permet d’être beaucoup plus réactifs sur d’autres modifications à faire. 

La RGPD est aussi une bonne opportunité pour des start-ups qui ont produit des offres spécifiques. 

  • Platform.sh, société qui automatise et sécurise l’hébergement web de plus de 3000 sites clients a développé une approche complete permettant de simplifier ce passage complexe à la RGPD.“En tant que lauréats du programme projet Horizon 2020 de la Commission européenne, nous avons placé la sécurité et la protection des données au coeur de l’architecture de Platform.sh. Notre objectif est d’aider les entreprises, à l’intérieur et à l’extérieur de l’Union Européenne, à implémenter très facilement leurs “DevOps” (concaténation du mot « Développement » et du mot « Opérations » désignant les équipes en charges de ces taches, ndla), à développer et déployer de nouvelles fonctionnalités plus rapidement, de façon continue et en toute sécurité” nous dit Frédéric Plais son CEO
  • PikcioChain qui vient de boucler une belle ICO (“Initial Coin Offering”) livre aux grands sites web une solution clé en main sécurisée par une solution Blockchain pour leur permettre de gérer l’accès aux données de la part de leurs clients. “PikcioChain est la seule solution basée sur la blockchain qui soit completement developpée sur le principe de Privacy by Design et qui permette simplement une complete conformité RGPD de la relation client” nous indique Didier Collin, son dirigeant
  • Rever.eu édite également une solution complete de mise en conformité. 
  • Smart GDPR et d’autres sociétés de services se sont spécialisées sur cet Eldorado et réalisent des audits complets… 

En conclusion

La grande inconnue en France, c’est la façon dont la CNIL va appliquer la réglementation et quelles seront ses premières priorités dès le coup d’envoi du 25 mai prochain. Leur tâche est ample et il est peu probable que tout le monde soit prêt à cette date. Les priorités du gendarme français des données personnelles seront donc observées de très près par les protagonistes, y compris dans l’application des pénalités financières qui peuvent atteindre pour les contrevenants 4% de leur chiffre d’affaires annuel. Le texte publié sur son site en février dernier indique une mise en oeuvre progressive du dispositif  : “pour ce qui est des nouvelles obligations ou des nouveaux droits résultant du RGPD, les contrôles opérés auront essentiellement pour but, dans un premier temps, d’accompagner les organismes vers une bonne compréhension et la mise en œuvre opérationnelle des textes”. Les chantiers de mise en conformité sont vastes dans les sociétés détentrices de données de consommateurs et cette bienveillance sera indispensable pour encore plusieurs trimestres.