La Règlementation Européenne sur les Données Personnelles pour les PME : contrainte ou opportunité ?
(Cet article est paru initialement le vendredi 30/03/2018 sur l’ancien site Web)
On entend parler de plus en plus de la RGPD dans les PME, mais souvent de façon parcellaire ou superficielle, avec des chef d’entreprise qui s’auto-persuadent que « vu ma taille je ne suis pas concerné », ou bien « j’ai des clients B2B, je ne suis pas concerné » ou aussi « ça ne concerne que les informaticiens »… Etc.
Au-delà de ces clichés, nous allons essayer de voir dans cet article (forcément trop bref) que la RGPD est un game changer, d’une part dans notre intérêt en tant que citoyens face à des géants américains peu soucieux de nos intérêts personnels, et d’autre part parce que ce que nous considérons aujourd’hui comme des contraintes sont susceptibles de devenir des normes au niveau international.
Pourquoi sommes-nous tous concernés en tant que citoyens européens ?
La RGPD entrera en vigueur le 24 mai 2018 dans tous les pays de l’Union Européenne, chaque pays ayant des possibilités d’en personnaliser certains points (cf. âge de consentement des mineurs), mais dans tous les cas ne pourra faire moins bien que ce Règlement.
L’objectif est clairement que les européens puissent se réapproprier les données personnelles qu’ils ont confié à des tiers, et en particulier :
- Éviter que ces données soient collectées et traitées à leur insu,
- Éviter que ces données tombent « accidentellement » dans des mains mal intentionnées.
En se contentant d’une l’actualité récente, quelques exemples :
- Les données de près de 700.000 lecteurs du site L’Express accessibles en ligne, tout « bêtement » parce que les données personnelles des abonnés n’ont pas été effacées sur un ancien serveur après avoir été copiées sur le serveur de production,
- Cambrige Analytica : Zuckerberg reconnait la « responsabilité » de Facebook , ou comment les données de 50 millions d’utilisateurs ont été hackées en vue de jouer sur les émotions lors d’élections (cf. Sans Cambridge Analytica, il n’y aurait pas eu de Brexit).
Or à partir du 25 mai 2018 où la RGPD sera applicable, ce genre de comportement sera lourdement sanctionné, jusqu’à 4% du CA ou 20 millions d’euros, le montant le plus important étant retenu (cf. Article 83).
Au-delà de la contrainte règlementaire, des opportunités de développement « durables » pour les entreprises
Réduire la RGPD à de simples contraintes est aussi réducteur : pour faire un parallèle, les normes anti-pollution sont certes une contrainte, mais elles aussi sont là pour répondre à un objectif commun de santé publique. Et elles donnent aussi de nouvelles opportunités aux entreprises qui jouent de cette contrainte pour imaginer de nouveaux produits ou services.
On peut donc aussi soutenir que la mise en application de la RGPD au sein des entreprises européennes sera en soi à terme un avantage concurrentiel durable, au-delà de la protection des données personnelles des citoyens européens : sa mise en œuvre implique par contrecoup de meilleurs process de sécurisation des données des entreprises dans leur ensemble, et au final protégera mieux nos savoir-faire de l’espionnage industriel de tiers.
Mais l’extra-territorialité de la RGPD alliée au poids économique de l’Europe donnent aussi à la RGPD le potentiel d’en faire une « norme » internationale dans les décennies à venir, quelques articles pour s’en convaincre :
- Protection des données personnelles : la Chine en marche vers le modèle européen, même si c’est encore à moyen terme.
- L’Inde fait plier Facebook sur l’accès aux données WhatsApp, alors que Facebook traine encore les pieds en Europe…
La supériorité américaine des GAFAM qui seraient susceptibles de faire comme bon leur semble n’est donc pas inéluctable.
EDIT 04/04/2018 Un article du LINC (prospective de la CNIL) qui va dans ce sens, Le Règlement européen à la protection des données est-il un produit d’exportation ?
Ce mouvement de fond m’a convaincu en 2017 d’orienter mes activités de conseil auprès des entreprises innovantes en direction des problématiques RGPD :
- Sensibilisation générale à la RGPD,
- Formation RGPD des équipes et des responsables de services,
- Accompagnement dans la mise en place de la RGPD (KPI, plan d’action, cartographie…)
- Délégué à la Protection des Données (DPO) externalisé, avec une certification « DPO Bureau Veritas » depuis février 2018,
- Missions ponctuelles d’accompagnement en avant-vente pour cadrer les enjeux RGPD en amont des projets.
Vous avez des problématiques RGPD? Les solutions sont par ici !