La Presse Bisontine 199 - Juin 2018

ÉCONOMIE

37

La Presse Bisontine n° 199 - Juin 2018

INFORMATIQUE Le R.G.P.D. est entré en vigueur

“Toutes les organisations sont concernées” Le R.G.P.D., comme règlement général de protection des données, est entré en vigueur le 25 mai. Que change cette réglementation européenne, quel travail de mise à jour doivent faire les collecteurs de données, quels risques encourent les réfractaires ? Le point avec l’avocat bisontin Nicolas Hournon. Nicolas Hournon, un

L a Presse Bisontine : Pouvez-vous rap- peler ce que recouvre ce nouveau règle- ment européen ? Nicolas Hournon : Le R.G.P.D., en résu- mé, c’est le big data, il régit la collec- te massive des données personnelles. L’intention de l’Europe était de régle- menter cette question pour protéger les consommateurs européens. Ce règle- ment concerne tous les citoyens euro- péens, peu importe qui collecte les don- nées, et notamment les Facebook et autres Google qui sont donc bien sûr concernés.

avocat bisontin spécialisé dans le droit des technologies de l’information.

de vente en ligne par exemple, elle aura plus d’obligations qu’une P.M.E. qui a juste les coordonnées de ses clients. Les plus exposés aux risques sont les banques, les mutuelles, les cliniques, les hôpitaux, les associations politiques ou religieuses, les sites de vente en ligne et bien sûr les réseaux sociaux. Les enjeux de ce texte sont d’harmo- niser la législation pour contrer les deux principaux risques : la cybercri- minalité et le profilage des utilisateurs par rapport à leurs habitudes de consommation. Ce profilage existe tou- jours mais désormais on doit informer les personnes qui peuvent donc s’y opposer. L.P.B. : Des contrôles de conformité auront- ils lieu ? N.H. : Bien sûr. La C.N.I.L. en fera et les organismes devront être en mesu- re de montrer que leur méthode de col- lecte de données est conforme. Il y a donc un angle sécurité informatique pour sécuriser le traitement des don- nées, et un côté juridique sur la mise en œuvre à adopter. Pour les entre- prises, c’est l’occasion de faire le ména- ge dans son organisation informatique et d’analyser les risques de destruc- tion, de divulgation, de perte ou de vol. C’est un travail au long cours pour les organisations, qui ne se fait pas du jour au lendemain. D’où la nécessité d’avoir des conseils informatiques et juridiques. L.P.B. : Quels sont les risques en cas de non- respect du règlement ? N.H. : Il y a des sanctions financières de l’ordre de 4 % du chiffre d’affaires ou de 20 millions d’euros au maximum mais l’enjeu majeur est bien un enjeu de concurrence. Demain, le consom- mateur ou le client s’adressera en prio- rité, sinon en exclusivité, à des opéra- teurs ou des entreprises qui sont conformes au R.G.P.D. Le risque de sanction existe mais le principal risque, c’est d’apparaître non conforme, donc moins crédible. Il y a donc un gros tra- vail d’audit juridique et informatique à conduire dans les mois qui viennent et pour les entreprises, une vraie oppor- tunité de mise à jour en même temps qu’un travail de protection des don- nées. n Propos recueillis par J.-F.H.

le cas de toutes les entreprises qui font du e-commerce également : si la per- sonne refuse, elle sort du système. Le R.G.P.D., c’est le consentement plus éclairé des utilisateurs. L’intention est bonne et c’est assez précurseur que l’Europe soit unie sur un gros sujet.

L.P.B. : Qu’est-ce qui a chan- gé depuis le 25 mai ? N.H. : On a désormais une définition plus lar- ge des données person- nelles. Tout ce qui per- met d’identifier une personne est désormais considéré comme une donnée personnelle, et donc soumise à accord et protégé. Les droits de la personne vont être améliorés au stade du consentement qui ne

L.P.B. : Facebook fait du chantage quand il dit “soit vous validez les conditions d’utilisation, soit on supprime votre compte”… N.H. : Non, car leur business model est justement fondé sur la collecte de la donnée personnelle. Si l’utilisateur n’est pas d’accord, il sort du schéma. C’est

“Pour les entreprises, c’est l’occasion de faire le ménage.”

doit pas être équivoque. Ce consente- ment est désormais plus éclairé sur le responsable du traitement des don- nées, à quelles fins, pour quelle durée… Pour un C.V. par exemple, on doit dire à la personne combien de temps on va le garder et à quelle fin. L’autre volet, c’est le droit dont les utilisateurs dis- posent : droit d’accès, de refuser le trai- tement, etc. Le règlement comporte également un droit à la portabilité des données qui permet de récupérer plus facilement auprès d’opérateurs des données personnelles dont ils dispo- seraient. Le droit à l’oubli et à l’effa- cement est également une nouveauté de ce R.G.P.D. L.P.B. : Qui doit être attentif à ce nouveau règlement ? N.H. : Il ne faut pas penser que seules les entreprises qui font du B to C, qui s’adressent aux consommateurs, sont concernées. L’intégralité des profes- sionnels, associations, partis politiques, etc., le sont. Dès lors qu’on est res- ponsable du traitement d’informations, on est concerné. Toute entreprise qui a un fichier clients ou fournisseurs fai- sant apparaître des données person- nelles est touchée. Même le cahier de réception à l’entrée d’une entreprise est concerné. Et, autre principe du tex- te, le responsable du traitement des données devient aussi responsable du traitement fait par les sous-traitants. Le principe de co-responsabilité est un principe fondamental de ce texte. L.P.B. : Toutes les entreprises et associations sont donc exposées au risque de mal faire ? N.H. : Il ne faut pas non plus céder à la panique et aux effets d’aubaine. Si une entreprise collecte des données de manière massive, comme une société

lelei meL

xi prrulelei muA imp l’e dru iere imr

FL

YERS

...

CARTES D

TE ICHES S E VISI

TRE

OPPE TÊTE DE LET ENVEL

AFF

CTS TRA

S

TS

N

LIA

ÉP

D

S

LE

O

C

T

E

U

P

S

S

ER

O

DN

R

P

BA

HURES

ÉTIQUETT

ES

ROC

B

...

CHEMISE

S À R

AT AB

G

upe or

e iressara Bl esserpiblu P

prnU

iontaicnu omm ce detoj ?

e e du1 r

e ! lran p n eO

3 8 0 T. P 8314 B

x edeU CAETRO3 M 3 - 2550

0 0 10 9 06 7 . T eyuo is RoçnarF r - 04

r.fessre iplbup@soicanrf

0 80 7 9 1 6

.

.

rfesserpilbup www