Protégez votre liberté ! Vive le GDPR

 

Les outils numériques vous scrutent, en permanence.

Sans que clairement vous ayez donné votre accord.

En 2018, c’est fini.

La loi européenne le GDPR ( General Data Protection Regulation ) doit être appliquée pour tout traitement informatique sur les citoyens européen le 25 mai 2018.

Cela concerne toutes les entreprises européennes

Mais aussi Facebook. Google , Apple et toutes les startup américaine quand elles utilisent vos donnes en tant que citoyen européen.

Focus sur vos nouveaux droits !

 

Ici je parlerai des droits des citoyens européens, et les impacts pour les entreprises qui doivent appliquer ce droit. Et un cas pratique, celui du compteur Linky !

Pour le citoyen européen.

Les nouveaux droits que vous avez, citoyens européens :

1. Consentir à la collecte de vos données personnelles.

À toute collecte d’information personnelle vous concernant ( téléphone , email, adressé ou données personnelles comme vos hobbies , vos passions ), on doit vous demander votre accord.

Bien sûr, si vous faites un achat sur internet , on vous demandera une adresse de livraison . On ne doit pas vous demander une autorisation explicite pour cela. On doit juste cependant vous informer qu’on utilise l’adresse pour la livraison.

Pas plus. Pour ensuite vous envoyer des offres promotionnelles, vous devez donner votre accord . Ou au pire pouvoir retirer votre accord de recevoir ces offres qui ne vous intéressent pas.

2. Le droit d’opposition de traitement.

Vous voulez ne plus recevoir des offres marketing qui polluent votre boite à lettre ? La nouvelle législation européenne impose qu’il soit aussi facile de retirer son consentement que de l’avoir donné.

Par exemple moi qui reçois des offres par courrier sur les promotions d’Optical Center, la seule façon de se désincrire est d’envoyer un courrier. Alors que pour recevoir ces offres, je n’ai jamais envoyé de courrier… La politique à mettre en place est de pouvoir simplement se désabonner.

 

 

3. Le droit à l’oubli.

Ce nouveau droit a été médiatisé avec Google où l’Europe a pu exiger la déréfencement sur Google de pages qui mettaient des articles sur une personne.

Le droit pose question dans le sens où le fait de savoir qu’une personne a été impliquée dans une affaire peut être légitime. Par contre, la valeur de la justice qui a posé une condamnation et qu’elle a été exécutée ne doit pas porter préjudice à long terme…

En tout cas, les données personnelles qui vous sont propres, qui vous appartiennent sont votre identité, maintenant numérisée. Aussi vous pouvez demander à les faire supprimer par l’entreprise qui vous les a collectées et utilisées.

En mai 2018, ce droit doit s’exercer dans le délai d’un mois.

Bien sûr, demander au droit à l’oubli n’est pas systématique. Si d’un point de vue juridique, ou par la loi , vous avez souscrit un contrat ou que la conservation de vos données nécessitent de conserver vos données , vous ne pourrez être effacés des fichiers informatiques.

Par exemple, vous ne pourrez vous faire oublier de l’administration fiscale , ou des fichiers des infractions. Bref si vous avez perdu des points sur votre permis de conduire , pas possible de demander à se faire oublier :).

D’ailleurs, souvent c’est pour votre bien : dans la grande distribution, si vous avez fait des achats, il vaut mieux que l’entreprise garde vos données au cas où vous voulez faire valoir votre droit de la garantie sur les achats que vous avez fait.

Plutôt que le droit à l’oubli, il est intéressant pour le citoyen consommateur de pouvoir s’opposer à certains traitements informatiques.

C’est le cas notamment des traitements marketing où vous êtes continuellement sollicités par des emails, des SMS sur des offres promotionnelles.

Ce droit d’opposition existe déjà, mais la nouvelle loi du GDPR le rappelle . Plus question pour une entreprise de procéder à ces techniques marketing sans explicitement vous demander l’autorisation.

Et même si vous l’avez autorisé, il doit être aussi facilement de retirer ce consentement !

4. Le droit à la portabilité.

Vous avez fourni des informations précieuses a une entreprise. Vos achats, vos goûts ; vos tickets de caisse qui permettent de faire jouer la garantie ; vos playlists favorites.

Dorénavant, vous allez pouvoir demander à récupérer ces informations, les télécharger. Pour les données à d’autres entreprises concurrentes par exemple. Ou les utiliser pour vous même, au besoin.

Par exemple :

Vous avez créé des playlists de musique chez Spotify. Toute votre bibliothèque de musique que vous adorez. Ces informations sont personnelles et vous pouvez les récupérer. Ainsi si vous voulez quitter Spotify pour aller sur deezer vous pouvez récupérer cette liste pour retrouver votre univers musical chez deezer.

Ce droit à la portabilité existe déjà chez les opérateurs de téléphonie. Ou opérateurs d’énergie comme GDF ou edf. Lorsque vous résiliez votre contrat et changer d’opérateur, ces entreprises fournissent et portent vos données au concurrent de manière transparente pour vous .

Les lois françaises dans le domaine bancaire sont similaires en permettant de changer de banque sans devoir intervenir en modifiant tous les prélèvements que vous avez ( impôts, opérateurs téléphoniques, etc… ).

Le format d’échange n’est pas standardisé. En bonne pratique, pour appliquer le GDPR est de proposer un format simple qui reprend toutes les informations, sous forme de PDF , ou de fichier texte. Et un format type xml, formaté, pouvant être facilement intégrable dans un outil de gestion, ou bureautique par exemple.

Pour les entreprises.

Halte aux abus.

Uber qui se fait voler 56 millions de données personnelles sera complètement hors la loi en 2018.

Et l’Europe vous protégera.

C’est la philosophie de la loi européenne publiée en 2016 et qui doit être effective en mai 2017.

La loi européenne impose de notifier aux régulateurs, l’Europe ( représentés localement dans les pays par la cnil par exemple en France ) sous 72 heures tout vol de donnée. Et selon la gravité, informer ses clients. Uber a caché son vol de donnée. L’amende est lourde : c’est jusqu’à 2% du chiffre d’affaire consolide du groupe.

Les amendes aussi importantes ont été décidées pour contraindre les grandes boites américaines telles que les gafa.

En effet la dernière amende vis à vis de Google dans l’affaire des Google car était de quelque centaine de milliers d’euros… pas de quoi inquiéter Google…

À l’heure où les géants du Web captent vos informations personnelles sans dire ce qu’elles vont en faire, ni même vous demander votre consentement, de bonnes pratiques humaines et respectueuses existent .

Un impact plus important que le bug de l’an 2000 !

Pour les entreprises, le sujet de cette nouvelle réglementation à l’effet d’une bombe. Bien plus que l’impact du bug de l’an 2000 qui n’était qu’un problème d’informatique.

Ici, les impacts sont aussi juridiques , informatiques et marketing.

Les entreprises informatiques et digitales, comme au moment du bug de l’an 2000 profitent de cette contrainte pour proposer moultes services, et consulting.

Sur Twitter, Linkein, ou dans votre messagerie, les propositions vous spamment des services de conseil.

Pour les entreprises, soyez vigilantes. Les éléments ci dessous montrent que l’application du GDPR est difficile. Et surtout dépendent de votre contexte.

Il faut absolument se référer au site de la cnil qui fait de la pédagogie sur le sujet.et faire votre propre conviction sur le sujet.

Le GDPR transforme l’entreprise à tout niveau :

  • Dans la sécurité des données personnelles :

Éviter le vol des données implique des sécurités informatiques essentielles.

Le stockage de ces données est crucial. Et surtout de savoir où elles sont stockées. A l’heure du Cloud, où les données sont stockées on ne sait où, les entreprises doivent s’interroger. Google par exemple aujourd’hui ne peut garantir la localisation de ses données, disséminées dans des data centres partout dans le monde.

Microsoft a senti le besoin : l’entreprise américaine stocke les données là où vous le voulez. Voilà pourquoi elle attire sur le marché des entreprises des contrats, sur les outils de messagerie par exemple. Beaucoup d’entreprises fuient Google pour Microsoft, indépendamment de la valeur de l’outil en tant que tel.mais pour une garantie de sécurité.

  • Le changement des stratégies marketing :

Demander au client d’accepter les conditions générales d’utilisation d’un service et ensuite profiter de ces données personnelles pour en faire ce qu’on veut, c’est fini.

Le consentement du client doit être expliqué de manière simple, et explicite. Et surtout le client ne doit pas être « enchaîné » par ce qu’il accepte.

Par exemple, on ne doit demander au client de souscrire à un service tel que Facebook et d’accepter implicitement de recevoir des offres commerciales.

Le client accepte de donner ses données pour un traitement donné.

Pour un traitement d’offres commerciales, cela n’a rien à voir avec l’utilisation du service. Cela doit faire l’objet d’un consentement à part.

En résumé, il faut proposer au client une acceptation minimale pour le besoin du service ( traitement). Pour les autres traitements, type marketing, il faut explicitement poser la question.

  • Le privacy par design

C’est toute la culture de l’entreprise qui doit changer vis à vis du « privacy by design« . Un vrai changement de paradigme !

Je reviendrai sur ce point plus loin.

Comment appliquer le GDPR ?

Comme évoqué précédemment, multitude de boîtes proposent expertises, conseil proposent des bonnes pratiques.s’y méfier car ces entreprises de conseil déroulent le même processus indique par la cnil. Les premiers pas pour appliquer le gdpr sont simples de manière organisationnelle ( même si l’organisation ensuite peut être compliquée ). C’est l’application du comment qui est difficile et dépend vraiment du contexte de l’entreprise.

Le site de la Cnil, gratuitement, explique comment s’y conformer, et les étapes.

  • Désigner un pilote.
  • Cartographier les données personnelles que l’entreprise utilise.
  • Prioriser les actions en fonction de ce que l’entreprise a déjà fait ou ne fait pas en matière de protection des données personnelles.
  • Gérer les risques, en fonction de là où l’entreprise n’est pas au rendez vous.
  • Organiser : même sur des sujets comme le droit à l’oubli, réfléchir d’un point de vue organisationnel gérer les problématiques.
  • Documenter : le nouveau règlement redonne l’autonomie mais aussi à l’entreprise la responsabilité de ce quelle fait des données de ses clients. La notification de nouveaux traitements informatiques n’est plus obligatoire ( sauf pour des données sensibles ). En retour, il faut que l’entreprise assure la traçabilité de ce qu’elle fait des données de ses clients : finalité de traitement, stratégie de suppression des données clients…

Voir le site de la CNIL : Se préparer en 6 étapes

Appliquer le gdpr est compliqué et doit être adapté au contexte de l’entreprise.

Les avantages du texte de loi du gdpr sont les suivants :

  • Pour les entreprises internationales qui doivent appliquer la loi pour tous les pays européens, le texte de loi européen est une régulation, c’est à dire que la loi est la même pour tous les pays européens. La loi gdpr a juste été traduite dans les différentes langues. Chaque pays ne doit pas retranscrire le texte dans sa propre loi nationale.
  • Le texte de loi donne une philosophie autour du sens de cette loi. Son application certes compliquée en terme juridique, marketing et informatique peut suivre cette philosophie du droit protecteur du citoyen européen et de ses données personnelles.

L’application du gdpr est cependant difficile, d’un point de vue opérationnelle .

Quelques exemples :

  • Le DPO : qui est il ?

La nouvelle loi du gdpr impose que chaque entreprise ait un dpo, c’est à dire un data protection officer.

Cette nouvelle fonction dans l’entreprise est compliquée car elle impose à l’entreprise :

De donner les moyens opérationnels et d’arbitrage de décision au sein de l’entreprise.

De ne pas être juge et partie. Un DPO doit pouvoir être neutre et donc ne pas être attaché au service marketing par exemple

  • La preuve du consentement.

Comment prouver au régulateur que le client a accepté de donner ses données ?

La forme la plus simple est évidemment la signature d’un contrat qui régie et informe des règles.

Mais pour une sollicitation commerciale que l’on demande dans un magasin, par un vendeur ?

D’un point de vue opérationnel, c’est un peu complique de demander une signature papier ou numérique du sujet.

Le consentement oral, pourvu qu’il soit informé peut suffire. Cela nécessite cependant une explication du vendeur qui collectera le consentement. De la vraie pédagogie.

D’un pont de vue commercial , pouvoir collecter les données du client comme son téléphone , son adresse pour pouvoir répondre à son besoin ne demande de consentement explicite. Cela fait partie du contrat entre l’entreprise et son client. Il faut cependant l’informer sur les contrats associés.

Le privacy by design.

Un nouveau paradigme apparaît avec le gdpr :

La grande nouveauté du gdpr est que les entreprises n’ont plus à référer les nouveaux traitements avec les fichiers clients que l’entreprise dispose. Plus de déclaration à faire à la cnil, sauf pour les données sensibles.

À contrario, les entreprises doivent de manière responsable tracer et prouver les finalités de traitement qu’elles font avec leurs clients .

La manière la plus simple de gérer les données personnelles des clients dans son entreprise , c’est de limiter la collecte, son utilisation si cela n’est pas nécessaire .

Ne pas stocker de données personnelles si cela n’est pas nécessaire.

Positivement, pour l’entreprise, ne pas stocker de données personnelles est salvateur : cela évite de se faire voler les données de ses clients. Et de ne pas gérer les contraintes inhérentes au gdpr : sécuriser, gérer les consentement des clients , la traçabilité, le droit d’opposition aux traitements, le droit à l’oubli,l e vol de données ( data breach ) à communiquer sous les 72 heures.

C’est ce qu’on appelle le privacy by design.

Voici les 7 règles du privacy by design.

Le privacy by design est né dans les années 1990, initié par Ann Cavoukian.

Selon son principe, pour résoudre les problèmes de la protection des données personnelles., il faut traiter le problème à sa base. C’est à dire au moment où l’on décide de créer une nouvelle fonctionnalité au sein de l’entreprise, un nouveau traitement.

  1. Proactive not reactive.

Ou en d’autres termes : préventive ont remedial.

Il vaut mieux prévenir que guérir. De ce fait, traiter de la donnée personnelle doit obéir à des règles de prévention que de correction.

En d’autres terme, des qu’on aborde une nouvelle fonctionnalité ou application marketing et informatique, on se posera les bonnes questions. Et est ce que je

Réponds aux règles de la privacy by design ici formalisées

2. Privacy as the default setting.

Avant même de décider ce qu’on va collecter ou enregistrer , et de tout demander les données personnelles, on part plutôt du postulat qu’on ne demande rien et qu’on enregistre rien des données du client. Puis ensuite réfléchir à ce qui est nécessaire en terme de collecte d’information pour traiter le service qu’on veut mettre en place.

Exemple : j’ai besoin du nom et prénom du client; et son adresse mail pour abonner à une newsletter. Rien d’autre.

3 Privacy embedded into design.

La protection des données personnelles doit se faire au moment de la conception du produit.

Cette règle implique de modifier les organisations dans la conception.

4. Positive sum, not zero sum.

Le sujet de la data compliance, du GDPR et de la protection des données personnelles n’est pas un sujet à aborder dans chacune des fonctions de l’entreprise. Dans le domaine informatique IT, le marketing et le juridique .

Non, c’est une collaboration où chacun partage entre ces différentes domaines. La valeur est de réunir ces compétences différentes. C’est une vraie transversalité dans l’entreprise qui n’est pas habituée à mélanger ces genres. D’un point de vue positif et salvateur, c’est l’occasion pour l’entreprise de faire mieux connaître le rôle de chacun et de connaître ses collègues.

5. End to end security.

La protection des données personnelles ne s’arrête jamais et n’est pas que le sujet de ceux qui conçoivent un nouveau produit ou une nouvelle fonctionnalité . Il faut assurer la sécurité de bout en bout , pendant toute la période de conservation des renseignements du client. Les équipes opérationnelles qui prennent en charge la vie de ces données sont impliquées également . Dans le domaine de l’informatique , il s’agit d’intégrer les équipes du run, de la maintenance informatique.

Pour éviter les dérives au fil du temps de ce qu’on fait des donnes personnelles.

6 Keep it open

La confiance est un enjeu fort dans la protection des données personnelles. La sécurité et la protection des données ne signifie pas de cacher ce qu’on fait de ces données. Au contraire. C’est le sens de la réglementation du gdpr : la transparence .

7 keep it user centrix.

Cette règle place l’utilisateur et le citoyen européen et du respect de sa vie privée au cœur du raisonnement de toute action que l’on prend.

Toute action doit prendre en compte l’utilisateur et le citoyen européen .

Un bon exemple d’application de la protection des données personnelles.

Dans les foyers français, la société Edenis propose d’installer des compteurs mesurant la consommation d’électricité, le compteur Linky.

Sur son compte client, le client peut ainsi visualiser les mois où il consomme plus ou moins.

En terme de confidentialité des données, la collecte des données de consommation nécessite un consentement du client. Car bien sûr, on pourrait qualifier d’intrusif le fait de pouvoir savoir quand est là le client chez lui….

L’acceptation du compteur et de son installation fait partie d’un contrat.

Sur le compte, le client peut choisir d’affiner la collecte des données par Linky. Jusqu’à l’heure. Là le sujet devient sensible, car pour le client, il peut à la fois être « surveillé » à l’heure près. Et pour le père de famille, il peut surveiller qui était là quand chez lui…

Sur ce sujet sensible, Linky propose donc un consentement spécifique, clair. Pour collecter des données du client à l’heure, Linky demande une autorisation, et notifie que ce traitement ne dure que 12 mois. Et indique qu’à tout moment l’utilisateur peut stopper ce traitement.

Les mots « Mon consentement est volontaire », « je peux stopper l’enregistrement » ( en indiquant clairement où le faire ), et en explicitant la durée du traitement est un bon exemple de transparence, et dans la philosophie du GDRP :

Rendez vous en mai 2018 !

Publicités

Poster un commentaire

Classé dans GDPR

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s