inspirations innovatech

Inspirations,
news et dossiers

Protection des données: ce qui change pour les PME en 2018

Date de publication
7 juin 2017
facebook twitter LinkedIn Google Mail Informatique/Technologie Print
protection des données

Les PME qui traitent régulièrement des données informatiques personnelles dans le cadre de leur activité ou qui traitent des données sensibles vont devoir s’adapter.

A partir du 25 mai 2018, le Règlement général sur la protection des données (RGPD) sera d’application au sein de l’Union européenne. Un constat d’abord : 55 % des organisations ne savent pas que le RGPD entrera en vigueur en mai 2018 et qu’elles devront s’y conformer. C’est ce que révèle une enquête SerdaLab réalisée en février 2017 dans le cadre d’un livre blanc. Seuls 24 % de ces entreprises mesurent complètement l’impact que le RGPD aura sur leur fonctionnement, alors que 43 % n’en ont aucune idée et que 33 % ont simplement effleuré le sujet.

Pourtant, le RGPD confirme des principes de protection des données déjà existants en Belgique mais prévoit également plusieurs nouveaux droits et nouvelles obligations.

Que signifie le terme « vos données personnelles »?

Quotidiennement, vous transmettez des renseignements personnels au monde extérieur : en demandant une carte de fidélité au supermarché, en vous inscrivant à un cours de danse ou en participant à un concours … Vous n’avez, en général, aucun contrôle sur ce qu’il advient de toutes ces données.

Depuis 1992, il existe une loi qui veille à ce que nos données personnelles ne puissent pas être traitées de n’importe quelle manière. Cette loi dite « loi vie privée » vient encadrer l’utilisation des données à caractère personnel. Elle définit les droits et obligations de la personne dont les données sont traitées, tout comme les droits et obligations du responsable du traitement lui-même.

Pourquoi fallait-il améliorer la loi?

vie privéeLe développement du commerce électronique, de l’ e-gouvernance et des réseaux sociaux a rendu nécessaire une adaptation du cadre existant pour renforcer les droits des personnes et responsabiliser les acteurs traitant des données. On parle ici par exemple de la transmission de données bancaires, de données médicales, de plus en plus complètes et précises, ou de données provenant du coeur de l’entreprise (son personnel s’il doit travailler à l’étranger, ses clients s’il a besoin de crédits).

Désormais, les autorités pourront demander à toute organisation de lui dresser un tableau des flux d’entrées et de sorties des données informatiques, quelle est (sont) la (les) personnes responsable(s) qui  les fait (font) entrer et sortir de l’organisation, quelles sont les finalités de l’envoi de ces données, etc.

Pour vous donner une idée de l’ampleur de ces développements:

  • E-commerce: d’après les estimations de la Cnuced (Conférence des Nations unies sur le commerce et le développement), le e-commerce a généré un chiffre d’affaires (ventes B2B et B2C cumulées) de près de 25 000 milliards de dollars dans le monde en 2015.
  • E-gouvernance: de nombreuses initiatives publiques existent déjà en Belgique. Trouvez-les ici.
  • Réseaux sociaux: sur les 7,4 milliards d’habitants, 3,42 milliards sont internautes (46%) et 2,31 milliards sont actifs sur les réseaux sociaux (31% de la population mondiale).

Qu’est-ce qui change? Vous êtes responsables…

Alors que la Directive de 1995 reposait sur le principe de « formalité préalable »,  le Règlement repose désormais sur une logique de responsabilisation des acteurs.

Deux nouveaux concepts sont introduits :

  • le « privacy by design »:  les entreprises doivent tenir compte du respect de la vie privée de leurs clients dès la conception de nouveaux produits ou services;
  • le « privacy by default »: par défaut, les entreprises choisissent les modalités les plus respectueuses de la vie privée.

Les données personnelles devront donc être traitées de manière à garantir une sécurité et une confidentialité appropriées.

Ce nouveau Règlement s’appliquera par ailleurs chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris via Internet. Il ne s’applique donc plus uniquement aux entreprises européennes.

Le Règlement assortit désormais le principe du consentement à des conditions plus strictes (il doit être libre, spécifique, univoque…). La charge de la preuve du consentement incombe désormais au responsable du traitement.

Les entreprises vont devoir se mettre en conformité et le prouver

Les organisations seront donc davantage responsabilisées: on leur impose désormais de se mettre en conformité et de pouvoir le démontrer.

1. Consulter préalablement la commission de la vie privée

Selon les enjeux des projets, et notamment la nature et la sensibilité des données traitées, il conviendra de consulter préalablement l’autorité nationale de protection des données (en Belgique la Commission vie privée).

2. Mener une analyse d’impact relative à la protection des données

Cela concerne notamment les traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi les données génétiques et biométriques) ;

3. Responsabiliser votre sous-traitant

Le sous-traitant du responsable du traitement des données est dorénavant aussi tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de responsabilité.

4. Désigner un délégué à la protection des données

Certaines entreprises, comme celles du secteur public ou celles dont l’activité principale consiste à traiter des données à caractère personnel ou des données sensibles, seront en effet obligées de désigner un délégué à la protection des données. Il devient le véritable chef d’orchestre de la conformité en matière de protection des données au sein de l’entreprise.

Quand au registre, il doit être conservé non seulement par le responsable du traitement, mais également par ses éventuels sous-traitants. Ce registre doit pouvoir être mis à tout moment à disposition des autorités de contrôle.

Même les PME sont concernées

Cette obligation s’applique en particulier aux grandes entreprises (> 250 personnes) mais aussi aux plus petites entreprises. Lesquelles? Celles qui traitent régulièrement des données personnelles dans le cadre de leur activité ou qui traitent de données sensibles.

De quelles données parlons-nous?

  • Par exemple, une banque peut envoyer les données d’un client en France pour exécuter un paiement.
  • Un hôpital belge peut communiquer les données médicales d’un patient à un hôpital italien.
  • Une entreprise peut transmettre la base de données de son personnel à un autre État de l’Union.

 

Les entreprises qui ne respecteront pas les règles pourront être condamnées à de lourdes amendes administratives par la Commission de la protection de la vie privée. Celles-ci pourront aller jusqu’à 20 millions d’euros ou à 4% du chiffre d’affaires mondial annuel de l’entreprise.

Qui peut vous aider ?

Nos conseillers, avec l’aide de notre partenaire Cetic, ont pu identifier trois entreprises wallonnes qui sont prêtes à prendre en charge ce type de mission, l’une à Liège (la société Kensu, plutôt réservée aux grands comptes), une seconde installée à Eupen (l’entreprise The Privacy Office, qui s’occupe des grands et des petits comptes) et une troisième, GDPR Agency, établie à Louvain-la-Neuve, créée tout spécialement pour aider les PME wallonnes à se mettre en conformité au RGPD. Par ailleurs, des produits intégrés commencent également à apparaître comme chez Uniwan.

La Commission de la protection de la vie privée – point de contact fédéral sur cette question – vient notamment d’éditer un manuel de 13 pages pour vous préparer à ce nouveau règlement.  Vous pouvez le télécharger.

Vos conseillers juridiques habituels: s’ils ne sont pas au fait de ce domaine particulier du droit, ils vous renseigneront un confrère.

En outre, le NAMUR LEGAL LAB offre l’occasion aux étudiants du Master DTIC, de prodiguer des conseils juridiques à de jeunes start-ups désireuses de lancer un nouveau projet en lien avec le secteur des nouvelles technologies. N’hésitez pas à les contacter.

L’Infopole Cluster TIC, avec l’aide de l’Agence Du Numérique, a déjà réalisé plusieurs présentations destinées à informer les entreprises. Il y en aura d’autres. Par ailleurs, une grappe technologique ayant pour thème la cybersécurité a été créée au sein d’Infopole. La thématique du RGPD y sera bien sur abordée.

Enfin, s’il vous reste une question, n’hésitez pas à contacter notre collègue à l’adresse suivante: anthony.bievelez@innovatech.be

Comment mettre en place un dispositif qui respecte cette nouvelle directive?

La CNIL (Commission (française) nationale de l’informatique et des libertés) vous propose un processus en six étapes. Découvrez-le ici. Notre Commission de la protection  de la vie privée aussi (téléchargez ici le manuel de préparation).

En Belgique, une start-up liégeoise, Kensu, développe des logiciels d’analyse de données: il s’agit d’outils permettant de traiter, cataloguer et interroger selon différents paramètres un ensemble conséquent de données (big data). Dans le cadre de ce nouveau règlement, l’entreprise – qui dispose aussi d’un siège d’exploitation à San-Francisco – a développé Adalog , un produit qui permet aux organisations de construire automatiquement une cartographie des flux de données entre ses outils, ses services et même ses partenaires. Pour autant qu’Adalog ait été déployé sur tous les systèmes de traitement de données. Une solution qui permet de construire de manière irréfutable et précise, un registre des processus.

« De plus, ajoute Andy Petrella, l’un des patrons de Kensu, cette cartographie nous permet d’aider, de conseiller, d’optimiser les activités de nos clients. Comme on le fait pour les processus de production que des outils informatiques permettent d’optimiser. Du coup, le RGDP n’est plus uniquement un devoir mais aussi une source de valeurs ajoutées. »

Que recommander aux gestionnaires de PME?

vie privée« Clairement, les entreprises ne sont pas prêtes explique Andy Petrella (Kensu). On travaille avec de grandes entreprises internationales qui en sont encore au stade de l’audit des flux informatiques et aux « assessment » avec des juristes.  Cela prend du temps bien sûr et ces entreprises sont à la recherche de modèles informatiques qui vont les aider à générer une cartographie précise de ces flux ». Elles seront évidemment les premières visées par les autorités chargées de la régulation. Et on peut penser qu’il faudra un certain temps d’adaptation pour que ces mêmes autorités auditent les petites entreprises.

« Pour les PME, avant de penser informatique, pensez légal, poursuit Andy. Avec des juristes, réalisez un audit de votre société et essayez de dresser un tableau de:

  • ce que vous faites déjà et qui répond aux exigences légales;
  • ce que vous ne faites pas encore alors que vous devriez. Ce sera déjà pas mal.

 

De manière générale, Andy Petrella (Kensu) se réjouit de l’arrivée de ce nouveau règlement. « Jusqu’à présent, le big data et ce qu’on en faisait, c’était un peu le far west ».

l'équipe de rédaction InnovaTech

Par

L'équipe de rédaction d'InnovaTech est composée d'experts en innovation technologique et en communication.

Website Facebook Twitter LinkedIn

Services associés

coach

Bénéficiez d’un coach

Diagnostic et plan d'actions

Diagnostic et plan d’actions