S'il est désormais acquis que le numérique a changé nos sociétés, nos habitudes et nos économies de manière durable, les développements technologiques, et en particulier la multiplication des données personnelles, continuent à être sujet à débat.
Le contexte actuel conjugue craintes et espoirs chez nos concitoyens quant au respect de leurs données. Le règlement européen, la loi pour une République Numérique et la négociation d'accords de transferts transfrontaliers de données tentent d'apporter des réponses à ces enjeux sociétaux majeurs. Le 14 avril dernier, le Parlement Européen a adopté un nouveau règlement qui, à la différence d’une directive, n’aura pas à être transcrit en droit national. Les nouvelles règles s’appliqueront le 25 mai 2018. Le risque pour les entreprises ? Des sanctions pouvant atteindre 4% de du chiffre d’affaire mondial de l’entreprise.
Le règlement européen prévoit de nouveaux droits aux usagers :
• un droit d’accès, de modification ou de suppression de ces données aussi facile d’accès que le moyen de collecte. Il est donc nécessaire que le formulaire pour se désinscrire ou modifier ses données soit identique et accessible de la même manière que celui qui permet de collecter les données, ce qui aujourd’hui est très loin d’être le cas.
• un droit d’information des usages de l’entreprise sur les données collectées et sur les données concernées par chaque traitement. Les programmes CRM, les bases d’e-mailing doivent donc dès la collecte des données, informer de tout ce à quoi les données vont servir.
• un droit d’information sur les risques, énonçant ainsi tous les risques de piratage et de divulgation des données possibles.
Vous aurez, conformément à ce règlement, à nommer un Data Protection Officer (DPO - Chargé de la protection des données à caractère personnel qui remplacera le Correspondant Informatique et Liberté) au sein de votre entreprise, qui sera le garant du traitement de données que vous collectez et/ou que vous utilisez. Nommer un Correspondant Informatique et liberté (CIL) aujourd’hui permet de commencer à mettre en œuvre les mesures permettant d’être prêt pour ce rendez-vous.
Facteur de co-régulation, le CIL permet de remettre à plat les processus, de revoir les contrats avec les sous-traitants et d’intégrer sans attendre de nouvelles exigences dans les appels d’offres, de se mettre en position de notifier – à la CNIL et peut-être aux personnes concernées – les violations aux traitements de données, de purger les données qui ne devraient plus être conservées, de délivrer aux clients, prospects et toutes personnes concernées l’information qui leur est due, de revoir le niveau de sécurisation des actifs immatériels.
La prise en compte d’une éthique quant à la protection des données à caractère personnel peut devenir, demain, l’un de vos premiers éléments pour valoriser votre politique, vos valeurs et votre responsabilité. La désignation d’un CIL en sera l’incarnation.