2018, année de la donnée
Enquête (CC BY-NC-ND) : Quentin Noirfalisse
Publié le
Le nouveau Règlement européen sur la protection des données (RGPD) vient d’entrer en vigueur. Sur le terrain, les entreprises et administrations se dépêchent de recruter leur « délégué à la protection de la vie privée ». Vite !
Dans le paquebot numérique en mouvement perpétuel, 2018 restera peut-être comme l’Année de la donnée. Le scandale Cambridge Analytica va laisser des traces. Cette société anglaise, financée par Robert Mercer, milliardaire, pionnier du trading à haute fréquence (transactions financières à grande vitesse, grâce à des algorithmes) et soutien de Donald Trump, a siphonné les données de 87 millions d’utilisateurs de Facebook (dont 60 000 Belges) à des fins politiques. Le scandale a permis à de nombreux utilisateurs d’Internet et des réseaux sociaux de réaliser à quel point ils n’ont aucune idée de ce que les services gratuits fabriquent avec leurs données personnelles et s’ils les sécurisent efficacement ou non. Comme dit l’adage : si c’est gratuit, c’est vous le produit. Et ce qu’on offre, donc, quand on cède ses données, ce sont des informations qui permettent d’être identifié en tant qu’individu : nom, numéro de téléphone, identifiant en ligne, données de localisation mais aussi éléments liés à notre aspect physique ou à notre situation culturelle, politique, religieuse ou sociale.
Hasard du calendrier, ces révélations télescopent un autre événement de taille pour la gestion de nos données. Depuis ce mois de juin, le Règlement général sur la protection des données (RGPD) est entré en vigueur. Fruit de quatre ans de palabres européennes, il promet aux membres de l’Union européenne de pouvoir « s’adapter aux nouvelles réalités du numérique » et à leurs citoyens d’être mieux protégés. Concrètement, qu’est-ce que ça veut dire pour vous ? Pêle-mêle :
– Droit à l’oubli. Vous pouvez demander qu’une information portant atteinte à votre vie privée soit supprimée d’Internet, par exemple.
– Autorisation parentale. Les moins de 16 ans auront besoin de l’accord de leurs parents pour s’inscrire sur des services en ligne comme Facebook (Whatsapp, pour sa part, a décidé de relever son âge d’utilisation à 16 ans en Europe).
– Transparence. Les entreprises et les institutions devront vous expliquer ce qu’elles font avec vos données.
– Données à emporter. Vous pouvez récupérer les données communiquées et traitées par un service, et les transmettre à un autre service.
– Sanctions. Si une entreprise ne se conforme pas au RGPD, des pénalités exemplaires peuvent s’appliquer, avec des amendes allant jusqu’à 4 % de son chiffre d’affaires mondial.
– Contrôle. En Belgique, la Commission de protection de la vie privée est remaniée et devient l’Autorité de protection des données. Elle aura notamment en charge le contrôle des personnes responsables des traitements de données au sein des organismes publics et entreprises mais aussi la compétence de sanction. L’actuel vice-président de la Commission, Stefan Verschuere, estime que ce n’est pas idéal de cumuler ces deux rôles car l’Autorité est à la fois le juge « qui instruit » et le juge qui tranche.
On engage !
Les politiciens belges s’activent pour que la loi qui retranscrit le RGPD soit adoptée avant les congés d’été. Mais les entreprises et les services publics sont aussi en train d’opérer leurs changements. Une des exigences du nouveau règlement est notamment de nommer un « délégué à la protection de la vie privée » au sein des services publics et des organismes qui traitent des données à grande échelle et/ou des données sensibles.
Interne ou externe à l’organisme, ce délégué doit veiller au respect du RGPD. Il n’y a pas de formation requise, mais cette personne ne peut être en position de conflit d’intérêts (par exemple, pas question que ce soit l’informaticien ou le directeur financier de la boîte).
Ne pas mettre en place un délégué dans les organismes où c’est obligatoire (pour les autres, le RGPD encourage de le faire sur une base volontaire) est aussi passible d’une lourde amende pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires. L’occasion faisant toujours le larron, les consultants ont champignonné sur ce marché, proposant leurs offices pour faciliter la transition vers le nouveau règlement mais aussi pour assumer la fonction de délégués à la protection. La société Privacy Praxis, à Lasne, propose ce genre de services « depuis une dizaine d’années » et note que la concurrence s’intensifie avec l’arrivée du RGPD. Et quels sont les coûts pour un tel service ? « Je ne vais pas dévoiler mes recettes de fabrication, et cela dépend toujours d’une analyse de la société pour laquelle on va travailler. Cela varie entre quelques milliers d’euros et des dizaines de milliers, donc. Pour une PME, un service de délégué coûtera de 3 000 à 5 000 euros par mois. Et on a de plus en plus de services publics qui nous contactent. »
La médiatisation du règlement a créé un petit vent de panique dans les entreprises et les administrations. À l’Union des villes et communes de Wallonie, par exemple, on l’affirme : désormais, le processus de recrutement des délégués est engagé. « Du pragmatisme avant tout. » Même si, pour des entités comme les CPAS, il faudra intégrer (contrainte importante) ces coûts dans leur budget actuel.