Début 2018, il a suffi aux équipes de la Commission nationale de l’informatique et des libertés (Cnil) d’un contrôle en ligne pour constater une défaillance de sécurité sérieuse sur le site de Darty. Elle permettait à quiconque d’accéder à « plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients ». En flagrante infraction avec l’un des principes clés du Règlement général sur la protection des données (RGPD) et faute d’avoir remédié à ce défaut de sécurité dans le délai accordé, l’enseigne au logo rouge a dû régler une amende de 100 000 euros.

Un coût qui aurait pu être évité. Prenant la suite d’une directive de 1995, le RGPD est en effet en vigueur depuis deux ans. La date du 25 mai est une étape importante de ce processus puisqu’elle marque son entrée en application, autrement dit, le moment à partir duquel les contrevenants pourront être sanctionnés par les régulateurs. En France, c’est la Cnil qui est chargée de cette mission.

Conçu dans une optique juridique plutôt anglo-saxonne, le RGPD se démarque de la logique du droit français, note Anne Renard, avocate au cabinet Alain Bensoussan : « Les entreprises devront montrer qu’elles se sont mises en posture d’assurer leur conformité, à travers l’adoption de procédures et la mise en place de process. Une véritable gouvernance doit être instituée pour assurer la protection des données personnelles qui doivent être gérées tout au long de leur cycle de vie, de leur collecte jusqu’à leur destruction. »

Le RGPD pose cinq grands principes qui doivent être appliqués à tout traitement de données à caractère personnel. Le premier est l’obligation d’informer les personnes concernées des « finalités » poursuivies avec les données recueillies. Le RGPD pose aussi un principe de « minimisation » de la collecte de données. Un organisme ne doit recueillir que les informations « strictement nécessaires à la réalisation de l’objectif poursuivi ». Par ailleurs, les traitements sur les « catégories particulières de données » définies à l’article 9 (origine raciale ou ethnique, opinions politiques, orientation sexuelle, données sur la santé, etc.) sont a priori interdits mais une série d’exceptions, très encadrées, a été prévue.

Une fois atteint l’objectif poursuivi par le traitement, les données doivent être supprimées ! Les responsables des opérations doivent donc définir dès le départ une durée de conservation. Ils ne sont pas pour autant livrés à eux-mêmes, rappelle Wafae El Boujemaoui, cheffe du service des questions sociales et RH à la direction de la conformité de la Cnil : « Si cette durée n’est pas fixée par un texte législatif ou réglementaire, c’est au responsable de traitement de la fixer en fonction de l’objectif de son traitement. La Cnil peut aussi fixer des lignes directrices. Dans le cas de la vidéo-surveillance, elle préconise une durée de conservation d’un mois. »

Le RGPD renforce et accorde de nouveaux droits aux personnes (accès, rectification, « droit à l’oubli » qui implique la suppression des données, portabilité des informations). Enfin, cinquième principe qu’instaure le RGPD : la sécurisation des données. Cette notion recouvre deux aspects. Les responsables de traitement doivent en effet garantir la sécurité des données collectées (contre le vol par « hacking », par exemple), mais aussi leur confidentialité. Concrètement, les entreprises doivent mettre sur pied des règles afin de limiter l’accès aux données uniquement aux personnes qui ont besoin de les utiliser pour réaliser le traitement dont elles sont l’objet.

Le RGPD ne s’applique formellement qu’à trois types d’organismes : les autorités publiques, les entreprises qui effectuent des traitements de données à grande échelle et celles qui gèrent des données sensibles. « Mais il vaut mieux avoir un pilote dans l’avion de la conformité », prévient Hélène Legras, déléguée à la protection des données (Data Protection Officer, DPO en anglais) d’Orano (ex-Areva). Disposer d’un DPO, même externe ou mutualisé, s’avère indispensable. Se conformer au RGPD exige de maîtriser plusieurs spécialités (informatique, juridique) mais aussi d’amener différentes équipes à modifier durablement leurs façons de travailler.

Pour se mettre en conformité, il faudra créer (ou mettre à jour) un registre des traitements listant leurs caractéristiques. Il faudra aussi modifier les systèmes de recueil des données afin d’informer les personnes des finalités poursuivies et de leurs droits pour intégrer les principes et les obligations du RGPD (sécurité et confidentialité, mode de recueil du consentement, minimisation de la quantité de données traitées, outils de mise en œuvre effective des droits des personnes tels que l’accès, la rectification ou l’effacement).

En parallèle, il faudra former les personnes chargées de recueillir et de traiter les données mais aussi modifier les contrats existants avec les sous-traitants (et le cas échéant procéder à des vérifications) afin de s’assurer qu’ils respectent les principes et règles institués par le RGPD. Enfin, il faudra centraliser tous les documents prouvant que les obligations du RGPD sont bien mises en œuvre.

S’il peut s’avérer complexe à mettre en place, le RGPD présente cependant un double intérêt. Il va d’abord pousser les entreprises à améliorer leur protection digitale, leur épargnant des déconvenues, voire une mise en danger de leur activité. Bien mis en œuvre, il peut aussi contribuer à leur développement, souligne Anne Renard : « Il peut aider les entreprises en renforçant la qualité du service délivré et le niveau de confiance de leurs clients. Il y a également un avantage concurrentiel à retirer de sa capacité à être en conformité. » Plus que la maîtrise du RGPD lui-même, c’est donc la capacité de l’entreprise à transformer une contrainte en atout compétitif qui fera le succès de la mise en conformité.