“Il est primordial pour une jeune entreprise de prendre conscience des enjeux de la donnée, que ce soit pour la construction de leur modèle économique, ou pour sa réputation puisque la conformité RGPD est aujourd’hui un fort outil marketing et de communication visant à assurer la confiance des utilisateurs.”
Julien Smadja
A l’occasion de la journée mondiale de la protection des données, célébrée le 28 janvier dernier, DigiTechnologie s’est entretenu avec Julien Smadja, avocat associé chez DJS Avocats, cabinet spécialisé dans l’innovation.
Les activités de la Commission nationale informatique et libertés (Cnil) n’ont pas connu de répit depuis l’entrée en vigueur du RGPD, le règlement européen sur la protection des données personnelles. 2021 est « une année sans précédent » pour la protection des données avec 214 millions d’euros d’amende infligées par la CNIL, 18 sanctions et 135 mises en demeure.
En janvier dernier, une violation de données de 215 millions d’utilisateurs a été découverte. Il s’agissait de la société chinoise SocialArks, qui a déprotégé une base de données de 408 Go contenant les informations personnelles de 215 millions d’utilisateurs de réseaux sociaux dans le monde. La crise du Covid-19 a également accru la vulnérabilité de certaines cibles, comme les hôpitaux, les centres de santé ou les plateformes qui hébergent nos données. En ce qui concerne les services de streaming de jeux vidéo, Twitch a connu des difficultés cette année après qu’un pirate a exposé pas moins de 128 Go de données appartenant à la plate-forme, y compris le code source.
On se souvient également de la fuite de données de la CAF fin 2021, environ 7000 fichiers étaient concernés par ce bug. Ou, plus récemment, la polémique autour de Whatsapp qui a été soupçonnée de ne pas détailler clairement la nouvelle collecte de données mise en place. De son côté, l’équipe WhatsApp/Meta a jusqu’à fin février pour « clarifier les modifications apportées aux conditions d’utilisation et à la politique de confidentialité en 2021 » afin de s’assurer que la mise à jour est conforme aux règles de la politique de confidentialité européenne.
Parce que toute entreprise est concernée par la protection des données, Julien Smadja, avocat associé chez DJS Avocats nous aiguille sur ce sujet épineux et vous donne des clés pour être “compliant”.
Comment être certain que nos données restent bien confidentielles ?
Julien Smadja : Toutes les entreprises soumises aux exigences du RGPD doivent répondre à une obligation de sécurité des données, qui inclut la nécessité d’assurer et conserver la confidentialité des données par la mise en place de mesures techniques et organisationnelles appropriées.
Toutefois, les utilisateurs ne sont pas aujourd’hui en mesure de vérifier que les données personnelles les concernant sont conservées conformément aux exigences de confidentialité. En effet, un utilisateur ne dispose d’aucun véritable moyen d’audit de la gestion de leurs données et n’a aucune certitude sur la sécurité de celles-ci.
A minima, les utilisateurs peuvent exercer leur droit d’information quant aux traitements opérés, les personnes ayant accès à ces données ou les mesures et procédures mises en œuvre pour protéger les données.
Comment se défendre s’il y a une fuite ?
Au sein de l’entreprise sont mises en place des politiques et procédures de gestion des incidents de sécurité afin de minimiser les risques pour les droits et libertés des personnes concernées, lorsqu’un incident se produit : notification à la CNIL, investigations, mises en place des mesures correctives.
Si les entreprises ont l’obligation de signaler une fuite de données aux personnes concernées, il apparaît en pratique que les utilisateurs sont rarement informés par l’entreprise de l’existence de tels incidents et de leurs impacts sur leurs droits et libertés.
L’information est souvent rendue publique par des lanceurs d’alertes, internes ou extérieurs à l’entreprise, qui révèlent l’existence de la fuite.
Face à cela, les utilisateurs sont dépourvus de véritables moyens d’actions et sont uniquement en mesure d’exercer leur droit d’information quant à la nature de l’incident, le volume et la nature des données objets de la fuite ainsi qu’aux conséquences possibles de celle-ci.
Si des données sont dévoilées, est-il possible de « réparer » la fuite ?
Une fois l’incident de sécurité signalé, et après avoir enquêté sur celui-ci, l’entreprise doit prendre des mesures de correction appropriées pour remédier à l’incident, limiter ses effets et apporter toute modification appropriée permettant d’éviter que cet incident ne se reproduise.
Une fuite de données ne peut en soi pas être « réparée » mais l’entreprise a l’obligation de mettre en œuvre toutes les mesures correctives afin de limiter les impacts sur les droits et libertés des personnes.
L’appréciation quant aux correctifs à mettre en œuvre doit être faite au cas par cas et doit tenir compte notamment du type de violation (affectant l’intégrité, la confidentialité, ou la disponibilité des données), la nature, la sensibilité et le volume des données personnelles concernées, les conséquences possibles, etc.
La notification à l’autorité de contrôle (la CNIL) a notamment pour but de permettre aux entreprises responsables de traitement de recueillir les éventuels conseils et observations s’agissant des mesures de sécurité à mettre en œuvre pour mettre fin à la violation ou minimiser ses effets. Elle permet également de vérifier si une information des personnes est nécessaire et, dans ce cas, d’obtenir des recommandations sur les modalités de cette information.
Quelles sont les responsabilités des entreprises face aux données personnelles qu’elles collectent ?
Aujourd’hui, la collecte et le traitement des données ne s’inscrivent plus dans une logique de déclaration et d’autorisation mais de responsabilité et notamment de responsabilisation. On parle du principe d’accountability, qui désigne l’obligation pour les entreprises d’être en mesure de démontrer que leurs activités de traitement sont conformes au RGPD. Cela implique de mettre en œuvre des mesures techniques et organisationnelles appropriées permettant de s’assurer et de démontrer de l’efficacité et de l’effectivité de la protection des données personnelles.
Au-delà des sanctions pécuniaires considérables auxquelles s’exposent les entreprises non conformes, il y a ici une logique de responsabilité sociale et éthique et de bonne pratique qui a pour but d’inciter les entreprises à se conformer aux exigences réglementaires volontairement, en contrepartie de tous les bénéfices procurés par les traitements de données.
Quelles sont les entreprises et startups concernées par le sujet ?
Le champ d’application du RGPD est très large : toutes les entreprises, européennes ou étrangères, qui opèrent tout type de traitement de données concernant des personnes résidentes sur le territoire de l’Union européenne, sont soumises aux exigences du RGPD.
Le caractère extraterritorial du RGPD marque en premier l’application large du règlement, en ce que son applicabilité ne dépend pas du lieu d’établissement des entreprises responsables de traitement mais du lieu de résidence des personnes concernées.
L’application du RGPD dépend également de conditions matérielles à savoir le traitement de données à caractère personnelles. Les entreprises doivent indispensablement réaliser des audits internes afin de déterminer quels types de données sont collectées et quels types de traitement sont opérés.
Lorsqu’une entreprise a des salariés, elles opèrent nécessairement des traitements de données personnelles à des fins de gestion du personnel : recrutement, gestion administrative, gestion des rémunérations, formation, mise à disposition d’outils professionnels, gestion des mobilités et carrières, etc.
Sont concernées également toutes les entreprises proposant un service commercial via une plateforme en ligne, opèrent une collecte et des traitements des données de leurs clients et prospects, nécessaires pour permettre la fourniture du service : collecte des données personnelles pour une livraison, la création d’un compte, les services de localisation.
Pourquoi les entreprises (notamment les startups) doivent-elles absolument se saisir de ce sujet ?
Les données personnelles revêtent une importance stratégique pour les entreprises.
Il est primordial pour une jeune entreprise de prendre conscience des enjeux de la donnée, que ce soit pour la construction de leur modèle économique, ou pour sa réputation puisque la conformité RGPD est aujourd’hui un fort outil marketing et de communication visant à assurer la confiance des utilisateurs.
Par ailleurs, la menace des sanctions pécuniaires prévues par le RGPD (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial) incitent les entreprises à se saisir des problématiques de conformité.
Lire plus d’articles sur DigiTechnologie :
– Les aides fiscales pour les jeunes pousses, cliquez-ici
– Découvrir l’application App Tracking d’Apple, cliquez-ici
– Fonder une startup sur des bases saines et solides, cliquez-ici
– Les raisons de faire une campagne de crowdfunding, cliquez-ici
– Découvrir l’indice de confiance du numérique de Lyttle Syster, cliquez-ici
– Tout savoir de la solution d’anonymisation de la donnée de Retency, cliquez-ici