Un an après l’entrée en vigueur du RGPD, des pistes et de multiples inconnues

Avec plus de 145 000 demandes et plaintes et plus de 89 000 violations de données personnelles déclarées depuis son entrée en vigueur, le Règlement général sur la protection des données (RGPD) a connu un démarrage solide.
Pourtant, si certains points de droit et dans les politiques des autorités de contrôle ont reçu des clarifications bienvenues, de multiples inconnues demeurent.

 

Une sensibilisation accrue à la protection des données personnelles

La sensibilité des entreprises et des citoyens au RGPD et à la protection de la vie privée est en nette progression. Ainsi, 67% des citoyens européens déclarent connaître l’existence de leur autorité nationale de protection des données personnelles.

Le respect de la vie privée et, par extension, le respect du RGPD, sont devenus des arguments marketing importants pour les GAFAM qui ont, chacun à leur tour, mis en scène leur “pivotement” vers la protection de la vie privée. Dernière initiative en date, Apple a annoncé avoir développé une nouvelle fonctionnalité au sein de son navigateur Safari qui limite la possibilité pour l’annonceur d’identifier et de suivre la navigation des personnes qui cliquent sur une publicité (source : TechCrunch).

Nous constatons la même tendance chez les clients de Lincoln

Après avoir œuvré en 2018 sur le respect des droits des personnes, une gestion centralisée des options… et tous les risques ayant une probabilité importante et un impact majeur, leurs demandes deviennent plus sophistiquées et visent à pleinement intégrer les logiques de privacy by design et by default au sein des Systèmes d’Information et des bases de données.

La protection des données personnelles devient pour un enjeu de communication interne et externe face à des clients et des collaborateurs de plus en plus réactifs sur ces sujets. A cela s’ajoute la nécessité pour les entreprises de veiller à ce que leurs traitements de données personnelles et les algorithmes qu’elles utilisent soient dépourvus de biais et répondent à un niveau élevé de déontologie.

C’est l’un des objectifs poursuivis par le Turing Club, une association créée en 2018 qui regroupe des sociétés de services, éditeurs et startups spécialisées dans la Data. Cette association – dont Lincoln est l’un des membres fondateurs – rassemble plus de 8 000 experts français en Data Sciences qui réfléchissent aux impacts de leurs métiers sur les individus, l’emploi, la société.

 

De la peur de l’amende à celle de la limitation de traitements

L’absence d’amende significative à ce stade – au-delà de celle infligée par la CNIL à Google pour un montant de 50 millions d’euros – a pu être interprété comme le signe de l’innocuité du nouveau règlement. Pourtant, la CNIL note dans son rapport annuel que « l’année 2019 marque l’achèvement de la transition vers le RGPD. Il est essentiel que, désormais, les organismes appliquent complètement le nouveau texte ». Ce qui laisse à penser que les régulateurs européens souhaitaient, jusqu’à présent, se laisser le temps de traiter en profondeur des dossiers complexes et où les parties ne manqueront pas de faire appel.

Surtout, face à la puissance financière des GAFAM qui leur permet d’envisager sereinement les amendes les plus lourdes, les autorités de régulation semblent de plus en plus prêtes à considérer les autres sanctions mises à leur disposition par la législation. Ainsi, par une décision du 6 février 2019, le Bundeskartellamt, l’autorité allemande de la concurrence, a interdit à Facebook d’agréger, sans leur consentement, les données des utilisateurs du réseau social avec celles tirées de WhatsApp et Instagram. Dans le même sens, l’Information Commissioner’s Office britannique a condamné en juillet 2018 la firme canadienne AgregateIQ à cesser tout traitement de données personnelles de citoyens européens pour des finalités de publicité ou de propagande politique. La peur de lourdes sanctions financières risque donc de rapidement céder la place à celle d’une suppression pure et simple des données personnelles possédées.

 

Des bouleversements sectoriels à attendre

Ainsi, le secteur de la publicité en ligne fait l’objet de plusieurs plaintes liées à la façon dont le RGPD y est déployé. Ces critiques vont des systèmes d’enchères en ligne – une source “d’abus à grande échelle et systémiques” selon les plaignants – aux cookies walls qui requièrent que l’utilisateur clique sur une case “Je suis d’accord” pour lui permettre de naviguer sur le reste du site.

Cette dernière pratique a d’ailleurs été jugée illicite par l’autorité néerlandaise de protection des données personnelles alors même qu’elle est appliquée sur le site de l’IAB Europe, le lobby du secteur de la publicité en ligne…

C’est peut-être, Véra Jourova, la commissaire européenne à la Justice et aux Droits des consommateurs qui résume le mieux l’état des débats autour du RGPD. Pour elle, le règlement européen est “un bébé d’un an qui a de l’appétit et est très agile”. Avant de prévenir qu’il fallait s’attendre à de nouvelles amendes…

Et vous, êtes-vous prêt à accueillir sereinement Véra Jourova au sein de votre organisation ?  Lui présenter vos analyses d’impact (PIA), registre des traitements, processus d’anonymisation, contrats de sous-traitance…

 

Lincoln, votre partenaire “RGPD”

Comment Lincoln aide en 2019 les entreprises à répondre aux défis du RGPD ?

Le RGPD change profondément la donne au sein des entreprises. La protection de la vie privée des utilisateurs doit désormais constituer un avantage concurrentiel, au même titre que la possession de données de qualité et pertinentes.

Cela nécessite de maîtriser l’ensemble de la chaîne de production et d’utilisation des données personnelles afin de pouvoir être comptable de chaque traitement réalisé en interne, par des partenaires ou des sous-traitants. Surtout, un tel objectif implique de faire du RGPD un multiplicateur de croissance plutôt qu’un frein dans les domaines d’avenir pour les organisations : intelligence artificielle, blockchain, marketing comportemental, …

Lincoln aide les dirigeants dans ce nouvel environnement réglementaire et technologique pour identifier les axes de mise en conformité prioritaires et faire face aux demandes des personnes concernées, des ONG et des autorités de protection des données. Lincoln vous accompagne dans vos projets Data et RGPD :

  • Audit et mise en conformité des procédures et traitements internes et externes (sous-traitants, fournisseurs, etc.) au RGPD
  • Gouvernance des données
  • Mise en place de Data Catalog
  • Transformation des SI afin d’assurer une traçabilité de bout en bout de la donnée
  • Gestion des droits des personnes concernées et des consentements “client”
  • Formation en protection des données personnelles

Consulter nos offres Data Ingénierie et Réglementaire & Risque.

Si vous souhaitez en savoir plus sur l’expertise RGPD de Lincoln, n’hésitez pas à nous joindre via notre formulaire de contact :