RGPD : Inutile ou vrai enjeu ?

Vous trouvez le RGPD inutile, contraignant, une obligation de plus qui finalement ne s’imposera qu’aux plus faibles et que les gros GAFA et consorts piétineront allègrement tandis que les petits subiront les foudres de la CNIL ? Comme d’habitude, ce sont les petits qui trinquent ?

Je ressens le besoin de considérer que ce ne sera pas le cas… Ou plutôt, j’ai l’urgence de croire absolument que l’enjeu est tellement grand qu’il ne s’agit pas d’une cour de récré inéquitable qui finira en eau de boudin après avoir jeté un peu de poudre aux yeux.

La protection des données personnelles est l’affaire de tous…Aller je me lance dans une formulation qui peut paraitre excessive… Il en va de l’avenir de l’Humanité, de l’intégrité de l’individu, du risque de déshumanisation, de l’Homme moins précieux que ses données, pompé jusqu’à la moelle de son inestimable pédigrée pour le lui resservir éventuellement à ses dépens… Exagéré ? Vous êtes sûrs ?

Petit QUIZZ…

1/ En imaginant que les données personnelles que vous avez publiées sur Facebook à l’intention de vos « amis » (ceux que vous avez sélectionnés comme tels), soient utilisées à des fins non précisées a priori, que pourrait-il arriver de pire ?

  • Parvenir à faire élire, à la présidence de la première puissance mondiale, un type misogyne, raciste, inconstant, narcissique, impulsif et capable de dire « “je pourrais tirer sur des personnes dans la Cinquième Avenue et je ne perdrais pas de votes”.
  • Que la décision de vous accorder le prêt que vous avez demandé à votre banque soit jugée en fonction de l’historique de crédit de vos amis sur Facebook.
  • Que votre assureur décide de votre prime d’assurance auto en fonction d’une catégorisation de bon ou mauvais conducteur établie à partir de l’analyse de votre profil et de vos habitudes sur Facebook.

Les 3, mon capitaine. L’élection de D. Trump a été rendue possible par la « manipulation » notamment de millions d’américains indécis à travers leur compte Facebook dont les informations ont été communiquées à Cambridge Analytica, sans leur consentement. Les algorithmes qui permettraient les deux autres réponses sont actuellement sérieusement à l’étude.

2/ Vous venez d’acheter un ensemble de vidéo cinéma fort coûteux chez un détaillant renommé qui est venu vous l’installer il y a tout juste une semaine. Vous avez laissé vos coordonnées, votre adresse, le code de la porte d’accès à votre immeuble et le nom de la gardienne pour qu’elle puisse leur ouvrir en votre absence …comme d’habitude ! Que pourrait-il arriver ?

  • Que la base d’informations de 50 000 livraisons, dont la vôtre, ait été piratée chez le sous-traitant du détaillant, donnant de précieux renseignements sur vos installations, vos horaires et la manière d’accéder aisément dans votre logement.
  • Que les arnaqueurs rentrent chez vous sans effraction, accompagnés par la gardienne (oui, on a livré la semaine dernière, vous vous rappelez ? Le matériel est défectueux, on doit le récupérer) et repartent avec votre super matériel dernier cri. Bien sûr, pas d’effraction = pas de prise en charge par votre assureur.

Les 2. C’est ce qui est arrivé à une cliente d’une enseigne suite à la fuite des données de son sous-traitant. Avec la nouvelle règlementation RGPD, l’amende aurait pu aller jusqu’à 4% de son CA mondial ou 20 M€ minimums.

3/ Votre enfant est inscrit au collège de votre ville. Dans son dossier d’étudiant on retrouve, outre son emploi du temps, toutes les informations que vous avez dû donner lors de son inscription : vos coordonnées complètes, la composition de votre famille, votre niveau de revenus, les intolérances alimentaires de votre ado, ses problèmes de santé. On vous a même demandé votre numéro de sécurité sociale, en cas d’hospitalisation et une copie de votre carte d’identité, au cas où… Que pourrait-il arriver de pire ?

  • Qu’un réseau de trafic d’identité international pirate les données et puisse, à partir de ces informations, demander en ligne la production d’un certificat de naissance à votre nom et, de là, une vraie fausse carte d’identité…puis aille consentir quelques prêts à la consommation en votre nom, identité formelle à l’appui.
  • Qu’il y ait une fuite de données et que l’ensemble des dossiers scolaires soient cédés à un réseau pédophile.

Aucun de ces deux cas n’a été relaté mais l’exploitation des données personnelles est, outre un marché rentable, un enjeu d’arnaques dont le nombre augmente. Ces deux cas ne sont pas avérés, mais ils sont réalistes.

Alors NON !

Alors non, le RGPD n’est pas une nouvelle réglementation inutile de plus qui ne concerne que les gros mais ne contraint que le petits. L’Europe constitue un marché non négligeable dont même les plus gros ne peuvent se permettre le luxe de se priver.

Et à ceux qui pensent que les jeunes générations n’ont que faire de leurs données personnelles, qu’ils les exposent sans aucune retenue sur les réseaux sociaux, je demanderais : Est-ce une raison pour ne pas les protéger ? Pour que le jour où, devenus adultes et conscients de l’impact potentiellement défavorable que pourraient avoir désormais ces « erreurs de jeunesse », ils aient la liberté de choisir de les supprimer définitivement ?

L’innovation technologique est indispensable, elle façonne l’économie de demain et, de là, le fonctionnement sociétale. Elle fait fantasmer de millions de voies nouvelles qu’elle ouvre ou suggère à peine… Elle est inéluctable.

Ne perdons pas de vue que l’innovation doit rester au service de l’homme, et non l’inverse. 

Le RGPD dans l’éducation, un cas d’école(s)

Le RGPD fait parler de lui et, alors que certains se demandent par quel bout engager le sujet dans leur organisation, conscients qu’ils devront – et le plus tôt sera le mieux – s’y conformer, d’autres le voient comme un sujet lointain.

Ne vous y fiez pas trop ; toute organisation, quelle qu’elle soit et quelle que soit son activité a, dans une certaine mesure, besoin de questionner son rapport à la protection des données personnelles qu’elle détient, parfois sans en avoir conscience.

Prenons l’exemple du secteur de la formation et allons crescendo…

ENTRÉE EN MATIÈRE, LE CAS DE JEAN

Jean est auto entrepreneur et intervient dans le cadre de soutien scolaire à domicile. Il se fait connaitre par le bouche à oreille. Jean ne se sent pas concerné par le RGPD. Pourtant, Jean enregistre son planning de rendez-vous chez ses clients dans un agenda informatique. Il y inscrit, pour chaque rendez-vous, le prénom et le nom de son élève, son niveau scolaire, ainsi que l’adresse et le numéro de téléphone du domicile de la famille. Certains réguliers, d’autres ponctuels, Jean a déjà fait travailler plus d’une centaine d’élèves en 3 ans. Jean est concerné par le RGPD…

  • Il collecte des données personnelles,
  • Il les stocke dans le temps,
  • Certains de ses élèves sont mineurs, sans être « sensibles » ces données concernent des personnes vulnérables,
  • Connait-il le niveau de sécurité de l’application dans laquelle il répertorie les informations sur ses élèves ? Assure-t-il un niveau de sécurité suffisant au niveau de son serveur informatique ? A-t-il un firewall ?

Jean n’a rien à se reprocher dans la manière dont il pratique son activité, il fait même preuve d’un grand professionnalisme qui se traduit par la réussite de ses élèves.

Mais Jean est déjà bien concerné par le RGPD.

POUR ALLER PLUS LOIN, L’ÉCOLE PRIMAIRE ASSOCIATIVE

L’école Imagine est une petite structure associative en milieu rural. Elle a été créée par un collectif de parents soucieux de proposer un enseignement de proximité à la centaine d’élèves de primaire qui habitent la petite commune et la dizaine de hameaux alentours.

4 enseignants et 2 aides scolaires se répartissent la charge d’enseignement et d’encadrement des 3 classes qui constituent l’école. Ces salariés sont répertoriés dans un registre du personnel et l’établissement des fiches de paie ainsi que toutes les démarches liées à l’administration du personnel sont sous-traités à une petite société unipersonnelle locale. Annie, qui en est l’unique représentante, est une ancienne Directrice Administrative d’une grande société qui propose désormais ses services en temps partagé. L’école transmet chaque mois par email à Annie les informations permettant d’établir les bulletins de paie des 6 salariés : présence, congés, primes, arrêts de travail, justificatifs de frais de transports…

L’école connait par ailleurs très bien ses élèves. Elle a enregistré dans son système informatique, pour chacun d’eux, son prénom et son nom, sa date et son lieu de naissance, les noms et prénoms de ses deux parents et leur situation familiale. Elle connait leur adresse postale (et même les deux si les parents sont séparés), les numéros de téléphone personnels et professionnels, leurs professions, les noms et adresses de leurs employeurs… Il arrive occasionnellement qu’un élève ait des difficultés d’apprentissage et soit suivi par un spécialiste, l’un d’entre eux est même accompagné d’une AVS. Très engagé dans l’accompagnement de ses élèves le directeur conserve ces informations dans le dossier de l’élève, y compris des informations sur la santé de certains d’entre eux requérant une surveillance particulière.

Quand on lui parle de RGPD, le directeur ne se sent pas concerné ; il ne fait rien de ces données. Jamais il ne lui viendrait à l’idée de les divulguer ou d’en faire un mauvais usage. Oui mais …

  • L’école détient une multitude de données personnelles sur de nombreux individus (les salariés, les élèves, les parents d’élèves)
  • Ses élèves sont tous mineurs et donc considérés comme des personnes vulnérables
  • Certaines données, notamment médicales, sont dites « sensibles »
  • Le niveau de sécurité de stockage des informations est-il suffisant ?
  • Elle travaille en sous-traitance pour la partie RH et fournit des informations personnelles à son prestataire
  • Connait-elle les conditions de traitement de ces données par Annie, son prestataire ? Annie stocke-t-elle ces données (par habitude, par nécessité ou juste au cas où…) ?

L’école Imagine est, elle aussi, très fortement concernée par le RGPD, et doit engager une réflexion sur le sujet.

ENTRONS DANS LE VIF DU SUJET, LE LYCÉE PUBLIC

Le Lycée Jenveux est un lycée public. Il accueille 1200 élèves et gère de nombreuses ressources humaines. Mettons de côté le volet RH, qu’il faudra de toute évidence considérer dans le cadre du RGPD. Concentrons-nous, pour l’exemple, sur les données relatives aux élèves.

Comme tout lycée, il détient des très nombreuses données personnelles administratives sur ses élèves : prénom, nom, adresse, date et lieu de naissance, numéro de téléphone, parfois même le numéro de sécurité sociale, situation familiale des parents, coordonnées, situations professionnelles, nombre de frères et sœurs, leur année de naissance et position scolaire (niveau, établissement fréquenté). Il connait également le détail des antécédents scolaires de ses élèves, et dans certains cas des données à caractère médical.

Par ailleurs, il émet et stocke des informations sur le niveau scolaire des élèves ainsi que des appréciations « qualitatives » de leurs professeurs sur leurs résultats et leur orientation professionnelle, et bien entendu les copies d’examen et les résultats.

Il devra passer en revue l’ensemble de ces données afin de s’assurer de leur conformité RGPD, tant sur la nature et leur pertinence, que sur les traitements, les conditions et durées de stockage ou encore l’exercice des droits des individus concernés.

Il devra également passer en revue et questionner la pertinence et la compliance de tous les autres traitements, même mineurs, sur les données personnelles :

  • L’infirmière scolaire garde-t-elle une trace des élèves qui passent dans son service ? Quelles informations ? Pour quoi faire ? Dans quelles conditions ?
  • Certains élèves ont créé une association d’élèves afin d’organiser des rencontres sportives. Qu’en est-il des données personnelles que l’Asso recueille et stocke ? Y a-t-il d’autres associations au sein du lycée ? D’autres initiatives de professeurs à destination des élèves ?
  • Le Centre d’Information et d’Orientation répertorie-t-il les démarches des élèves en quête d’orientation professionnelle ?

Le lycée est d’autant plus concerné par le RGPD qu’il représente un service public. A ce titre, il a même l’obligation de nommer un DPO (délégué à la protection des données) chargé de la conformité continue au RGPD.

POUR IDENTIFIER DES SPÉCIFICITÉS PLUS COMPLEXES, L’ÉCOLE SUPÉRIEURE

L’école Supérieure de Management Monavenir est une école privée qui propose à ses 2000 étudiants différents cursus qui intègrent des possibilités d’alternance et de mobilité internationale dans le cadre d’échanges avec des établissements dans différents pays. Une année de césure est également possible en cours de certains cursus.

Bien évidemment, l’école détient les mêmes données personnelles, sur ses étudiants, que le lycée Jenveux. Elle va même plus loin.

  • Sur son intranet, elle met à disposition un trombinoscope,
  • Une 20taine d’associations d’élèves, gérées par les étudiants eux-mêmes, organisent leurs activités sans contrôle de l’établissement,
  • Dans un souci de sécurité, elle a mis en place un système de vidéosurveillance à différents points stratégiques de l’établissement, et un contrôle d’accès
  • Le contrôle de présence en cours est assuré par un système de badges, qui sert aussi (ou pas) à assurer le règlement des OPCA dans le cadre des alternants
  • Elle gère des listes de prospects afin de recruter de nouveaux étudiants,
  • Elle sous-traite …

Il existe encore bien d’autres traitements et d’autres données, la plupart tombant sous le coup de la conformité RGPD.

Les écoles supérieures et universités sont bien évidemment concernées par le RGPD avec des spécificités qui peuvent apporter de la complexité dans l’appréciation du caractère légitime des traitements, de l’accès au droit et des durées de conservation.

A suivre… Un prochain article traitera de manière plus approfondie de l’application du RGPD dans les écoles supérieures.

Codes de Conduite, un outil sectoriel de mise en conformité RGPD

La CNIL, dans le cadre de la Loi informatique et Liberté, a mis à disposition un certain nombre d’outils permettant de clarifier et de rendre opératoires les règles de protection sur les données personnelles.

Elle propose notamment « Les Packs Sectoriels », élaborés en concertation avec les acteurs d’un secteur d’activité. Ils ont pour objectif de définir et diffuser les bonnes pratiques pour un secteur d’activité donné, et de simplifier les démarches individuelles et formalités administratives des acteurs concernés.

La CNIL met actuellement en ligne 5 packs de conformité à la loi informatique et liberté, respectivement dans les secteurs :
–        ayant recours aux compteurs communicants (notamment l’énergie)
–        du logement social,
–        de l’assurance,
–        du véhicule connecté,
–        des Industries Électrique, Électronique et de Communication, à l’initiative de la FIEEC.

Des moyens mutualisés pour favoriser la mise en conformité continue

Des packs similaires, appelés Codes de Conduite, sont aussi prévus dans le cadre du RGPD.
Ainsi donc, afin de simplifier les démarches de leurs adhérents, les syndicats de métiers, les Ordres, ou tout autre groupement d’activité peuvent engager une réflexion/concertation pour la rédaction d’un Code de Conduite qui sera ensuite soumis pour approbation par la CNIL, et/ou au Comité Européen (pour une cohérence trans-nationale), avant diffusion aux membres.

Outre un rappel du cadre général de la protection des données à caractère personnel, ce Code de Conduite peut également apporter :
–        des règles et bonnes pratiques pour le secteur,
–        des modes opératoires et processus organisationnels,
–        des mesures de simplification des formalités applicables au secteur,
–        des guides pratiques spécifiques,
–        des tests de vérification de conformité à la loi
–        …

La CNIL a bien à l’esprit que la mise en conformité RGPD peut représenter un effort non négligeable de la part des entreprises. C’est dans ce sens qu’elle propose d’alléger / faciliter la démarche avec ces outils spécifiques .

Certaines organisations professionnelles ont déjà publié des guides pratiquesde mise en conformité RGPD pour leurs adhérents, comme par exemple, l’ordre des avocats (voir notre article sur le sujet).
Pour aller plus loin, des codes de conduites seront élaborés dans les prochains mois en concertation entre la CNIL et les organisations professionnelles, reste à savoir quelles organisations se lanceront les premières.
D’ici là, si vous faites partie d’un secteur ayant déjà un pack, utilisez-le dans votre démarche RGPD, cela vous aidera beaucoup.

L’objectif du règlement n’est pas de contraindre davantage les organisations, mais bien de faire prendre conscience à tout un chacun de l’importance, après des années d’hyper-utilisation des données personnelles à des fins parfois malintentionnées, de revenir à un usage mesuré, juste et limité, qui laisse à chaque individu la main sur ce qui le concerne.

  • Vous faites partie d’un groupement professionnel ?
  • Vous souhaitez connaitre les conditions de mise en œuvre d’un Code de Conduite dans votre secteur d’activité ?
  • Vous souhaitez savoir si votre profession a déjà un guide d’aide à la mise en conformité ou s’il est en cours de réflexion / élaboration ?

Contactez-nous !

RGPD, un vent de liberté

Dans les années 90, Internet, fabuleuse toile étirée aux 5 continents, révolutionne l’échange et le partage d’informations. Particuliers et entreprises s’y engouffrent, déversant et recueillant des milliards d’octets de données personnelles, à usage personnel et/ou professionnel, à travers des réseaux sociaux, des formulaires de contacts, des achats en ligne, ou de simples clics…

A partir de quel moment ce phénomène est-il devenu intrusif, chronophage, épieur, ingérant ? Nous ne nous sommes pas forcément aperçus que nous étions devenus des produits, nous n’avons pas vu le mal à livrer des informations sur nos habitudes de consommation, nos loisirs, notre famille, nos amis
Et pour cause, nous servons sur le moment un intérêt que nous croyons être le nôtre.
Au fil du temps, combien de formulaires avons nous remplis consciencieusement, à combien d’enquêtes ou d’études avons nous répondu, livrant une certaine intimité, nous mettant à nu ?
Combien d’entre nous, sur le moment, se sont questionnés sur la valorisation potentielle de ces données personnelles, livrées délibérément ?

20 ans et quelques plus tard, à titre individuel, sais-je précisément quelles informations circulent, de base de données en base de données, sur mon compte ?
Ai-je, à un moment, eu la maîtrise de l’utilisation qui pourrait en être faite ?
M’a-t-on déjà donné l’opportunité d’avoir “la main dessus” pour les rectifier, voire les supprimer du domaine public ?

La loi Informatique et Libertés (1978), a été très tôt une référence (et oui….mondiale même) pour la protection des individus et de leurs données personnelles. Le RGPD harmonise aujourd’hui et au niveau européen cette protection nécessaire, compte tenu de l’apparition de technologies numériques qui demandent un nouveau cadre réglementaire, et qui ont ouvert la voie de l’utilisation de données personnelles à des fins de sélection de profils (RH, Couvertures d’assurance,…), de rejet automatisé (CSP, prêt, emplois…), de discrimination (analyse des prénoms, lieux de vies, signes religieux…) ou de ciblage marketing. Il faut dire que, paradoxalement, cette dernière application, d’un point de vue commercial, s’avère extrêmement performante : Dans un article de 2015, les Echos déclaraient que “D’après une étude […], le fait de s’adresser personnellement à son destinataire et de s’adapter à ses habitudes déclencherait une intention d’achat pour 76 % des Français et même de réachat pour 34 % d’entre eux.

Alors, intérêt pour l’hyper personnalisation et/ou protection de la vie privée ?

Le RGPD, sans pour autant freiner le potentiel que représente l’économie numérique*, impose un cadre qui vise à responsabiliser les entreprises au regard des données personnelles qu’elles collectent/détiennent et leur utilisation. Il redonne la main aux individus sur leurs données personnelles afin qu’ils décident :

  • de les livrer dans un but strictement précis
  • de les rectifier/faire rectifier, s’ils le souhaitent
  • d’en demander la portabilité
  • de les faire disparaître définitivement à tout moment

*Dans son article “De nouvelles dispositions pour protéger les données personnelles“, Florence Raynal, Chef du service des affaires européennes et internationales CNIL, parle du défi que représente l’enjeu économique de la réglementation : “L’économie numérique revêt une importance croissante pour les acteurs économiques et les États. Les données personnelles sont décrites comme son « carburant » et un intense lobbying des entreprises fait valoir que le législateur ne doit pas entraver le potentiel de l’économie numérique, voire la reprise économique. Les entreprises mesurent aussi l’importance stratégique, en terme de compétitivité, d’une approche responsable des données personnelles.

Le RGPD représente donc à la fois un instrument inespéré de retour à la liberté individuelle, au choix de l’anonymat, certains cinéphiles parleraient d’une extraction de la matrice, et un fabuleux cas d’application de RSE (Responsabilité Sociétale de l’Entreprise), éthique, comme avantage concurrentiel.

Le pessimiste se désole devant la contrainte ; il doit analyser ses process, les revoir, les modifier, adapter son Système d’Information et former ses équipes…

L’optimiste regarde, au-delà, le champs des opportunités ; une pierre à l’édifice d’une ère de liberté retrouvée, un avantage concurrentiel à communiquer, une image éthique, un gage de confiance.