Codes de Conduite, un outil sectoriel de mise en conformité RGPD

La CNIL, dans le cadre de la Loi informatique et Liberté, a mis à disposition un certain nombre d’outils permettant de clarifier et de rendre opératoires les règles de protection sur les données personnelles.

Elle propose notamment « Les Packs Sectoriels », élaborés en concertation avec les acteurs d’un secteur d’activité. Ils ont pour objectif de définir et diffuser les bonnes pratiques pour un secteur d’activité donné, et de simplifier les démarches individuelles et formalités administratives des acteurs concernés.

La CNIL met actuellement en ligne 5 packs de conformité à la loi informatique et liberté, respectivement dans les secteurs :
–        ayant recours aux compteurs communicants (notamment l’énergie)
–        du logement social,
–        de l’assurance,
–        du véhicule connecté,
–        des Industries Électrique, Électronique et de Communication, à l’initiative de la FIEEC.

Des moyens mutualisés pour favoriser la mise en conformité continue

Des packs similaires, appelés Codes de Conduite, sont aussi prévus dans le cadre du RGPD.
Ainsi donc, afin de simplifier les démarches de leurs adhérents, les syndicats de métiers, les Ordres, ou tout autre groupement d’activité peuvent engager une réflexion/concertation pour la rédaction d’un Code de Conduite qui sera ensuite soumis pour approbation par la CNIL, et/ou au Comité Européen (pour une cohérence trans-nationale), avant diffusion aux membres.

Outre un rappel du cadre général de la protection des données à caractère personnel, ce Code de Conduite peut également apporter :
–        des règles et bonnes pratiques pour le secteur,
–        des modes opératoires et processus organisationnels,
–        des mesures de simplification des formalités applicables au secteur,
–        des guides pratiques spécifiques,
–        des tests de vérification de conformité à la loi
–        …

La CNIL a bien à l’esprit que la mise en conformité RGPD peut représenter un effort non négligeable de la part des entreprises. C’est dans ce sens qu’elle propose d’alléger / faciliter la démarche avec ces outils spécifiques .

Certaines organisations professionnelles ont déjà publié des guides pratiquesde mise en conformité RGPD pour leurs adhérents, comme par exemple, l’ordre des avocats (voir notre article sur le sujet).
Pour aller plus loin, des codes de conduites seront élaborés dans les prochains mois en concertation entre la CNIL et les organisations professionnelles, reste à savoir quelles organisations se lanceront les premières.
D’ici là, si vous faites partie d’un secteur ayant déjà un pack, utilisez-le dans votre démarche RGPD, cela vous aidera beaucoup.

L’objectif du règlement n’est pas de contraindre davantage les organisations, mais bien de faire prendre conscience à tout un chacun de l’importance, après des années d’hyper-utilisation des données personnelles à des fins parfois malintentionnées, de revenir à un usage mesuré, juste et limité, qui laisse à chaque individu la main sur ce qui le concerne.

  • Vous faites partie d’un groupement professionnel ?
  • Vous souhaitez connaitre les conditions de mise en œuvre d’un Code de Conduite dans votre secteur d’activité ?
  • Vous souhaitez savoir si votre profession a déjà un guide d’aide à la mise en conformité ou s’il est en cours de réflexion / élaboration ?

Contactez-nous !

RGPD, un vent de liberté

Dans les années 90, Internet, fabuleuse toile étirée aux 5 continents, révolutionne l’échange et le partage d’informations. Particuliers et entreprises s’y engouffrent, déversant et recueillant des milliards d’octets de données personnelles, à usage personnel et/ou professionnel, à travers des réseaux sociaux, des formulaires de contacts, des achats en ligne, ou de simples clics…

A partir de quel moment ce phénomène est-il devenu intrusif, chronophage, épieur, ingérant ? Nous ne nous sommes pas forcément aperçus que nous étions devenus des produits, nous n’avons pas vu le mal à livrer des informations sur nos habitudes de consommation, nos loisirs, notre famille, nos amis
Et pour cause, nous servons sur le moment un intérêt que nous croyons être le nôtre.
Au fil du temps, combien de formulaires avons nous remplis consciencieusement, à combien d’enquêtes ou d’études avons nous répondu, livrant une certaine intimité, nous mettant à nu ?
Combien d’entre nous, sur le moment, se sont questionnés sur la valorisation potentielle de ces données personnelles, livrées délibérément ?

20 ans et quelques plus tard, à titre individuel, sais-je précisément quelles informations circulent, de base de données en base de données, sur mon compte ?
Ai-je, à un moment, eu la maîtrise de l’utilisation qui pourrait en être faite ?
M’a-t-on déjà donné l’opportunité d’avoir “la main dessus” pour les rectifier, voire les supprimer du domaine public ?

La loi Informatique et Libertés (1978), a été très tôt une référence (et oui….mondiale même) pour la protection des individus et de leurs données personnelles. Le RGPD harmonise aujourd’hui et au niveau européen cette protection nécessaire, compte tenu de l’apparition de technologies numériques qui demandent un nouveau cadre réglementaire, et qui ont ouvert la voie de l’utilisation de données personnelles à des fins de sélection de profils (RH, Couvertures d’assurance,…), de rejet automatisé (CSP, prêt, emplois…), de discrimination (analyse des prénoms, lieux de vies, signes religieux…) ou de ciblage marketing. Il faut dire que, paradoxalement, cette dernière application, d’un point de vue commercial, s’avère extrêmement performante : Dans un article de 2015, les Echos déclaraient que “D’après une étude […], le fait de s’adresser personnellement à son destinataire et de s’adapter à ses habitudes déclencherait une intention d’achat pour 76 % des Français et même de réachat pour 34 % d’entre eux.

Alors, intérêt pour l’hyper personnalisation et/ou protection de la vie privée ?

Le RGPD, sans pour autant freiner le potentiel que représente l’économie numérique*, impose un cadre qui vise à responsabiliser les entreprises au regard des données personnelles qu’elles collectent/détiennent et leur utilisation. Il redonne la main aux individus sur leurs données personnelles afin qu’ils décident :

  • de les livrer dans un but strictement précis
  • de les rectifier/faire rectifier, s’ils le souhaitent
  • d’en demander la portabilité
  • de les faire disparaître définitivement à tout moment

*Dans son article “De nouvelles dispositions pour protéger les données personnelles“, Florence Raynal, Chef du service des affaires européennes et internationales CNIL, parle du défi que représente l’enjeu économique de la réglementation : “L’économie numérique revêt une importance croissante pour les acteurs économiques et les États. Les données personnelles sont décrites comme son « carburant » et un intense lobbying des entreprises fait valoir que le législateur ne doit pas entraver le potentiel de l’économie numérique, voire la reprise économique. Les entreprises mesurent aussi l’importance stratégique, en terme de compétitivité, d’une approche responsable des données personnelles.

Le RGPD représente donc à la fois un instrument inespéré de retour à la liberté individuelle, au choix de l’anonymat, certains cinéphiles parleraient d’une extraction de la matrice, et un fabuleux cas d’application de RSE (Responsabilité Sociétale de l’Entreprise), éthique, comme avantage concurrentiel.

Le pessimiste se désole devant la contrainte ; il doit analyser ses process, les revoir, les modifier, adapter son Système d’Information et former ses équipes…

L’optimiste regarde, au-delà, le champs des opportunités ; une pierre à l’édifice d’une ère de liberté retrouvée, un avantage concurrentiel à communiquer, une image éthique, un gage de confiance.