Suite et fin du premier article « Rétrospective 2018 » et du deuxième « Rétrospective 2018 / LF2016 ».
La réglementation européenne sur la protection des données personnelles est entrée en vigueur le 25 mai 2018.
Les grandes entreprises n’ont pas attendu le 25 mai pour se préparer. Par contre, nombre de TPE, de PME, d’associations ou de collectivités ne sont pas encore prêtes ou mêmes sensibilisées à l’heure où j’écris ces lignes.
Les données personnelles
La notion de "donnée personnelle" est très large. Cela recouvre n’importe quel élément permettant d’identifier une personne physique. Entre dans le champ les noms, les numéros de sécurité sociale mais aussi les adresses internet (IP), les emails, numéros de téléphones, photos, données biométriques, etc...
Ainsi, une simple lettre d’information recueille des informations personnelles (l’adresse de courriel) et est impactée par la loi.
Pourquoi la RGPD
La loi est issue d’une volonté d’harmoniser les règles au sein de l’Europe. Il s’agit de faire face à l’appétit grandissant des multinationales pour nos données.
Depuis les révélation d’Edward Snowden [1], il est évident que nos données peuvent connaître un usage différent de celui qui prévu lors de la collecte.
La RGPD est là pour responsabiliser les acteurs qui collectent et traitent les données. Elle limite les transferts en dehors de l’Union Européenne.
Qui est concerné
Cette loi concerne toutes les entreprises, y compris celles qui n’emploient pas d’outils numériques.
Exemple fictif : un psychologue reçoit des mineurs en consultation. Il prend des notes sur des fiches papier nominatives. A la fin de sa journée, il classe ses notes et les stocke dans une sacoche. Cette sacoche l’accompagne dans ses déplacements.
Manque de chance, lors de sa pause déjeuner, il oublie la sacoche dans le restaurant qu’il fréquente régulièrement. La sacoche n’a pas été retrouvée après son départ, les dossiers se retrouvent dans d’autres mains...
Non seulement le psychologue devra avertir toute sa patientèle de la fuite de données, mais il devra potentiellement répondre de sa négligence (maque de confidentialité, manque de protection, informations sensibles sur un public mineur). On n’aimerait pas se trouver à sa place.
Les réactions face à cette loi
L’apparition d’un élément aussi impactant entraîne son lot de conséquences plus ou moins rationnelles. Les entreprises de conseil utilisent le filon et répandent des messages anxiogènes. Des entrepreneurs sont dans le déni (je ne suis pas concerné, je m’en fiche). D’autres poursuivent sans prendre le temps de la réflexion (on verra bien). D’autres encore critiquent ces contraintes nouvelles qui vont ralentir le business. Enfin, certains craignent que le ciel ne leur tombe sur la tête et commencent à écrire des conditions générales et des clauses de confidentialités à n’en plus finir.
L’avis de rue Béjo
Il faut raison garder et cette nouvelle loi a le mérite de nous obliger à avoir un regard respectueux envers des éléments qui ne nous appartiennent pas : les données de nos clients.
Voici quelques pistes...
Faire le point sur les données personnelles et les process associés
Êtes-vous sûr de connaître l’étendue de vos fichiers contenant des données personnelles ? Utilisez-vous le cloud ? Est-ce que vos fichiers sont stockés en dehors de l’UE (Goggle drive et autres). Stockez-vous des informations sensibles ?
Revoir les pratiques de collecte
Une donnée qui n’est pas collectée n’a pas a être protégée. C’est une règle simple et efficace. Ainsi, faites la chasse aux champs inutiles, aux statistiques inutiles.
Si vous collectez, informez la personne et recueillez en même temps le consentement.
Quelques exemples :
- une lettre d’information n’a besoin que d’une adresse de courriel pour fonctionner. La collecte d’informations supplémentaires peut être considérée comme abusive. Utilisez le double "opt-in" pour inscrire les destinataires.
- enlevez les statistiques intrusives de vos sites internet (ex : Google Analytics) si vous n’avez pas besoin d’une analyse précise de l’audience. Un outil non intrusif sera largement suffisant (ex : statistiques de fréquentation du CMS SPIP). Si vous utilisez Google Analytics, rendez les IP anonymes
- limitez les champs obligatoires au strict minimum qui vous permettra de traiter la demande
Protégez vos données
Ne laissez pas vos données à la portée du premier venu. Cela veut dire fiabiliser le stockage (sauvegardes) et protéger l’accès (chiffrage ou cryptage si vous préférez).