@DPO_News @cyberisques @jpbichard #GDPR : La face cachée du GDPR

SAS Event Paris La Defense 28 février 2017

 

La face cachée du GDPR

 

 

par Jean Philippe Bichard  @DPO_NEWS

Phot-JPB-DPO NEWS

 

 

Derniere mise à jour: 3 mars 2017

 

Plus que 450 jours pour réaliser le « data ménage » exigé par le GDPR dans les données personnelles détenues et traitées par les organisations et leurs sous-traitants. GDPR : une approche de conformité ? Oui mais pas seulement. État des lieux avec les experts réunis par SaS à l'occasion d'une table ronde sur le GDPR (règlement européen pour la protection des données à caractère personnel) et les non-dits du règlement EUR.

 

Kalliopi Spyridaki est Chief Privacy Strategist pour l'éditeur SaS en Europe. Sa présentation lors de la conférence dans un hôtel parisien à moins de 450 jours de la mise en application du GDPR prend une tournure intéressante. De la phase « d'évangilisation » on passe à la mise en place de projets GDPR en mode « urgence ». D'autres invités a la table ronde qui a suivi sa présentation s'accordent pour penser que la majorité des organisations ne seront pas « prêtes » pour la date butoir de mai 2018 ; Mais que signifie être prêt lorsqu'on évoque le GDPR ? Bonne question et ce n est pas la seule.

 

Certaines organisations réfléchissent à supprimer toutes les données a caractères personnelles hors production

 

Une certitude : à moins de 450 jours du « top départ » de la mise en application du RGPD - autre acronyme du règlement EUR - les entreprises et certainement pas plus la CNIL autorité officielle en France ne seront « ready ». Les premières pour mettre en place leurs projets de conformité, la seconde pour « contrôler les DPO » avec l'ensemble des « forces » nécessaires à cette nouvelle mission (la CNIL pourrait faire appel a des organisations externes pour réaliser ces missions). 

Mais restons positifs. Pour SAS éditeur de solutions analytiques et predictives le GDPR « permet aussi de ranger les placards ». Comprenez selon plusieurs études 70% des données ne sont plus utilisées par les SI actuels. Le GDPR sous d'apparentes contraintes pourrait réaliser le « data ménage » souhaité mais jamais effectué par toutes les organisations. Certaines organisations réfléchissent à supprimer toutes les données a caractères personnelles hors production. Un projet parallèle sorte de "data clean" qui pourrait constituer un avantage concurrentiel certain pour les entreprises qui réussiront ce tour de force (lire notre lien en section BONUS en fin d'article).

 

SaS-EVENT-28-FEV-2017

 

Nettoyage mais aussi innovation avec de nouvelles applications « privacy by design » qui garantiront le respect de la vie privée aux clients dans leur "conception". Pour Kalliopi Spyridaki le nouveau règlement européen sur la protection des données personnelles constituent un « plus » pour les entreprises qui sauront marier le GDPR avec une stratégie de "data gouvernance" tournée vers leurs clients, sous-traitants et partenaires.

 

Le GDPR concerne les traitements autant que les données personnelles

En matière d'innovation, si le client a donné son consentement, via les nouvelles exigences du GDPR, il sera possible de rapprocher, traiter et croiser certaines données personnelles en toutes légalité. Du coup, les premiers conformes seront les premiers avantagés auprès des clients. « Si l'on prend comme exemple le comportement de consommateurs via leur marche et leurs traces de pas filmées, ces dernières ne constituent pas une donnée personnelle mais leurs traces associées à des caméras qui géolocalisent le déplacement de clients dans l'ensemble des espaces d'un centre commercial, constituent une innovation en terme de service pour l'organisation qui en sera à l'origine » explique la Chief Privacy Strategist de SaS. Toutefois précise t-elle, « une nécessaire transparence s'impose afin de créer la confiance avec les consommateurs, c'est seulement dans ses conditions que de tels traitements pourront désormais exister dans le cadre défini par la GDPR ». En gros la peinture demeure la m^me mais on ajoute un cadre. La GDPR de par les sanctions encourues devrait mettre fin aux pratiques de « contournement » des consentements des consommateurs par défaut. Si je perds plus que je ne gagne à cause des sanctions financières alors je deviens de facto "compliance GDPR"' ? Pas si simple surtout pour les organisations en mode GAFA. 

En effet, le consommateur voit avec la mise en place de la GDPR un certain nombre de droits nouveaux lui revenir : droit d’accès à l'effacement, le « fameux » droit à l'oubli, droit à la portabilité, droit à retirer son consentement, droit à s'opposer au profilage.... Des droits qui ne conviennent pas aux GAFA et notamment à Google bien que cet acteur ne soit pas le moins ouvert à des négociations avec l'Europe sur les conditions de mise en œuvre du GDPR.

Si les sanctions financières exigées se montrent largement supérieures aux gains réalisés en "oubliant" la législation, le GDPR pourrait s'imposer. Ce texte de 200 pages et 99 articles prévu pour protéger les consommateurs peut encourager des "class action" autrement dit des actions groupées de consommateurs mécontents du traitement réservé à leurs données à caractère personnel.

Toutefois, il est aisé d'imaginer en coulisses des négociations entre certains grands acteurs non européens mais très impliqués par le traitement de données de... citoyens européens (Amazon, Apple, Microsoft, Google, Facebook, IBM...) et des autorités nationales en Europe. Enjeux : les sanctions financières pouvant atteindre 4% du CA en cas de manquement aux règles du GDPR mais aussi... des milliers d'emplois créés par ces acteurs en Europe.

Dernier point, en passant du mode déclaratif actuel au mode "accountability" (responsabilités  et sanctions) le GDPR forme un socle sur lequel pourront venir s'appuyer des législations nationales qui préciseront les modalités "d'adaptation" du texte Européen dans chaque pays de l'Union.  Les Etats-Membres comme le précise l'article 23 du GDPR peuvent en effet prévoir des "exceptions" et des "modifications" au texte européen.

 

Abonnemnt-2017

 

Autre facette peu mise en lumière du GDPR, si des droits nouveaux sont accordés, bon nombre d'acteurs à commencer par les entreprises s'interrogent sur les conditions qui encadrent ces droits. Ainsi, la notion de « techniquement faisable » édictée par des juristes dans le GDPR laisse perplexe les ingénieurs. D'autres "interprétations" existent comme "un traitement à grande échelle"... qui commence où par exemple ? Faut il comprendre qu'il s'agit des traitements "métiers" les plus utilisés ?  (Lire notre article réservé aux abonnés de DPO_NEWS:  GDPR: 15 questions essentielles que se posent les DPO

N'oublions pas que si le GDPR réglemente les usages et les traitements des données à caractère personnel il ne les interdit pas. Pour Vincent Rejany, EMEA Data Management Pre-Sales Manager SaS « en tout challenge réside une opportunité » (dixit Einstein). Pour lui le GDPR permet de recadrer les éventuelles dérives. Certaines sont totalement involontaires. Il cite le commentaire d'une force commerciale dans un CRM : « mon client sera absent à notre réunion, il va se faire opérer d'un cancer » Ce commentaire relève dans l'esprit du GDPR d'une violation de la vie privée via la publication de données à caractère personnel. Mais pour l'auteur, il s'agit simplement d'une information diffusée en interne sans souci de malveillance.

C'est pour ces raisons que les concepts d'anonymisation et de pseudonymization (voir BONUS) existent dans le GDPR en plus des audits d'impacts. Pour l'éditeur SaS, le volet technique utile pour déceler, identifier et cartographier les contenus à caractère personnel ne nécessite pas de nouveaux outils. Les offres de type SaS Entreprise Gouvernance, SaS Data Management et Sas federative server répondraient aux nouvelles exigences contenues dans le GDPR selon SaS. Sur ce point le débat est ouverts (cf : @DPO_NEWS http://bit.ly/2l05X3b)

Indépendamment des outils des priorités existent pour se mettre « rapidement » en conformité. Première choses définir les process les plus urgents (cf : http://bit.ly/2kFWYjI) « Ce qui compte indique Me Clémentine Richard du Cabinet Aramis, « c'est l'intention et pouvoir démontrer voire prouver de la part des entreprises qu'elles effectuent la bonne démarche pour se trouver en conformité ». Une précision: les cabinets d'avocats sentent de réelles opportunité dans l'obligation renfermée dans le GDPR de faire appel aux services d'un DPO. DPO qui peut être une équipe. Une équipe qui peut être externalisée. Mais le texte européen prevoit également que ce ou ces DPO doivent "toujours êtres joignables par les utilisateurs à n'importe quelle période". "DPO as a service" pour "Avocats as a Service" ?  les prétendants s'alignent sur la ligne de départ. Marché immense que celui du "DPO as a service" estimé à plusieurs millions d'euros (Lire notre article "GDPR: tres chères datas" @DPO_NEWS pour nos abonnés). On estime à pres de 24 000 les "nouveaux" postes DPO.   

Une approche approuvée par Laurent Zeitoun (Novencia) et Nuvin Goonmeter (Ernst&Young) qui chacun déclinent les « dessous » d'une approche GDPR.

.

@jpbichard

Suite de l'article réservée à nos abonné(e)s (reste à lire 75%.)

 

Au sujet de l'auteur: 

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

En plus de cyberisques  - gouvernance des risques IT -  il crée en 2016, @DPO_News média sur abonnement individuel consacré aux projets GDPR (organisationnel, technique, juridique, business) et à la veille stratégique pour les DPO (avec retour d'experience). 

En plus d'animations (avec compte-rendu) et d'enquêtes marché, Jean Philippe rédige à la demande de nombreux « white papers » études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

@cyberisques @jpbichard @DPO_NEWS

 

  

BONUS :

http://cyberisques.com/fr/component/search/?searchword=GDPR&searchphrase=all&Itemid=582

http://www.welivesecurity.com/2017/02/09/gdpr-good-bad-news-business/

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires