Le RGPD, rentrera en vigueur dans moins de 2 mois. Dans un contexte tendu et marqué par le récent scandale auquel doit faire face Facebook, la protection des données semble plus que cruciale. Face à la complexité du sujet, plusieurs questions se posent: la mise en application de la loi, les ressources nécessaires pour le faire, les contraintes que cela impose… Et même si les Français se disent plutôt concernés par la collecte et l’usage de leurs données personnelles, cette crainte reste malgré tout relative. Entre fausse inquiétude, méconnaissance du sujet et réels enjeux, il est temps de faire le point sur le RGPD.
RGPD: petit rappel
Le RGPD n’est plus ni moins qu’un renforcement du texte de Loi informatique et libertés du 6 janvier 1978 qui réglemente la liberté de traitement des données personnelles et garantit aux personnes fichées:
– un droit d’accès
– un droit d’opposition
– un droit de rectification
– un droit à l’effacement
Le RGPD vient ajouter deux droit supplémentaires:
– un droit à la limitation
– un droit à la portabilité
Le projet de loi vise à :
– mettre en conformité des dispositions nationales avec le droit de l’Union européenne en matière de protection des données personnelles, en particulier avec le règlement général sur la protection des données (RGPD) du 27 avril 2016 qui a pour objectifs de renforcer les droits des personnes physiques, de responsabiliser tous les acteurs traitant des données et de crédibiliser la régulation ;
– tirer parti des marges de manœuvre ménagées par le droit de l’Union européenne, notamment en maintenant des régimes spécifiques ;
– transposer la directive européenne relative aux traitements mis en œuvre en matière policière et judiciaire.
Après l’Assemblée Nationale, le RGPD a été récemment examiné au Sénat. Sur le rapport de la sénatrice Union Centriste Sophie Joissains, la commission des lois a adopté des amendements visant à :
– mieux accompagner les petites structures, TPE-PME et collectivités territoriales, dans la mise en œuvre de leurs nouvelles obligations ;
– encadrer strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, et renforcer les garanties de transparence en la matière, par exemple pour les inscriptions à l’université ;
– préciser le cadre juridique de la mise à disposition des décisions de justice (« open data ») afin de prévenir tout risque d’atteinte à la vie privée des personnes et à l’indépendance de la justice ;
– s’assurer que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée.
Le RGPD en 5 étapes
Afin de se mettre en conformité avec le RGPD, voici les 5 étapes à mettre en oeuvre pour une entreprise:
– Nommer un DPO (Data protection Officer)…
Il s’agit d’incarner le RGPD en interne. Alliant des compétences juridiques et techniques, le DPO est rattaché directement auprès de la direction générale, et devra délivrer ses recommandations aux métiers, même si elles vont à l’encontre du business.
Souvent c’est l’ancien Correspondant informatique & libertés qui incarne cette position et doit donc changer d’intitulé de poste ou monter en compétences.
Faute de ressource humaine interne, l’entreprise pourra soit le recruter en externe (tout en sachant que ce type de profil est rare) ou externaliser dans le cas des PME auprès de prestataires spécialisés (avocat, consultant…)
– Sensibiliser l’ensemble de l’entreprise au sujet des données à caractère personnel, et la prise en compte de l’aspect éthique de la question, en identifiant clairement les traitements déjà en place.
– Mettre en place une documentation, afin d’être en mesure de prouver en cas de contrôle que l’entreprise est en train de se mettre en conformité avec la nouvelle réglementation. Cette documentation doit être mise en place au fur et à mesure.
– Prévoir des questionnaires de réception de données adaptés à cette réglementation. Car avant de protéger les données, il faut vérifier qu’on a eu l’autorisation explicite de les recueillir. En particulier avec l’e-mail marketing qui représente une part importante du e-commerce. Le consentement devra être obtenu grâce à une « action claire et affirmative » de la part de la personne concernée.
L’entreprise devra également expliquer quelles informations seront collectées ainsi que les raisons pour lesquelles elles sont nécessaires au traitement. Les personnes concernées doivent également avoir la possibilité de retirer leur consentement.
– Établir une stratégie claire en cas d’incident. Pour faire face à l’obligation d’information des autorités dans les 72 heures de toute fuite de donnée personnelle, il faut organiser le processus nécessaire à cette déclaration, et souscrire éventuellement une assurance destinée à couvrir les cyberattaques, et ses conséquences financières.
Les Français face au RGPD
Des français relativement inquiets
Bien que les Français se déclarent en majorité concernés par la collecte et l’usage de leurs données personnelles, ils considèrent néanmoins que le RGPD représente une réelle opportunité pour les organisations de faire gage de confiance. Cette inquiétude est d’ailleurs relative puisque seulement 28% des personnes interrogées se disent très soucieux de l’usage de leurs données personnelles, selon un récent sondage réalisé par l’Ifop pour l’éditeur d’une solution SaaS de marketing relationnel SendinBlue.
Un sujet générationnel
Toujours selon cette étude, on constate que la génération des 18/24, nativement digitale, est la moins réfractaire sur l’éventuel usage de ses données personnelles.
Ce clivage générationnel se creuse également à d’autres niveaux:
– 45% des millenials se préoccupent de l’usage des données personnelles ou de l’ensemble des actions réalisées sur – – 64% des 65 ans et plus, moins familiers à Internet, expriment une forte inquiétude quant à la confidentialité des informations qu’ils transmettent en ligne.
– les 35/49 ans se montrent les plus soucieux du devenir de leurs données personnelles, lorsqu’ils achètent un bien ou un service (billets de spectacle, vêtements…). Ce résultat pourrait s’expliquer par leur pouvoir d’achat plus élevé et doncun usage plus fort d’Internet dans l’acte d’achat.
Des Français relativement sensibilisés
Bien que les entreprises se soient emparées du sujet RGPD, le grand public est quant à lui moins avisé de ses futurs droits et obligations.
En effet on constate une méconnaissance du contenu exact du dispositif bien que un quart des personnes interrogées en ait entendu parlé. Il s’agit en particulier des droits dont ils disposent concernant leurs informations personnelles :
– 61% des personnes interrogées déclarent avoir connaissance de ces droits
– mais seulement 23% disent comprendre précisement ce point
– 21% d’entre eux sont capables d’expliquer le droit d’opposition à certains usages des données
Le droit à la portabilité surtout reste le point le moins connu pour 55% des Français.
Mais on constate surtout un manque de conviction à l’égard du RGPD:
– 63% avouent ne pas être convaincus par l’impact que le RGPD aura sur la protection effective de leurs données
– 78% des personnes interrogées pensent que le RGPD profitera essentiellement aux entreprises
– 8 Français sur 10 pensent que la vigilance personnelle reste plus efficace qu’une loi
Protection des données: que nous révèle le scandale Facebook?
Afin de bien comprendre l’affaire qui éclabousse le géant Facebook et l’impact qu’elle représente, rappelons tout d’abord les faits. Pour cela, il faut remonter à l’année 2014, à l’université de Cambridge.
Au sein du Centre psychométrique de l’université, des chercheurs développe un protocole pour comprendre le profil psychologique d’un utilisateur en se basant sur son activité sur Facebook et notamment sur ses « likes ».
Cambridge Analytica, cabinet londonien spécialisé dans les études de consommation et d’opinion politique, s’intéresse à ces recherches et cette technique. Le cabinet se rapproche du centre pour travailler avec les chercheurs mais ces derniers refusent, à l’exception du Dr Aleksandr Kogan, professeur en psychologie de l’université, le russo-américain.
Maîtrisant les techniques de ses confrères, Dr Aleksandr Kogan lance en juin 2014 l’application “ThisIsYourDigitalLife” dont le principe est de payer des utilisateurs pour remplir des tests psychlogiques en accédant à leurs données Facebook. Le professeur déclare auprès du réseau social qu’il collecte ces données pour ses travaux de recherche. En apparence rien d’illégal donc.
En apparence du moins… puisque Aleksandr Kogan revend en réalité ces données à Cambridge Analytica, et ce pour une somme approximative d’un million de dollars, selon le journal britannique The Observer qui s’est procuré les contrats.
Ainsi, c’est près de 270 000 personnes qui ont téléchargé l’application ThisIsYourDigitalLife en pensant participer à une étude universitaire. Mais la démarche va bien plus loin puisque les données des amis Facebook des utilisateurs sont aussi collectées sans que ces derniers ne soient informés. On parle alors de plus de 50 millions de profils ainsi récupérés illégallement par le cabinet londonien entre 2014 et 2015. Cette faille (et non un piratage) représente une des plus importantes collectes illégales de données dans l’histoire de Facebook.
Le professeur Aleksandr Kogan a donc profité d’une faille dans le protocole de sécurité de Facebook de l’époque. Ce n’est qu’en avril 2015 seulement que le géant met en place une restriction d’accès aux données pour les développeurs. Restriction qui s’applique notamment aux « social graph » qui donnaient accès aux profils des amis des utilisateurs qui s’inscrivaient sur des applications tierces.
L’affaire a donc éclaté le 17 mars dernier suite aux révélations des médias anglo-saxons le New York Times et le Guardian. Grâce au travail d’enquête mené par ces derniers et l’aide de Christopher Wylie, le lanceur d’alerte et ex salarié de Cambridge Analytica, c’est un scandale d’une ampleur considérable qui a été dévoilé. Un scandale dont Facebook va devoir se justifier auprès des 50 millions de personnes dont les données ont été collectées par la firme britannique sans leur consentement.
Afin d’anticiper la polémique, le géant américain décide de publier, la veille de la révélation, un communiqué dans lequel il annonce la suspension de Cambridge Analytica de sa plate-forme.
Le scandale ainsi dévoilé, l’impact a été considérable et ce à plusieurs niveaux:
– financier
La sanction a été dure sur le marché boursier puisqu’en une séance, le lundi suivant les révélations, son action s’est effondrée de 6,77 %. Par effet de ricochet, les autres valeurs technologiques ont également reculé: Alphabet /Google (-3,16%), Snap (-3,4%) ou encore Twitter (-1,7%). En quelques jours, la capitalisation boursière de Facebook diminue de près de 60 milliards de dollars. Mécaniquement, la fortune de Mark Zuckerberg a reculé de… près de 5 milliards de dollars !
– politique
Au Royaume Uni, Cambridge Analytica est accusé d’avoir agi dans la campagne du Brexit, ce qu’elle dément.
Une commission parlementaire a officiellement convoqué Mark Zuckerberg pour obtenir des explications. De même, l’ICO (Information Commissioner’s Office), l’équivalent de notre CNIL, souhaite mener sa propre enquête en allant récupérer des informations sur les serveurs de Cambridge Analytica, basée sur place. Facebook a d’ailleurs été sommé d’arrêter son enquête interne car elle pourrait compromettre celle de l’instance régulatrice.
En Europe, le président du Parlement européen, Antonio Tajani, a également invité Mark Zuckerberg a venir s’expliquer.
Aux États-Unis, les 50 millions de profils Facebook aspirés venant principalement des États-Unis, l’affaire a pris sur place un tournant judiciaire. Les procureurs des états de New-York et du Massachusetts ont lancé une enquête. Par ailleurs, le régulateur américain du commerce, la Federal Trade Commission (FTC), a également ouvert une enquête à l’encontre du réseau social. Selon le Washington Post, Facebook devrait écoper d’une grosse amende si les faits sont vérifiés.
– en interne
Cette crise n’a pas épargné le staff Facebook et en particulier au sommet de la hiérarchie où de vives tensions ont éclaté…
Selon le New York Times, Alex Stamos, le chef de la sécurité de Facebook, aurait annoncé son départ. Mais, pour assurer la transition dans ses dossiers et ne pas aggraver la situation actuelle, celui-ci ne serait effectif qu’au mois d’août. Sur Twitter, il a indiqué que “malgré les rumeurs, il était toujours pleinement engagé dans son travail chez Facebook”.
– image de marque
L’image de Facebook est sérieusement écornée suite aux révélations et la communication opérée par la firme américaine. Le contrat de confiance avec ses utilisateurs a été rompu selon certains investisseurs. Une confiance bien entamée puisque certains utilisateurs ont lancé une campagne virale sur Twitter avec le hastag #DeleteFacebook (Supprimer Facebook). Parmi ceux-ci, Brian Acton, le co-fondateur de WhatsApp, l’application rachetée en 2014 par… Facebook !
Pour en savoir plus sur la protection des données dans le cadre du RGPD, rendez-vous sur le site de la CNIL.
Pingback: Digital : les 7 infos de la semaine à retenir | ARCA Computing()
Pingback: Comment replacer le magasin au cœur du parcours client ? | ARCA Computing()