6 & 7 mars 2017 • Palais des Congrès

GDPR : au-delà des contraintes, des perspectives favorables aux entreprises et aux individus

 

retour au sommaire

Adopté par la Commission européenne en 2016, le règlement GDPR, ou règlement général européen sur la protection des données, entrera en vigueur en mai 2018. Évolution de la directive de 1995, ce texte jette les bases de la protection des données personnelles.

 

L'un des aspects fondamentaux du GDPR est la définition du concept de données personnelles : il s'agit des données permettant d’identifier un individu, directement ou indirectement. Autrement dit, les adresses IP ou les données de géolocalisation seront également concernées. Cette définition devrait encore s'élargir avec le temps.

Celle-ci donne le ton de la nouvelle législation où les données sont considérées comme des ressources de valeur pour lesquelles les réglementations se durcissent. Et va de pair avec les tendances technologiques actuelles : cloud computing, réseaux sociaux, mobilité ou Internet des objets, où la collecte et l’analyse des données deviennent des facteurs de différenciation stratégiques.

 

        

 

Quatre axes de changement

Si la législation actuelle a jeté les fondements de la protection des données, le GDPR s'apprête à bâtir au-dessus un solide édifice. Ces dernières années ont été marquées par différentes évolutions en matière de protection des données personnelles (notamment l'invalidation du « Safe Harbor »). Cette nouvelle réglementation suscite beaucoup d'interrogations, ce qui, selon moi, n’est pas justifié. Les règles sont désormais plus strictes, mais les principes de base sont les mêmes depuis de nombreuses années.

 

Je vois quatre éléments fondamentaux qui vont changer avec le GDPR :

1. Renforcement des contrôles

Les contrôles vont se durcir. Les autorités chargées de la protection des données auront plus de moyens et uniront leurs efforts au sein d'un nouveau comité paneuropéen pour poser de nouvelles contraintes. Les amendes seront telles — jusqu'à 4 % du chiffre d'affaires annuel mondial des entreprises — que celles-ci seront forcément sur leurs gardes. Ce n’est peut-être pas le principal motif de mise en conformité, mais c’est une bonne raison de faire preuve de vigilance.

« Alors que la législation sur la protection des données personnelles ne figurait pas parmi les 10 préoccupations majeures des entreprises il y a encore cinq ans, elle occupe aujourd'hui la première place. »

 

2. Responsabilisation des entreprises

Le GDPR responsabilise les entreprises vis-à-vis de la protection des données personnelles, et la charge de la preuve leur incombera. La procédure actuelle d'obtention de l'autorisation de traiter les données est relativement formalisée : quel type de données traitez-vous ? Les communiquez-vous à des tiers ? À l'avenir, il s’agira plus de montrer comment les processus métier sont organisés que d'obtenir une autorisation de façon formelle. Il sera par conséquent utile d’avoir en interne ou en externe une personne au fait de la protection des données personnelles, qui saura comment opérer les changements nécessaires et appliquer la loi.

 

3. « Privacy-by-design »

Chaque entreprise devra se livrer à un exercice de cartographie des flux de données. L’ensemble des collaborateurs seront impliqués car le concept de protection de la vie privée dès la conception (« privacy-by-design ») exige que tous les services se penchent sur leurs données et leur traitement.

Avec la nouvelle loi, l’idée est d’observer les données sous l’angle de leur confidentialité, du développement produit au client final en passant par la chaîne logistique. La plupart des entreprises disposent déjà d’un système capable d'identifier les données personnelles. La nouvelle loi les oblige à aller davantage dans le détail, et elles ont pour cela la chance de pouvoir disposer de solutions du marché. SAS est particulièrement bien placé pour aider ses clients à identifier et gérer les flux de données, et donc à se conformer au GDPR.

La notion de « privacy-by-design » présuppose aussi plus de transparence sur les données et leurs transferts, sans oublier le droit à l'oubli.

 

4. Priorité au client

Le nouveau règlement fait la part belle à l'individu. Par exemple, le droit à la portabilité des données prévoit que lorsque les clients souhaiteront changer de fournisseur de messagerie, ils pourront transférer l'ensemble de leurs données au nouveau prestataire. Les particuliers peuvent déjà demander la suppression de leurs données personnelles mais le GDPR instaure le fameux « droit à l'oubli ».

Le respect de la vie privée devient de plus en plus une considération commerciale. Il sera bientôt indispensable pour gagner la confiance du client et acquérir un avantage concurrentiel. Les clients accordent énormément d’importance à la confidentialité des données, et sont attachés à la simplicité et à la transparence des procédures pour faire valoir leurs droits.

 

Cap sur l’innovation

En marge de la révision de ces règles, des acteurs innovants font leur apparition sur le marché. Par exemple, Hoxton Analytics propose des « compteurs de personnes » aux commerçants qui souhaitent connaître leur clientèle sans enregistrer de données personnelles. Leur solution consiste en un sol intelligent qui recueille les images des chaussures des clients. Combinées à plusieurs couches d'apprentissage automatique et d'intelligence artificielle, ces images permettent de comptabiliser les individus, et plus surprenant, de les classer selon différentes catégories démographiques en fonction de leurs chaussures et de leur démarche.

Les pouvoirs de transformation de la numérisation sont indéniables, et d'autres innovations autour des données et du respect de la vie privée continueront de voir le jour.

 

« Comparé au secteur plus classique des services financiers, le secteur des données est clairement sous-réglementé. D'ici quelques années, il s’imposera, lui aussi, comme un marché mature bien réglementé. »

 

L'Europe est à l'avant-garde de la législation sur le respect de la vie privée. La directive de protection des données fait toutefois l’objet d’interprétations différentes selon les États membres. Au sein de l'Union européenne, le GDPR apportera plus de transparence et conduira à l'harmonisation des règles. À terme, cette harmonisation sera bénéfique pour les entreprises.

Vous pouvez souhaiter une approche et des réponses concrètes à vos projets et problématiques spécifiques : participez à notre séminaire (cliquez ici) du 28 mars.

Kalliopi SPYRIDAKI

Responsable de la stratégie pour

la protection des données personnelles pour l'Europe

 

SAS

 

i

n

s

c

r

i

p

t

i

o

n

 

 

retour au sommaire

 

réservez votre badge

inscrivez-vous en ligne pour participer à big data paris 2017

Contact

bigdata paris 2017 by

Simon Nicolas / Inscription Conférence

01 84 83 02 86

snicolas@corp-agency.com

BigData Paris est un congrès réalisé par Corp Agency, l’agence événementielle au service du grand public et des professionnels.