« La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental ». Voilà ce qu’affirme dans son premier paragraphe la Règlementation européenne sur la protection des données, plus connue sous son acronyme anglais « GDPR » (General Data Protection Regulation), qui est entrée en vigueur le 25 mai 2016 avec un délai de mise en conformité de deux ans. Ce corpus de 99 articles, dont l’objectif affiché est d’« harmoniser la protection […] des personnes physiques en ce qui concerne les activités de traitement et [d’] assurer le libre flux des données à caractère personnel entre les Etats membres », s’imposera alors à l’ensemble des entreprises et des organisations (établies ou non sur le sol européen) détenant des données personnelles de résidents européens, ou ciblant ces derniers.

Le règlement, qui sera directement applicable en l’état dans chaque pays de l’Union dès le 25 mai 2018, accentue certaines exigences en matière de gestion des données personnelles et en établit de nouvelles, le tout en dotant les autorités nationales (la CNIL dans le cas de la France) d’un plus grand pouvoir de sanction. En effet, les entreprises non conformes pourront dès lors se voir infliger des amendes administratives non négligeables, dont le montant pourra atteindre 20 millions d’euros ou 4% de leur chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu), contre 150.000€ précédemment (à noter que ce montant a d’ores et déjà été porté à 3 millions d’euros par la Loi pour une République numérique promulguée le 8 octobre dernier). Il faut d’ailleurs souligner que la directive prévoit la mise en place de mécanismes de certification dont on peut raisonnablement supposer qu’ils constitueront un passage obligé et un avantage concurrentiel indéniable dans un futur proche.

Parmi les exigences renforcées par le texte citons notamment :
– Des conditions de consentement renforcées (pour les mineurs par exemple) et l’obligation d’être en mesure de pouvoir apporter à tout moment la preuve du consentement en question (Articles 7 et 8).
– La réaffirmation du principe de « minimisation des données » selon lequel toutes les données collectées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (Article 5.1).
– Le droit d’accès d’une personne à une image des données la concernant à un instant T (exigence de transparence – Article 15).
– Le droit d’opposition (Article 21), le droit à la limitation du traitement (Article 18) et le droit à l’effacement ou droit à l’oubli « dans les meilleurs délais » (Article 17).

Mais la GDPR introduit également de nouvelles exigences comme :

– L’interdiction – sauf dans des cas bien précis – de procéder à des traitements révélant les origines, les opinions, l’état de santé, l’orientation sexuelle, le casier judiciaire ou l’appartenance des personnes à un groupe politique, syndical ou religieux (Articles 9 et 10).
– L’obligation de notifier les personnes concernées en cas de rectification, d’effacement ou de violation de leurs données dans un délai de 72 heures (Article 19).
– Le droit à la portabilité des données – également réaffirmé en France dans la Loi pour une République numérique – qui doit permettre à une personne de recevoir les données la concernant dans « un format structuré, couramment utilisé et lisible par machine », notamment en vue d’une transmission à un autre tiers (Article 20).
– Le principe du « privacy by design » qui impose d’aborder les problématiques et enjeux de protection des données bien en amont des projets, et par défaut (Article 25).
– L’obligation de conduire une analyse d’impact et de risques (PIA), notamment pour les traitements de données à grande échelle ou de type profilage (Article 35).
– L’établissement d’un registre exhaustif des activités de traitement pour les entreprises ou organisations de 250 salariés et plus (Article 30).
– La nomination d’un délégué à la protection des données (Data Protection Officer) (Articles 37-39).

Pour être en mesure de satisfaire de telles exigences vis-à-vis des personnes physiques et des autorités de contrôles, beaucoup d’entreprises vont devoir repenser l’architecture et les processus de leurs systèmes d’information, et se poser plus sérieusement encore que par le passé la question de la gouvernance de leurs données. La mise en place de référentiels de données maîtres (Master Data Management – MDM) permettant le rapprochement des données personnelles disséminées dans le système d’information en un point unique de vérité (« golden records »), assurant une gestion centralisée de leur cycle de vie (création, modification, suppression, anonymisation) et garantissant un contrôle de la propagation des données MDM au reste du système, apparaît dans cette optique tout à fait pertinente.

Que ce soit dans la mise en œuvre du droit à l’oubli, du droit d’accès aux données des personnes concernées, du droit à la portabilité (qui, rappelons-le, doivent être effectuées « dans les meilleurs délais ») ou encore dans la mise à disposition du registre des traitements, la centralisation et la fiabilisation des données apportées par la mise en place d’un référentiel MDM offriront aux entreprises qui s’en seront dotées des atouts certains. De plus, les solutions MDM sont le plus souvent couplées à des outils de data quality permettant d’assurer l’intégrité et la cohérence des données (par le biais d’algorithmes le dédoublonnage notamment), devenues indispensables avec la massification des données collectées et sans lesquelles répondre aux exigences de la GDPR aura tout d’une tâche herculéenne.

Cela étant, les entreprises auraient tort de ne voir dans la GDPR que des contraintes supplémentaires dont il faudra bon gré, mal gré, d’accommoder. Car il y a fort à parier qu’en faisant l’effort de repenser leur façon de gérer les données de leurs clients/usagers, en leur permettant de se les réapproprier et d’en garder le contrôle, plutôt que de donner le sentiment de les leur confisquer, ceux-ci seront plus enclins à les partager et, surtout, à fournir des données fiables à forte valeur ajoutée pour l’entreprise. La connaissance client, tant recherchée par les entreprises aujourd’hui, s’en trouvera dès lors améliorée. Il y a donc sans doute ici une belle opportunité pour les entreprises à réinventer leur rapport aux données personnelles et leur façon de présenter la collecte et l’utilisation des données aux clients, qui ne demandent en réalité, comme dans toute relation économique, qu’à comprendre en quoi cela leur sera profitable in fine. Comme l’affirme le texte, « le traitement des données à caractère personnel devrait être conçu pour servir l’humanité ». Ce n’est qu’à cette condition que les entreprises parviendront à lever les obstacles et vaincre les réticences qui freinent encore la digitalisation de nos économies.

Instaurer un climat de confiance entre les personnes et les entreprises sur le terrain des données personnelles, voilà probablement le meilleur retour sur investissement qu’obtiendront les entreprises qui anticiperont dès maintenant le tournant induit par la GDPR.

_________
Eliott Mourier est consultant MDM au sein de la pratique Gouvernance des données de Micropole.