Restez connecté à l'univers CDLK

Stop aux mythes sur les données personnelles

Stop aux mythes sur les données personnelles

Tags : Banque Big Data CNIL

Juillet 2017

Article paru sur C'est pas mon idée le samedi 15 juillet 2017.

Dans la plupart des entreprises – notamment les institutions financières – j'entends régulièrement cette plainte : « nous aimerions bien exploiter les données de nos clients, mais la CNIL nous l'interdit ». Si cela ne suffit pas à clore toute discussion, le Règlement Général de Protection des Données ( RGPD) sert maintenant d'argument imparable. 

La réalité est pourtant très différente ...

Voir plus

Les différents textes en vigueur ou à venir n'ont certainement pas vocation, à quelques rares exceptions près, à prohiber les usages de données personnelles. Au contraire, leur principal objectif consiste justement à définir un cadre acceptable pour ce faire. Parce qu'il est généralement impossible de faire entendre raison à des interlocuteurs inflexibles, la prise de position d'une représentante de la CNIL dans une  interview pour CBanque représente un contre-feu utile.

Clémence Scottez l'affirme sans ambiguïté : « il circule beaucoup de fantasmes sur l'exploitation commerciale des données bancaires ». Loin d'empêcher ces pratiques, la loi impose uniquement qu'elles ne soient pas mises en oeuvre à l'insu des clients et que le recueil de leur consentement respecte quelques règles relevant de la plus élémentaire déontologie. Quant au RGPD, il n'est pas plus restrictif a priori, puisqu'il vise essentiellement à renforcer la transparence des usages au profit du consommateur.

Au lieu de se focaliser (voire se bloquer) sur des contraintes réglementaires fictives (tout en respectant les obligations qui leur incombent, naturellement), les entreprises désireuses d'explorer les opportunités offertes par les données qu'elles hébergent devraient d'abord se pencher sur les moyens de convaincre leurs clients qu'elles vont ainsi leur apporter un meilleur service. En effet, le risque de rejet est plus élevé qu'une infraction et ses conséquences (sur l'image, par exemple) aussi dommageables.

Il s'agit là d'un enjeu de compétitivité. Les règles de protection des données personnelles s'appliquent de manière identique à tous les acteurs, grands groupes et startups, sans discrimination. Mais seuls ceux qui prennent le soin d'évaluer précisément ce qu'ils peuvent faire ou pas avec l'information captée pourront capitaliser sur sa valeur, pour améliorer leur efficacité opérationnelle, affiner et rendre plus attractives leurs offres, renforcer la fidélité de leur clientèle, créer de nouveaux modèles économiques...

Fermer

GDPR : Une mise en place pour mai 2018 ?

GDPR : Une mise en place pour mai 2018 ?

Tags : Big Data CNIL GDPR

Mai 2017

Isabelle Falque-Pierrotin, la présidente de la Cnil demande aux entreprises d'être prêtes pour l'entrée en vigueur du règlement européen sur les données personnelles (GDPR) qui sera applicable à compter du 25 mai 2018. Reste à savoir comment des acteurs qui gèrent des millions de données personnelles pourront être opérationnels à date tant les nouvelles règles restent complexes à mettre en oeuvre.

Voir plus

De nouvelles contraintes avec un impact opérationnel

Outre les dispositions déjà présentes dans la loi informatique et liberté du 6 janvier 1978, le GDPR comporte des mesures qui obligent les organisations à modifier leurs modes de gouvernance et à refondre leurs systèmes  de sécurité. Ainsi elles devront s'engager dans une démarche de "privacy by design" : incorporer des mesures techniques et organisationnelles de protection dès la conception du produit et service afin de se trouver en mesure de démontrer la conformité au règlement. De plus  le client doit pouvoir bénéficier du plus haut niveau de protection possible, ce qu'on appelle "privacy by default". Par exemple en cas d'utilisation de nouvelles technologies, la protection doit être activée par défaut. Un mécanisme d'auto-contrôle ou "accountability" au sein de la société est également requis.

L'autre nouveauté réside dans l'étude d'impact sur la vie privée (EIVP ou PIA) auquel est tenu le responsable de traitement.

La mise en place d'un DPO (Délégué à la protection des données)

L'une des nouvelles mesures phares du règlement donne pour obligation au responsable des traitements de documenter, démontrer la conformité des traitements (accountability) et de gérer les risques", explique Florence Bonnet, directrice du cabinet d'expertise en protection des données CIL Consulting by TNP. "Alors que le GDPR devrait être un sujet prioritaire sur l'ordre du jour du COMEX, les CIL /DPO ont souvent le plus grand mal à sensibiliser la direction aux enjeux liés à la protection des données et à obtenir les ressources nécessaires. Il faudra sans doute attendre le prononcé et la publication des premières sanctions pour prendre la mesure de leur impact à la fois sur le plan financier et économique mais aussi sur la réputation de l'organisation", estime Florence Bonnet.

Revoir la sécurité des systèmes

Le règlement exige également une déclaration des failles de sécurité de manière détaillée et documentées à l'autorité de contrôle (et au consommateur) "dans les meilleurs délais", et si possible 72 heures au plus tard après la prise de connaissance de l'événement. Le nouveau droit à la portabilité des données risque également de compliquer la tâche au responsable de traitement car il permet à l'assuré de récupérer les données pour les transmettre à un tiers. "La portabilité représente un chantier de mise en conformité important car elle suppose l'intemporalité des systèmes pour les rendre compatibles", décrit Isabelle Cantero, avocate associée au cabinet Caprioli.

Des outils pour faire face aux nouvelles dispositions

Une chose est d'avoir à respecter des règles inédites, une autre est de trouver les moyens de le faire. "Avec une multiplicité des parties prenantes comme les clients et les sous-traitants, le règlement sera plus difficile à gérer pour les grosses structures ... Consciente du problème, la Cnil  a élaboré un plan d'information et de communication structuré en vue d'aider les organisations à appréhender le règlement. Elle vient de publier une méthodologie en 6 étapes pour se préparer au règlement : désigner un pilote, cartographier les traitements, prioriser les actions, gérer les risques, organiser les processus internes et les documenter.

La certification entre dans le champ de la conformité

La certification reste un moyen de se mettre en conformité avec ses obligations en matière de protection des données. Le règlement oblige les organisations à labelliser leurs process. Actuellement la Cnil délivre quatre labels : audit de traitements, formations, gouvernance et coffre-fort. En ce qui concerne la sécurité des systèmes, la norme  internationale ISO 27001 représente un gage de conformité. Par ailleurs les éditeurs de logiciels ont anticipé les changements et proposent désormais des outils conformes au GDPR.

Un calendrier difficilement tenable

"Le règlement ne peut souffrir d'aucun retard", a prévenu Isabelle Falque-Pierrotin lors de la présentation du rapport d'activité 2016 de la Cnil le 27 mars dernier. Elle a ajouté que "les entreprises doivent absolument se mettre en marche". Seulement, l'impossibilité pour elles d'être prêtes le 25 mai 2018 fait quasiment l'unanimité auprès des professionnels. La Cnil a néanmoins reconnu que le Medef lui avait signifié qu'à ce jour, seules 10% des entreprises sont susceptibles d'être opérationnelles en 2018. "Même si nous assistons à un changement d'attitude sur la protection des données personnelles, il sera difficile pour les organisations de se mettre totalement en conformité en mai 2018", affirme Paul-Olivier Gibert. Pour autant, la Cnil veut croire que tout sera prêt en 2018. Elle a néanmoins concédé que pour les acteurs qui feront défaut en 2018, "nous adopterons une courbe de montée en charge en fonction de la taille de l'entreprise."

Sources : Article et données recueillies par  mind Fintech.

Fermer