La transition vers le numérique et la dématérialisation ne comporte pas que des avantages. La vie des gens au quotidien est désormais totalement intégrée au monde numérique : e-commerce, réseau sociaux, messageries, applications, banques, travail, domotique et maisons connectées… Les outils du Web sont activés grâce aux données personnelles des utilisateurs. C’est aussi le cas pour la majorité des sites d’entreprise. Ces données revêtent une importance capitale pour les gouvernements, les multinationales et les entreprises de la high-tech, qui risquent de les exploiter en toute impunité. C’est dans ce cadre qu’intervient le Règlement général sur la Protection des Données ou RGPD, mis en place par la Commission Nationale de l’Informatique et Libertés. Depuis, chaque entreprise se doit de former ses collaborateurs dans le but de protéger la vie privée des utilisateurs de leur site.
La grande valeur des données personnelles sur le Web
Pourquoi est-ce qu’il faut protéger les données personnelles ?
Plusieurs scandales liés à l’utilisation des données personnelles des internautes ont éclaté ces dernières années. Révélés par les « lanceurs d’alertes », ces scandales ont démontré comment les comptes privés sont piratés ou comment les données sont exploitées par les organisations gouvernementales. On entend par « donnée personnelle » toute information qui se rapporte à une personne physique identifiable. Il faut noter qu’en France, une adresse IP est considérée comme une donnée personnelle, vu qu’elle est liée à une personne identifiable. Les données personnelles sont assimilées à la vie d’une personne sur Internet. Bien qu’elles soient dématérialisées, elles appartiennent à leur propriétaire. D’où la nécessité de les protéger.
Le contrôle de la vie privée sur Internet
On pourrait être amené à penser qu’on ne cache rien sur Internet, du moins rien d’important. Ce n’est pourtant pas le cas. Par exemple, les assurances et les établissements bancaires ont accès aux informations rattachées au mode de vie du client : ce qu’il achète, son revenu mensuel, etc. Cela semble improbable, mais une compagnie d’assurance peut consulter les achats en nourriture d’un de leurs clients pour calculer le risque d’AVC qu’il encoure. Quant aux publicités, les fameux cookies vont aider l’algorithme à créer des publicités personnalisées en fonction des habitudes de consommation de l’utilisateur. Les données récoltées par le site sont ensuite revendues aux autres sociétés sans que l’acheteur le sache. Il faut garder cela à l’esprit lorsqu’on décide d’accepter tous les cookies.
Qu’est-ce que la surveillance de masse ?
La surveillance de masse est un véritable obstacle à la liberté individuelle. En effet, dès que l’on partage sa localisation ou une photo, on prend le risque d’être surveillé. Il existe de nombreux états qui utilisent les données numériques pour ficher les individus et tout connaître de leur vie privée. Dans cette optique, le RGPD intervient pour limiter la collecte abusive des données par les gouvernements, vu qu’il ne peut l’interdire. Il faut justifier d’une raison valable, le cas de l’état d’urgence par exemple, pour surveiller un individu en particulier. Cela est fait au regard des droits fondamentaux de l’homme et aux libertés individuelles et politiques.
Les obligations des entreprises en matière de données privées
Une formation rgpd obligatoire
Une entreprise doit veiller à ce que les droits des personnes qui utilisent ses services, en matière de traitement de données, soient respectés. Elle doit donc veiller à ce que le RGPD soit mis en œuvre en son sein. La réputation de l’entreprise est d’ailleurs mise en jeu, car la mise en conformité avec le règlement est désormais un avantage concurrentiel de poids. C’est pourquoi il est préférable d’inscrire les collaborateurs à une formation rgpd obligatoire, il suffit de lire cet article pour en comprendre les enjeux.
Les obligations de l’entreprise liées au traitement de données
Les principales obligations de l’entreprise sont :
- prouver que les données à caractère personnel sont traitées selon les règles applicables (codes de conduite, certifications…) ;
- notifier les violations aux personnes concernées ;
- étudier l’impact sur la vie privée pour les traitements à risques ;
- engager ou désigner un DPO (Data Protection Officer) ou délégué à la protection des données, dont les missions seront détaillées plus bas ;
- installer un système de sécurité informatique efficace et durable pour préserver les données des utilisateurs ;
- informer clairement et de manière concise les utilisateurs de la durée de conservation de leurs données.
Les droits des utilisateurs
Dans la politique de la mise en conformité avec le RGPD, l’entreprise doit accorder aux utilisateurs de ses services numériques :
- le droit à l’oubli, c’est-à-dire le droit de demander l’effacement de toutes les données qui lui sont liées ;
- le droit à la portabilité de leurs données à caractère personnel, en les stockant dans un périphérique qui peut être lu par un ordinateur ou un autre appareil ;
- le droit de limitation, lorsque l’utilisateur souhaite qu’on suspende le traitement de ses données.
Le RGPD fait loi
Le RGPD régit le traitement des données au sein de l’Union Européenne par les entreprises et les sites Web. Ces données doivent être protégées et sont entièrement la propriété de leur émetteur. Les sanctions mises en place par le RGPD sont sévères, une entreprise doit assimiler l’enjeu de cette protection de données. Rien qu’en activant le micro de l’assistant vocal alors qu’on est connecté à Internet, il est possible pour le fournisseur d’écouter tout ce qui se déroule et tout ce qu’on dit.
Pourquoi former ses collaborateurs à la protection de données ? Ainsi qu’il l’a été expliqué, il existe plusieurs raisons à tirer profit d’une formation à la protection des données :
- pour éviter à l’entreprise d’être sévèrement sanctionnée. Il faut savoir que les sanctions édictées par la CNIL sont lourdes : une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Le montant est évalué en fonction de la gravité de l’infraction, du type de données concernées ou de la nature de l’infraction (négligence ou infraction volontaire) ;
- parce que la formation peut se faire à distance, ce qui est un grand avantage pour les personnes avec un emploi du temps chargé au travail. Elle consiste en des vidéos, des visioconférences, la mise à disposition de supports pédagogiques et une évaluation en fin de formation ;
- parce que la formation est rapide. Elle prend généralement place sur une journée, sauf pour le poste de DPO, qui requiert une formation spécifique.
Les missions du DPO
Le métier de DPO fait partie des nouveaux métiers qui sont apparus suite à la mise en place d’une protection des données à caractère personnel des utilisateurs du Web. Anciennement connu sous l’appellation de « correspondant informatique et liberté », le délégué à la protection des données est le conseiller et l’intermédiaire entre l’entreprise et la CNIL. Le DPO peut être un collaborateur interne ou un prestataire externe à l’entreprise. Ses missions sont :
- la conformité de l’entreprise avec la réglementation applicable ;
- le rôle de conseiller auprès des employés pour le changement de l’utilisation des données (ou datas) ;
- le contrôle du respect du règlement ;
- coopérer avec l’autorité de contrôle ;
- tenir le registre des traitements de données.
L’accompagnement d’un DPO est indispensable pour la plupart des entreprises d’aujourd’hui. La protection des données personnelles est devenue une priorité, tant au niveau interne qu’au niveau externe (piratage et cyberattaques).