French

Les données personnelles : un malentendu vivace

De très nombreuses entreprises considèrent que les données qu’elles recueillent et stockent sont leur « propriété ». Pour les données personnelles, il n’en est rien, bien au contraire.

En effet, dans le monde de la donnée, il faut distinguer le « container » du « contenu ». Les entreprises sont propriétaires des containers et des traitements, les contenus sont et restent la propriété pleine et entière de ceux qui sont à l’origine de la donnée.

Les consentements à l’utilisation des données personnelles accordés aux entreprises ne sont qu’un droit d’usage limité dans le temps et dans ses objectifs ; en aucun cas, ils n’octroient un titre de propriété. Dans ce sens, les données sont assimilables aux licences logicielles : leur usage n’est pas un « transfert » de propriété.

Les droits des personnes

La GDPR impose aux entreprises de respecter les droits des personnes : droit d’accès, droit de correction, droit d’opposition, droit à l’oubli, etc. Dans la perspective soulignée, il s’agit d’appliquer des règles élémentaires de « bonnes relations » entre une personne (« propriétaire » des données) et une entreprise (« locataire » des données à titre temporaire); cette dernière se doit de gérer les biens qu’elle utilise en « bon père de famille ».

Les risques pour l’entreprise

En tant que propriétaires des données, les personnes concernées s’attendent, légitimement, à ce que les locataires sachent au minimum où sont stockées les données et quelles en sont les utilisations. En outre, en tant que gestionnaire des données, l’entreprise se doit de maintenir leur qualité et d’assurer leur protection.

owner keys photo

La méconnaissance de la localisation et des usages des données personnelles ou, pire, une défaillance dans l’une des autres obligations représentent un danger potentiel pour l’entreprise pour la simple raison que le propriétaire peut exercer ses droits à tout instant et que l’entreprise n’a que 72 heures pour y répondre.

Afin d’apprécier correctement les risques encourus, il est nécessaire que les entreprises en identifient l’origine et les conséquences.

  1. L’origine

Le concept de « données à caractère personnel » visées par la GDPR est très large tant dans sa définition « toute information se rapportant à une personne physique identifiée ou identifiable », que dans son périmètre d’utilisation : bases de données structurées, documents électroniques, sites web, images, sons, documents imprimés, etc.

L’amplitude du champ d’investigation pour la mise en œuvre de la GDPR rend incontournable l’établissement de la liste des données personnelles et de leurs localisations multiples dans les différents périmètres d’utilisation.

  1. Les conséquences

Ces activités d’identification et de localisation doivent être menées avec rigueur afin d’être les plus exhaustives possible. Ainsi, à titre d’exemple, la non-identification d’une donnée va à l’encontre du droit d’accès, et la méconnaissance des localisations empêche l’exercice des droits de correction et d’oubli.

De manière plus générale, le non-respect des droits des personnes a pour conséquences notables :

  • Une rupture de la « confiance » entre l’entreprise et les personnes concernées conduisant à :
    1. Une perte de clientèle et de chiffre d’affaires
    2. Un détournement des investisseurs
    3. De l’inquiétude dans le personnel
    4. Des craintes chez les fournisseurs
  • Le déclenchement des contrôles outillés et pointus de l’Autorité nationale aboutissant à :
    1. La publication d’avis de non-conformité
    2. Des interdictions d’utilisation
    3. Des sanctions administratives lourdes, voire très lourdes
  • Des procédures judiciaires de demande d’indemnités au bénéfice des personnes concernées dans le cadre de « recours collectif » initiés et menés par des cabinets d’avocats spécialisés
  • D’éventuelles condamnations au pénal du dirigeant de l’entreprise

À l’inverse, plusieurs études ont montré que le respect des droits et obligations nés dans le cadre de la GDPR est une réelle opportunité pour les entreprises. Ainsi, d’après une étude du Boston Consulting Group[1], en inspirant confiance aux clients, le volume de données collectées peut augmenter d’un facteur 5 à 10, créant de nouvelles opportunités : reposer les bases de la relation avec leurs clients en les connaissant mieux, entretenir et augmenter leur confiance, développer un marketing relationnel plus adapté et en phase avec les attentes des consommateurs. Les résultats de cette étude sont confirmés par une étude Bizreport [2] selon laquelle 78% des consommateurs partagent des informations avec les marques qui leur donnent le contrôle sur la manière dont ils sont contactés. Cette démarche de personnalisation et de proximité relationnelle vise la fidélisation des clients et est à l’image du « petit commerçant de quartier » qui connaît sa clientèle, la soigne avec une certaine tendresse et, au passage, en recueille les confidences.

Les solutions outillées

REVER, éditeur de logiciels spécialisés pour la gestion et la gouvernance des données, met à la disposition de ses clients une gamme de produits spécialisés pour l’identification, la localisation et l’extraction des données à caractère personnel dans les bases de données applicatives, dans les documents électroniques et dans les sons. Ces outils sont intégrés dans la suite logicielle RGS (Real GDPR Solution) qui permet aux entreprises d’être en conformité avec la GDPR et de répondre sereinement aux demandes des autorités nationales (registre des traitements) et des personnes concernées (fiches individuelles).

banner white paper rgpd

 

Mots clés: 

Auteur(s): 

Dominique Orban de Xivry