Protection des données personnelles : comment le règlement européen (GDPR / RGPD) va impacter les entreprises ?

Avec le nouveau règlement européen relatif aux données personnelles (GDPR) qui entre en vigueur en 2018, les entreprises se préparent à d’énormes changements en termes de gestion des données. Voici ce qu’il faut en retenir.

Le grand chamboulement. Après des années de réflexions et de négociations, l’Union Européenne a enfin réussi à construire un règlement unique concernant les données personnelles gérées par les entreprises. À partir de 2018, les entreprises vont en effet devoir cacher toutes les informations sensibles ou à caractères privés dans leurs jeux de données. Un travail considérable qui devrait réduire les risques de vols de données par les hackers.

La problématique s’est amplifiée avec l’apparition des Data Lake, des référentiels de stockage de données brutes. Avant, les données étaient éparpillées sur le système informatique de l’entreprise. Un hacker ne pouvait alors voler qu’une partie des données. Ce qui n’est plus le cas avec les Data Lake. Et, comme il est impossible de sécuriser à 100% le réseau, les entreprises vont devoir rajouter une nouvelle couche de sécurité, appelé anonymisation.

Une amende qui pourra s’élever jusqu’à 4% du chiffre d’affaires

Problème, « il n’existe pas d’informaticiens spécialisés sur ce champ de compétence. Seuls quelques chercheurs ont travaillé sur des algorithmes d’anonymisation », explique Mehdi Bentounsi, chercheur à l’Université de la Sorbonne Paris Cité. À part IBM qui a sorti quelques initiatives en open-source, les entreprises sont parties pour être démunies pendant encore quelques années. Attention cependant à ne pas mettre la poussière sous le tapis.  

Avec la nouvelle réglementation, l’amende peut désormais s’élever jusqu’à 4% du chiffre d’affaires global. C’est la CNIL qui a les pleins pouvoirs. Elle va mettre en place les audits adéquats pour évaluer la volonté des sociétés à anonymiser leurs données. « Les applications vont devoir intégrer la Privacy dans les process de travail, dès la phase de création et de design », assure Cédric Mora, Product Manager chez Blue DME.

Un cahier de laboratoire pour mesurer l’implication des entreprises

Pour cela, la CNIL va s’appuyer sur un cahier de laboratoire qu’impose la nouvelle législation européenne. Ce cahier consigne toutes les opérations réalisées sur le traitement des données collectées et traitées en fonction des objectifs définis en amont par l’entreprise. « Ces cahiers de laboratoire peuvent être demandés lors de chaque audit. C’est ce qui va en grande partie mesurer le degré d’engagement des sociétés auditées », assure Mehdi Bentounsi.

En revanche, « comme il n’existe pas encore de technologies d’anonymisation efficaces sur tout ce qui concerne le legacy et l’historique, la commission pourrait être plus tolérante », estime Cédric Mora. Mehdi Bentousi ajoute d’ailleurs : « la CNIL devrait cependant faire la différence entre les données opérationnelles et les données de long terme qui vont servir à exécuter des algorithmes d’analyse et de classification ».

Dépasser la pseudonymisation pour une véritable anonymisation

Pour être synthétique, les entreprises utilisent aujourd’hui des techniques de pseudonymisation pour sécuriser leurs données. En clair, elles cachent certaines informations sensibles grâce au chiffrement. Mais, cette méthode est réversible, à moins d’utiliser des chiffrement en hachage. Avec l’anonymisation demandée, ce n’est plus possible. Elles vont devoir constituer des clusters de données où seront rassemblées les informations interdites de traitement.

Autre impact pour les entreprises : l’opt-out. Jusqu’à présent, les entreprises n’avaient qu’à mettre en place les techniques d’opt-in. Autrement dit, de demander à un utilisateur de valider l’utilisation de ses données personnelles pour des raisons commerciales. Avec la nouvelle réglementation, elles vont devoir généraliser les techniques d’opt-out afin de simplifier la démarche d’effacement ou de récupération de données par un utilisateur, s’il le souhaitent.

Vers un appauvrissement de la qualité des données

Mais, ce type d’actions devrait se multiplier à l’avenir. D’autant que la nouvelle législation oblige désormais les entreprises à prévenir les utilisateurs d’une attaque informatique externe dans les trois jours. Elles n’étaient même pas obligées de le faire auparavant. Elles devront également dire aux internautes si des données à caractère privées ont été subtilisées. Autant dire que la transparence est de mise.

Malheureusement, cela ne devrait pas faciliter le travail des responsables marketing. En effet, avec l’anonymisation, les données récoltées vont considérablement s’appauvrir. Prenons un exemple tout simple : vous savez qu’une catégorie d’utilisateur habite dans le 1er arrondissement parisien. Avec la nouvelle législation, vous saurez seulement qu’elle habite à Paris. Moins commode pour affiner ses actions commerciales.  

Donner un avantage concurrentiel aux entreprises respectueuses de l’anonymisation

Mais, que les entreprises ne râlent pas. « Imaginez seulement : demain, Google propose un service d’assurance gratuit. En contrepartie ils prennent les données personnelles des utilisateurs. Comment les entreprises européennes pourraient survivre ? Avec ce cadre, elles peuvent se protéger contre les géants du web ». Et ce sera pareil pour tous les autres marchés.

Au final, la législation européenne installe de bonnes pratiques de travail. « L’Union Européenne veut créer un avantage concurrentiel entre les différentes entreprises en Europe. Grâce à une labellisation, elle va être capable de favoriser les entreprises qui suppriment le lien existant entre une donnée personnelle sensible et une personne. Par exemple, on pourra savoir qu’il y a 1000 personnes diabétiques à Paris, mais on ne connaîtra pas leur nom », explique Cédric Mora.

 

Ils ne vous restent plus qu’à suivre le chemin.

 

Contactez-nous pour voir comment nous pouvons vous aider sur ce sujet.

 

Pour aller plus loin :