[e-commerce] Vous n‘êtes pas prêt pour le RGPD | Qard.
2749
post-template-default,single,single-post,postid-2749,single-format-standard,ajax_fade,page_not_loaded,,qode-title-hidden,qode_grid_1300,qode-theme-ver-13.2,qode-theme-bridge,qode_advanced_footer_responsive_768,wpb-js-composer js-comp-ver-5.4.5,vc_responsive
JURIDIQUE - Vous n‘êtes pas prêt pour le RGPD

Vous n‘êtes pas prêt pour le RGPD

 

Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai, et personne n’est prêt. Ni les entreprises ni même les autorités de régulation.

Le Règlement Général sur la Protection des Données a été officiellement adopté par l’Union Européenne en 2016. Le règlement a accordé aux entreprises une période de deux ans pour se mettre en conformité. Cela laissait théoriquement beaucoup de temps pour se mettre en règle. La réalité est tout autre, tout comme les déclarations d’impôts (qui n’existeront bientôt plus). Il y a ceux qui les font tôt, et puis il y a le reste d’entre nous.

 

Les exigences du RGPD

Lors de la réunion du 22 mai 2018 avec le Parlement Européen, Mark Zuckerberg a déclaré que Facebook serait conforme au RGPD avant le 25 mai 2018. Mais si c’est le cas pour Facebook, l’entreprise serait minoritaire. “Très peu d’entreprises se conformeront à 100 % le 25 mai “, déclare Jason Straight, mandataire et responsable de la protection de la vie privée chez United Lex. “Les entreprises se précipitent chez nous depuis un mois pour se préparer.” Lors d’un sondage mené par le Ponemon Institute en avril auprès de plus de 1 000 entreprises, la moitié d’entre elles ont déclaré qu’elles ne seront pas conformes à l’échéance. 60% des entreprises liées à la technologie ont dit qu’elles n’étaient pas prêtes.

Le RGPD contient plusieurs mesures contraignantes. Nous pouvons citer l’obligation de notifier dans les 72 heures les régulateurs en cas d’atteinte à la protection des données. Il faut également préciser la raison de cette collecte.

“Durant des années, on se demandait : “Combien de données pouvons-nous inciter les utilisateurs de nous donner ?” et “Nous trouverons un moyen de les utiliser plus tard !”. Cela ne sera plus une façon acceptable de fonctionner dans le cadre du RGPD “ d’après Straight.

L’une des exigences du RGPD les plus contraignantes concerne la demande d’accès aux données de chaque “personne concernée“ peut effectuer. Les résidents de l’UE ont donc le droit de demander l’accès et l’examen des informations personnelles recueillies. Les utilisateurs résidant dans l’Union Européenne peuvent ainsi demander que leurs informations soient effacées ou corrigées. Elles peuvent même leur être remises, par exemple sous format papier.

Mais ces données peuvent se trouver sur différents serveurs dans le monde en une multitude de formats. Les entreprises doivent mettre en place les process et l’infrastructure interne pour répondre à ces demandes. Cela représente une grande partie de la mise en conformité du RGPD.

Une partie du problème réside dans la façon dont les entreprises gèrent leurs fichiers clients. Il réside aussi dans le fait que les “informations personnelles” sont extrêmement floues. Noms, adresse e-mail, numéros de téléphone, données de localisation sont des données couramment collectées et facilement identifiables. “Mais il y a aussi des données plus ambiguës, comme une référence peu flatteuse a un client par exemple. Si un employé d’une entreprise venait a écrire un tel email, cela serait considéré comme une information à laquelle vous seriez obligés de me donner accès dans le cadre du RGPD “, dit Straight.

 

L’impossibilité de se conformer au RGPD

D‘une certaine manière, cette réglementation était inévitable. En 2017, 61% des entreprises n’avaient pas commencé à se préparer à cette nouvelle réglementation. Straight affirme que, dans l’ensemble, les entreprises Européennes ont eu plus de temps pour s’adapter. Ces sociétés étaient principalement allemandes et britanniques, où des lois semblables au RGPD existaient. Néanmoins, une enquête a été réalisée en janvier 2018. Elle a révélé qu’un quart des entreprises londoniennes ne savaient même pas ce qu’était le RGPD.

Le Règlement général sur la protection des données est peu compréhensible et applicable. Alison Cool, professeur d’anthropologie et de sciences de l’information à l’Université du Colorado, à Boulder, écrit dans le New York Times que la loi est “incroyablement complexe” et pratiquement incompréhensible pour la plupart des sociétés essayant de s’y conformer. Les scientifiques et les gestionnaires de données contactés par Alison Cool “doutent que la conformité absolue soit même possible”.

Cette situation n’est pas confortable. Le RGPD permet aux autorités de régulation d’imposer des amendes de 4 % du chiffre d’affaire en cas de violation. Donnons un exemple simple: une amende de 4 % sur une entreprise comme Amazon serait de 7 milliards de dollars. Fait intéressant, puisqu’une entreprise comme Amazon rapporte un chiffre d’affaire énorme mais des bénéfices relativement faibles. Dans ce cas une amende de 4 % pourrait leur coûter plus de deux ans de profit.

Le gros coup de poing du RGPD a poussé Peter Thiel (businessman états-unien et cofondateur de PayPal) à accuser l’Europe de promulguer un régime juridique protectionniste. “Les bonnes raisons sont ces préoccupations pour protéger de la vie privée. Les mauvaises raisons sont qu’il n’y a pas d’entreprises technologiques prospères en Europe. Elles sont jalouses des États-Unis et qu’elles nous punissent”, a déclaré Thiel lors d’une conférence au Club économique de New York en mars 2018.

De plus, le RGPD exige de migrer au protocule HTTPS, ce que tous les sites n’ont pas encore fait car cela est technique et financièrement coûteux. Vous pouvez en savoir plus sur cet article sur la migration vers le protocole HTTPS.

 

Les autorités de régulation ne sont pas prêtes non plus

La majorité du texte du RGPD est ambigu, de ce que les autorités de régulation en feront dépendra la mise en place pratique du RGPD. Éventuellement, des normes claires émergeront : après lesquelles les autorités de régulation diront, quel genre de pénalités ils appliqueront pour quel genre de comportement, et combien de ces 4 % des revenus globaux ils tireront des contrevenants.

Mais les régulateurs ne contrôle pas entièrement ce qui se passe car certaines parties du RGPD sont axées sur l’utilisateur. Si un résident de l’UE soumet une demande, l’entreprise dispose de 30 jours pour y répondre. Si l’entreprise ne répond pas, cette personne peut alors déposer une plainte auprès de l’autorité de réglementation locale. Le RGPD exige que l’organisme de réglementation agisse pour faire respecter la loi. Ce n’est peut-être pas une amende de 4 % qui sera appliquée, mais l’organisme de réglementation ne peut pas simplement ignorer les plaintes. ”

S’ils reçoivent 10 000 plaintes au cours du premier mois, ils vont avoir des problèmes “, dit Straight. Dix-sept des 24 régulateurs Européens sondés par Reuters le mois avant la mise en oeuvre officielle du RGPD ont déclaré qu’ils n’étaient pas prêts à ce que la nouvelle loi entre en vigueur car ils n’avaient pas encore les fonds ou les pouvoirs légaux nécessaires pour remplir leurs fonctions.

Une autre disposition du RGPD qui peut mettre à rude épreuve les autorités de régulations est l’exigence de notification des atteintes à la protection des données. Les entreprises sont tenues d’informer les autorités compétentes en matière de protection des données dans les 72 heures en cas de problème, mais ce que fait le régulateur par la suite n’est pas tout à fait clair. Les régulateurs peuvent ne pas être prêts à vérifier la sécurité d’une entreprise ou à déterminer exactement ce qu’il faut faire pour protéger les résidents de l’UE touchés par l’infraction.

Le RGPD n’est censé s’appliquer qu’à l’UE et aux résidents de l’UE. Mais comme de nombreuses entreprises sont présentes en Europe, l’industrie technologique américaine s’efforce de se conformer au RGPD. Néanmoins, même si les débuts de RGPD sont loin d’être faciles, le règlement marque un changement radical dans la façon dont les données sont traitées à travers le monde. L’obligation de notification des violations, en particulier, est plus stricte que n’importe quelle régulation déjà en vigueur. Espérons que les différents acteurs (entreprise, régulateurs et utilisateurs) sauront faire preuve de vigilance et pragmatisme jusqu’à ce que la protection accrue de la vie privée se normalise au sein des entreprises. Pour l’instant ce but n’est rien d’autre qu’une course folle, personne n’étant exactement prêt à une telle réglementation.

 

Si vous souhaitez avoir plus de détails sur le RGPD, les textes ainsi que des explications sont disponibles sur le site de la CNIL.

 

Nicolas Bomont

Nicolas Bomont

Co-founder

A PROPOS

Qard est une entreprise proposant des prêts de trésorerie pour les TPE et PME évoluant dans l’e-commerce. Nos démarches sont digitalisées, et sans lourdeurs administratives.

Testez gratuitement votre éligibilité en cliquant ici  ou prenez contact avec nous pour en savoir plus.