[e-commerce] Vous n’êtes pas prêt pour RGPD | Qard.
2177
post-template-default,single,single-post,postid-2177,single-format-standard,ajax_fade,page_not_loaded,,qode-title-hidden,qode_grid_1300,qode-theme-ver-13.2,qode-theme-bridge,qode_advanced_footer_responsive_768,wpb-js-composer js-comp-ver-5.4.5,vc_responsive

Vous n’êtes pas prêt pour RGPD

 
Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai, et personne n’est prêt – ni les entreprises ni même les régulateurs.

Après quatre ans de délibération, le Règlement Général sur la Protection des Données a été officiellement adopté par l’Union Européenne en 2016. Le règlement a accordé aux entreprises une période de deux ans pour se mettre en conformité, ce qui laisse théoriquement beaucoup de temps pour se mettre en règle. La réalité est tout autre, tout comme les fiches d’impôts, il y a ceux qui les font tôt, et puis il y a le reste d’entre nous.

 

Les exigences de RGPD

Lors de la réunion d’aujourd’hui avec le Parlement Européen, Mark Zuckerberg a déclaré que Facebook serait conforme au RGPD avant la date limite, mais si c’était le cas, l’entreprise serait minoritaire. “Très peu d’entreprises se conformeront à 100 % le 25 mai “, déclare Jason Straight, mandataire et responsable de la protection de la vie privée chez United Lex, une entreprise qui met en place des programmes de conformité RGPD pour les professionnels. “Les entreprises se précipitent chez nous depuis un mois pour se préparer.” Lors d’un sondage mené par le Ponemon Institute en avril auprès de plus de 1 000 entreprises, la moitié d’entre elles ont déclaré qu’elles ne seront pas conformes à l’échéance. Une fois ventilées par industrie, 60 pourcent des entreprises de technologie ont dit qu’elles n’étaient pas prêtes.

Le RGPD est un ensemble de règles allant de l’obligation de notifier les régulateurs en cas d’atteinte à la protection des données (dans les 72 heures, pas moins) à la transparence pour les utilisateurs sur les données collectées et pourquoi. Depuis de nombreuses années, on se demandait : “Combien de données pouvons-nous convaincre les utilisateurs de nous donner ?” et “Nous trouverons comment l’utiliser plus tard !”. Cela ne sera plus une façon acceptable de fonctionner dans le cadre de le RGPD souligne Straight.

L’une des exigences de RGPD les plus contraignantes est celle concernant la demande d’accès aux(ses) données que chaque personne peut effectuer. Les résidents de l’UE ont le droit de demander l’accès et l’examen des informations personnelles recueillies par les entreprises. Ces utilisateurs – appelés “personnes concernées” dans le langage de RGPD – peuvent demander que leurs informations soient effacées, corrigées si elles sont incorrectes, et même leur être remises sous une forme portable.

Mais ces données peuvent se trouver sur cinq serveurs différents et une multitude de formats. (en supposant que l’entreprise sache que les données existent). Une grande partie de la mise en conformité du RGPD consiste à mettre en place les process et l’infrastructure internes qui lui permettra de répondre à ces demandes.

Une partie du problème réside dans la façon dont les entreprises gèrent leurs fichiers clients, et une partie dans le fait que les “informations personnelles” peuvent être tout et n’importe quoi. Noms, adresse e-mail, numéros de téléphone, données de localisation – sont des points évidents et facilement identifiables. “Mais il y a aussi des données plus ambiguës, comme une référence peu flatteuse a un client, du genre <>. Si un employé d’une entreprise venait a écrire un tel email, cela serait considéré comme une information à laquelle vous auriez besoin de me donner accès dans le cadre du RGPD “, dit Straight.

 

L’impossibilité de se conformer a RGPD

Il s’agit, d’une certaine façon, d’un résultat inévitable. Il y a un an, 61 pourcent des entreprises n’avaient même pas commencé à mettre en œuvre le RGPD. Straight affirme que, dans l’ensemble, les entreprises Européennes – en particulier allemandes et britanniques, où il existe des lois préexistantes en matière de protection de la vie privée qui chevauchent le RGPD – ont eu plus de temps pour s’adapter. (Néanmoins, une enquête réalisée en janvier de cette année a révélé qu’un quart des entreprises londoniennes ne savaient même pas ce qu’était le RGPD).

Pour être juste, le RGPD dans son ensemble est un peu compliqué. Alison Cool, professeur d’anthropologie et de sciences de l’information à l’Université du Colorado, à Boulder, écrit dans le New York Times que la loi est “incroyablement complexe” et pratiquement incompréhensible pour les gens qui essaient de s’y conformer. Les scientifiques et les gestionnaires de données à qui elle s’est adressée “doutent que la conformité absolue soit même possible”

Ce n’est pas une position agréable, car RGPD peut permettre aux régulateurs d’imposer des amendes allant jusqu’à 4 % de leurs chiffre d’affaire global en cas de violation du RGPD. Pour mettre cela en perspective, une amende de 4 % sur Amazon serait de 7 milliards de dollars. (Fait intéressant, puisqu’une entreprise comme Amazon rapporte des revenus énormes et des profits relativement faibles, une amende de 4 % pourrait leur coûter plus de deux ans de profits).

Le gros coup de poing du RGPD aurait poussé Peter Thiel à accuser l’Europe de promulguer un régime juridique protectionniste. “Il n’y a pas d’entreprises technologiques prospères en Europe et ils sont jaloux des États-Unis, alors ils nous punissent”, a déclaré Thiel lors d’une conférence au Club économique de New York en mars dernier.

 

Les régulateurs ne sont pas prêts non plus

Étant donné qu’une grande partie du RGPD est ambiguë, la façon dont il fonctionnera dans la pratique dépend de ce que les régulateurs en feront. Éventuellement, des normes émergeront : après qui les régulateurs diront, quel genre de pénalités ils prélèveront pour quel genre de comportement, et combien de ces 4 % des revenus globaux qu’ils tireront des contrevenants.

L’hypothèse répandu est que lorsque la date limite arrivera, les régulateurs Européens la traiteront comme une ouverture en douceur, allant en douceur pour les entreprises pendant une période de lune de miel pendant que tout le monde comprend comment la loi va fonctionner. Mais les régulateurs ne peuvent pas entièrement contrôler ce qui se passera le 25 mai parce que certaines parties du RGPD sont axées sur l’utilisateur. Si un résident de l’UE soumet une demande, l’entreprise dispose de 30 jours pour y répondre. Si l’entreprise ne répond pas, la personne concernée peut alors déposer une plainte auprès de l’autorité de réglementation locale. Le RGPD exige que l’organisme de réglementation agisse pour faire respecter la loi. Ce n’est peut-être pas une amende de 4 %, mais l’organisme de réglementation ne peut pas simplement ignorer les plaintes. “S’ils reçoivent 10 000 plaintes au cours du premier mois, ils vont avoir des problèmes “, dit Straight. Dix-sept des 24 régulateurs Européens sondés par Reuters au début du mois ont déclaré qu’ils n’étaient pas prêts à ce que la nouvelle loi entre en vigueur parce qu’ils n’avaient pas encore les fonds ou les pouvoirs légaux nécessaires pour remplir leurs fonctions.

Une autre disposition du RGPD qui pourrait mettre à rude épreuve les ressources réglementaires est l’exigence de notification des atteintes à la protection des données. Les entreprises sont tenues d’informer les autorités compétentes en matière de protection des données dans les 72 heures en cas de problème, mais ce que fait le régulateur par la suite n’est pas tout à fait clair. Les régulateurs peuvent ne pas être prêts à vérifier la sécurité d’une entreprise ou à déterminer exactement ce qu’il faut faire pour protéger les résidents de l’UE touchés par l’infraction.

LE RGPD n’est censé s’appliquer qu’à l’UE et aux résidents de l’UE, comme de nombreuses entreprises sont présentes en Europe, l’industrie technologique américaine s’efforce de se conformer au RGPD. Néanmoins, même si les débuts de RGPD sont loin d’être faciles, le règlement marque un changement radical dans la façon dont les données sont traitées à travers le monde. L’obligation de notification des violations, en particulier, est plus stricte que n’importe quelle régulations déjà en vigueur. Prions pour que écosystème (entreprise, régulateurs et utilisateurs) feront preuve de pragmatisme jusqu’à ce que la protection accrue de la vie privée devienne une activité normale car pour l’instant c’est rien d’autre qu’une course folle.