A part si vous avez été sur la planète Mars ces dernières semaines, ou à la rigueur hors de l’UE, vous avez forcément entendu ou vu passer quelque chose d’écrit sur le nouveau règlement européen sur la protection des données personnelles.
Certains notent qu’il arrive à point nommé pour l’UE, juste après le scandale de Cambridge Analytics, auquel Facebook a vendu des données personnelles permettant d’établir des profils d’internautes qui auraient pu permettre d’influencer leur vote aux dernières présidentielles américaines.
D’autres déploreront le coté extrêmement complexe et bureaucratique de la nouvelle réglementation, ça rappelle un peu le projet de constitution européenne qui était tellement épais et abscons que les populations de tous les pays ou il a été soumis à référendum l’ont largement rejeté. Visiblement l’exemple n’a pas été retenu par la commission européenne… pourquoi faire simple quand on peut faire (très) compliqué ?
RGPD (GDPR en Anglais) c’est quoi ?
Cela fait quelques mois, et plus encore quelques semaines que l’ont observe beaucoup d’agitation sur le sujet, on voit fleurir les séances de formation ou d’information sur ce nouveau règlement protégeant les données personnelles, mais avec une date d’entrée en vigueur au 25 mai (aujourd’hui), nombreux sont ceux, y compris sur le web, qui ne se sont pas encore mis en ordre de marche.
Il faut d’abord bien comprendre qu’il s’agit d’un règlement européen, et que donc les différents pays doivent le recevoir et l’appliquer tel quel, sans avoir à le transposer dans leur législation nationale, et donc sans pouvoir l’adapter. RGPD est donc un bloc de la législation de l’UE qui s’impose comme tel.
Règlement de protection des données, pour qui ?
Il y a différentes clés d’entrées possibles.
Par exemple, ce règlement institue dans les organisation la fonction d’Officier de Protection des Données. Il est recommandé que cet officier ne fasse pas partie de la direction des structures qu’il contrôle, de manière à ne pas être juge et partie. Un tel officier est obligatoire pour les entreprise privées réalisant du traitement de données à grande échelle et dans les institutions publiques (mairies par exemples) – mais heureusement pour ces institutions publiques, et pour leurs finances (donc in fine pour la pression fiscale que nous supportons…) elles peuvent mutualiser une même personne qui exercera ses fonction au sein d’une série d’institutions.
Mais même pour les structures privées qui ne traitent pas de données à grande échelle, et donc pour lesquelles le recours a un Officier de Protection des Données personnelles n’est pas obligatoire, seulement recommandée, il existe d’autres nouvelles obligations, auxquelles elles doivent se conformer.
Enfin, il faut noter que le RGPD s’impose aussi aux sociétés non européennes, dès lors que celles-ci stockent des données relatives aux citoyens de l’UE. Donc toute entreprise de e-commerce, réseaux sociaux, etc un tant soit peu globale est concernée par cette nouvelle réglementation.
Est ce une (bien timide) réponse du berger à la bergère des européens aux USA qui infligent régulièrement de très grosses amendes aux sociétés européennes qui auraient l’impudence de ne pas respecter les interdits de commercer avec des pays ayant déplu aux USA, même pour des transactions non liées aux USA, mais ayant simplement été libellées en dollars US ?
Comment mettre aux normes son site web ?
Si l’on s’en tient au seul cas des sites web, et notamment pour les PME aux sites de e-commerce qui sont souvent ceux qui „brassent” le plus de données personnelles”, il faut les étudier au cas par cas.
D’abord la technologie ou plate forme CMS, des éditeurs de solutions CMS proposent des modules de mise à jour, certains gratuits, d’autres payants, parfois en fonction de la version du CMS comme pour PrestaShop qui propose un module gratuit pour la V 1.7 (mais il semble avoir oublié la case à cocher dans les formulaires de contact), payante pour la V1.6, inexistante pour les versions plus anciennes type V1.4 qui tournent encore et vont nécessiter des développements sur mesure…
Pour WordPress, la solution ne vient pas d’un module unique mais d’un cumul de mises à jour…
Ensuite il faut bien voir les spécificités fonctionnelles du site, par exemple une agence web française nous a demandé de mettre à jour huit sites sur mesure que nous avions réalisé pour elle, et les mises à jours demandées étaient chaque fois différentes, il n’y avait pas de demandes identiques pour deux sites…
Il faut bien analyser quelles sont les données stockées, leur obtention et leur stockage sont ils vraiment nécessaires (notion de proportionnalité) par rapport au besoin réel de l’entreprise opérant le site. Et c’est spécialement sur la partie e-mailing que les choses vont changer avec la nouvelle réglementation.
Et bien sûr, une fois que chaque besoin est clarifié et détaillé, il faut préparer une cotation sur les mises à jour à réaliser.
Bref, le passage a RGPD demande beaucoup de matière grise, c’est avant tout une tache très consommatrice en chefs de projets informatique.
Sans vouloir proposer une recette toute faite, les mises à jour de sites portent généralement sur les points suivants ;
– La création d’une page de politique de confidentialité qui détaille aux internautes leurs droits.
– L’ajout sur chaque formulaire du site d’une case que l’internaute devra cocher pour attester qu’il a lu et accepté les termes et conditions de la politique de confidentialité du site.
– La possibilité pour l’internaute de demander à consulter, modifier voire supprimer ses données personnelles en possession du site.
– La mise en place d’un nouvel outil permettant au webmaster du site de visualiser et gérer les demandes portant sur les données des internautes.
Le RGPD affecte l’entreprise dans son ensemble
Il ne faut pas perdre de vue que la nouvelle réglementation va très au delà de ce qui impactera un simple site web.
Il est recommandé de partir au départ d’une analyse globale des données stockées, en commençant par un inventaire aussi exhaustif que possible, (données sur les salariés, les clients, les fournisseurs, etc) puis une étude d’impact, incluant en grand nombre de simulation sur les risques de fuites des données conservées à l’entreprise, pour aider à cerner les risques.
Ensuite, il faut préparer un rapport écrit, décrivant la situation actuelle et présentant une liste de recommandations pour se mettre en conformité avec le règlement de protection des données.
Ensuite, il faut passer à la mise en place des mesures en conformité, avec l’élaboration de nouvelles procédures internes, la formation du personnel impliqué dans le traitement des données, ou au minimum diffuser une note d’information sur RGPD. Puis il faut prévoir la mise en place via le responsable informatique de l’entreprise de toutes les mesures de sécurité nécessaires, si l’entreprise utilise un logiciel métier spécialisé il peut être nécessaire de contacter l’éditeur pour demander des mises à jour, prévoir une anonymisation ou un effacement des données à la fin de la période de conservation légale, informer sur la nouvelle réglementation et l’utilisation de leurs données les personnes dont l’entreprise possède les données… compléter un registre de traitement des données… et réexaminer au moins une fois tous les 3 ans le respect de la réglementation RGPD… vaste programme…
Au final, ceux qui ont conçu une réglementation aussi complexe ont bien insisté sur l’importance d’essayer de respecter la réglementation, le fait de pouvoir présenter une démarche, même imparfaite / incomplète étant primordial en cas de contrôle… bref, on pourra presque dire que l’important c’est de participer, comme le dit l’adage…
Conclusion : Nous sommes bien sur très loin d’avoir épuisé un sujet aussi trapu en un simple article.
Un client dont les analyses sont souvent très fines me faisait remarquer tout récemment qu’il sera très difficile pour beaucoup d’entreprises de se mettre totalement en conformité avec ce nouveau règlement européen, qui aurait aussi été pensé pour booster le PIB de l’UE de quelques milliards d’Euro supplémentaires, et donner du travail à une armée de consultants…
Personnellement, j’aurais trouvé logique qu’il y ait davantage d’exemptions ou allégements pour les PME Européennes. Comme entrepreneur je ne me plaindrai pas que la réglementation provoquent de nouveaux besoins de services, mais comme citoyen, imposer quasiment les mêmes contraintes à toutes les entreprises quelle que soit leur taille revient implicitement, et comme très souvent dans l’UE, à favoriser les très grandes structures (qui pourtant sont aussi les championnes de l’optimisation fiscale) au détriment des PME. C’est un peu comme pour le feuilleton des logiciels de caisse qui a beaucoup inquiété les possesseurs de petits sites e-commerce français, et donné lieu à bien des interprétations de la part des éditeurs de solutions open source, certains propriétaires de sites ne sachant plus à quel saint se vouer.
En ce qui nous concerne comme entreprise, beaucoup de choses sont en cours concernant RGPD, elles sont même assez avancées, mais comme toujours nos clients ont la priorité sur nos besoins internes dès qu’il est question de l’accès à nos ressources…