Le digital fascine, le digital étonne, mais le digital fait… peur, à de nombreux utilisateurs ! Des sentiments qui doivent être pris en considération par le CEO que vous êtes, tant l’on peut aisément imaginer que d’un espace de liberté, le numérique devienne, de plus en plus, un espace procédurier. Une crainte sans doute partagée par l’UE comme le démontre la nouvelle réglementation qui s’appliquera en avril 2018. Alors, êtes-vous au clair sur vos pratiques ?  Avez-vous conscience de ce qu’il vous faudra mettre en œuvre pour ne pas subir des réclamations d’internautes / mobinautes et être mis à l’amende ? Rappel du contexte et de ce qu’il faut savoir !

À trop bien maîtriser les rouages du digital, tout CEO risque de se couper de la "base" : les internautes et mobinautes. La méconnaissance du digital de certains des utilisateurs, de ce qu’est un cookie, sans oublier les mauvaises pratiques de certains acteurs et les titres de presse qui font leurs choux gras du piratage de données par des hackeurs entraînent mécaniquement des mesures légales… C’est, pour le moins, ce que l’on est amené à penser à la lecture du nouveau règlement européen que vous devrez respecter dès avril 2018.

Non-respect de la vie privée = risques procéduriers ?

Il faut dire que d’un espace originellement de "complète liberté", le digital risque de basculer, à brève échéance, et devenir un espace procédurier. Une dérive compréhensible tant les enjeux économiques sont importants (e-commerce, m-commerce, médias en ligne…) et aiguisent les convoitises, y compris des plus mal intentionnés qui usent de tous les ressorts pour gagner rapidement de l’argent, comme des différences législatives d’un pays à l’autre, même au sein de l’UE, ce qui ouvre la porte, là encore, à des dérives (installer un site sur un serveur à l’étranger permet de contourner la législation locale).

Pour y mettre bon ordre, l’UE vient d’établir de nouvelles règles (les dernières avaient été énoncées dans une Directive de 1995 ainsi qu’au travers d’une décision cadre de 2008 sur le traitement des données transfrontalières pour la coopération policière et judiciaire), visant à uniformiser le droit des pays de l’Union. Un règlement vis-à-vis duquel les entreprises devront se mettre en conformité avant le 25 mai 2018. Un règlement qui "sonne la fin de la récré" et qu’il convient de connaître afin d’éviter des ennuis judiciaires.

Les citoyens prennent les commandes face aux acteurs du numérique !

Ainsi, des Directives aux Décisions cadres, l’UE passe la vitesse supérieure, en promulguant un Règlement (2016/679 du Parlement Européen et du Conseil du 27 avril 2016), soit un texte qui s’impose à l’ensemble des états membres, sans nécessité de modification des législations nationales. Une législation qui place les citoyens et leur vie privée aux commandes des données… un changement de paradigme majeure que les CEO doivent intégrer !

En effet, ce règlement, comme l’évoque le site du Parlement européen, vise à ce que "les entreprises doivent concevoir des fonctionnalités par défaut et des produits de sorte à collecter et traiter le moins possible de données à caractère personnel. La "protection de la vie privée dès la conception", et par défaut, devient un principe essentiel et encourage les entreprises à innover et développer de nouvelles idées, méthodes et technologies pour la sécurité et la protection des données personnelles".

Introduction d’un droit à réparation des dommages !

On peut citer parmi les nouvelles dispositions en lien direct avec la vie privée des internautes et mobinautes, cinq éléments majeurs :
Meilleur contrôle des parties qui détiennent les données privées (article 7) où il est noté que le "consentement clair et explicite" au traitement des données doit se faire de manière active par la personne physique (comme par exemple une case à cocher).
Plus de protection pour les enfants (article 8) qui précise que les enfants (selon une limite d’âge allant de 13 à 16 ans, un âge qui relève de la décision de chaque état membre) doivent bénéficier d’un droit à l’oubli plus clair et être protégés contre les pressions les poussant à partager leurs données personnelles.
Droit à l’oubli (article 17) qui stipule que si une personne demande à l’entreprise d’effacer ses données, l’entreprise devra s’y conformer et envoyer la demande à tout tiers qui duplique les données.
Droit d’être informé dans un langage simple et clair (articles 12, 13 et 14), ce qui met un terme aux "petits caractères" concernant l’expression de la politique de votre entreprise en matière de vie privée.
Limitations claires au recours au profilage (article 21) qui ne peut être réalisé qu’après consentement et ne doit pas se baser uniquement sur un traitement automatique des données, mais en y incluant une évaluation menée par l’homme. Ceci pour éviter les traitements discriminatoires.

Et surtout, il convient de souligner que ces dispositions se couplent à un droit à réparation des dommages (matériel ou moral) du fait de la violation du règlement par le responsable du traitement ou du sous-traitant… Bref, l’entreprise est directement visée.

"Dura lex, sed lex"

En conclusion, ce règlement est plus contraignant ! Est-il juste ? C’est une question de point de vue, Doit-on s’y conformer ? Là encore, à vous d’en juger, mais sachez que le non-respect de ces nouvelles dispositions légales, expose l’entreprise à une amende d’un montant pouvant s’élever de 2% à 4% du CA annuel mondial… Une donnée qui, là, ne nécessite pas un jugement, mais bel et bien des actions !

Encadré :
Pour accéder au nouveau texte : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
Pour s’y retrouver entre les différents renvois d’articles, le Règlement en Dataviz, par la CNIL.