À peine 2 500 euros, c’est le prix en mai 2016, selon LeakedSource, pour acheter sur un site spécialisé dans le recel de données volées, le fichier contenant les codes d’accès à 427 millions de comptes MySpace. Deux semaines auparavant, c’était à LinkedIn, le célèbre réseau social professionnel, de se faire pirater les comptes de ses 117 millions de membres. La palme de la fuite de données personnelles revient à Yahoo ! qui, le 22 septembre 2016, a dû révéler l’hémorragie de 500 millions de comptes. Sans parler du piratage des 57 millions de comptes Uber qui vient d’être révélé. Tout y passe : noms, adresses e-mail, dates de naissance, données sensibles comme les questions et les réponses de sécurité permettant à un utilisateur de récupérer le mot de passe de son compte. À côté du piratage, les données personnelles font aussi l’objet d’une exploitation abusive par des sociétés qui les monétisent à l’insu des consommateurs. On pense, bien sûr, aux GAFAM (Google, Apple, Facebook, Amazon, Microsoft) mais aussi aux licornes comme AirBnB ou Uber. « C’est le citoyen qui devient le produit, explique France Charruyer, avocat et directrice d’Altij, un cabinet d’avocats à Toulouse et Bordeaux. Les Européens n’ont pas toujours conscience des données qu’ils fournissent, sans même parfois s’en rendre compte. Il faut les protéger. »
Tel est justement l’objet du Règlement général sur la protection des données (RGPD ou GDPR en anglais) qui entrera en vigueur le 25 mai 2018 dans l’Europe des 28. « Le GDPR offre le niveau de protection le plus élevé au monde en matière de données personnelles, précise Alain Bensoussan, avocat à la Cour d’appel de Paris, spécialisé en droit des technologies avancées depuis 1978. À la différence d’une directive européenne, les État-membres n’ont pas à transposer ce règlement dans leur droit national. » Rappelons-le, les sanctions que prévoit le RGPD seront très fortes : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entreprises qui ne se sont pas conformées ; et jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise en cas de non-respect des droits accordés aux personnes dont les données sont traitées. Ce qui devrait donner à réfléchir…
Ces sanctions ne tombent pas d’un seul coup. Selon l’article 58 du RGPD, l’autorité de contrôle, à savoir la Commission nationale Informatique et Libertés (Cnil) en France, peut graduellement, donner des avertissements, ordonner au responsable de l’entreprise de satisfaire aux demandes de ceux dont les données personnelles ont été violées, limiter ou interdire un traitement informatique, voire mitiger plusieurs sanctions administratives. La Cnil va aussi prendre en considération la nature volontaire ou non de la violation, les mesures prises pour atténuer le dommage subi ainsi que le degré de coopération avec l’autorité. Dans tous les cas, les entreprises ont 72 heures pour informer la Cnil d’une fuite de données. Ce qui ne les dispense pas d’éviter la contagion. Si la fuite touche aux libertés fondamentales, elles devront aussi lancer une coûteuse campagne de communication pour avertir les personnes concernées. Par ailleurs, elles doivent également sensibiliser et former leurs salariés à la protection des données.
Une chose est sûre : toutes les organisations de tous les secteurs d’activité vont être impactées par ce règlement mais elles sont loin d’être prêtes. Pourtant, les données à caractère personnel ne manquent pas concernant les clients, les fournisseurs, les partenaires ou les salariés : adresses, téléphones, état civil, coordonnées bancaires, données biométriques, adresses IP, géolocalisations, etc. Enfin, le partage des données clients ou salariés avec d’autres prestataires (fournisseurs ou sous-traitants) est également concerné par le RGPD. « Selon l’Association française des correspondants à la protection des données à caractère personnel (AFCDP) qui regroupe les correspondants Informatique et Libertés (CIL) ainsi que les Data protection Officiers (DPO), seules 19 % des entreprises européennes pourront être conformes au RGPD en mai 2018 », poursuit France Charruyer.
Dans le secteur du transport routier de marchandises (TRM), les entreprises vont devoir changer de « logiciel » : « depuis la délibération Cnil du 27 mai 2014, elles sont dispensées de déclaration pour le traitement des données des chronotachygraphes. Désormais, elles vont passer d’une logique de dispense à une logique de responsabilité dans la mesure où elles devront démontrer leur conformité au RGPD en cas de contrôle », souligne l’avocate. Même pour les opérateurs de moins de 250 salariés, leurs activités de traitement habituelles sont susceptibles d’être considérées comme comportant un risque pour les droits et libertés des personnes concernées. Notamment la géolocalisation des conducteurs, et la sécurité des entrepôts par voie de vidéosurveillance.
En dehors des multinationales qui ont une forte culture du risque judiciaire, les entreprises du TRM ignorent purement et simplement la prochaine entrée en vigueur du RGPD et des risques afférents. De la société de plusieurs centaines de salariés jusqu’à la PME de moins de 50 salariés. Des spécialistes de la messagerie express jusqu’aux prestataires du e-commerce en passant par les hydrocarbures ou le transport exceptionnel… D’autres râlent : « Les ténors du numérique sont eux-mêmes incapables de leurs données à caractère personnel ! Comment voulez-vous que les PME ou les TPE fassent mieux qu’eux ? Ce règlement européen, c’est de l’utopie. Il n’a aucune chance de fonctionner, vitupère le patron d’une PME rhônalpine de moins de 50 salariés, ancien directeur des systèmes d’information d’un grand groupe de TRM. Les TPE et PME qui se feront prendre risquent de fermer. Ce règlement peut entraîner une concentration dans le TRM ». Au mieux, certaines PME et les ETI ont identifié les risques relatifs au RGPD, rencontré des prestataires en organisation et en services numériques. En témoigne GT Location, un groupe spécialisé dans la location de poids lourds avec chauffeur qui réalise 186 millions d’euros de chiffre d’affaires pour 2016 et emploie 2 400 salariés : « Nous sommes en train d’analyser avec notre service juridique précisément le découpage des risques et des mesures à prendre afin de placer la barre des coûts ni trop haut ni trop bas, confie Jacques Isnard, directeur des systèmes d’information. Notre système d’information est déjà très architecturé. Nos données sont déjà traçables et leurs sources bien identifiées. » Il y a un spécificité du transport routier. À l’instar du registre des traitements appliqués aux données, les entreprises du TRM ont intérêt à désigner au plus tôt un DPO, quitte à le mutualiser entre plusieurs PME. « Ce DPO va, entre autres, regarder de près le suivi des données personnelles, en particulier les données de géolocalisation, dont le traitement peut être caractérisé comme régulier, systématique et à grande échelle », indique France Charruyer.
Les entreprises auront trois étages d’obligations à respecter. À commencer par mettre en œuvre la protection des données dès la conception des systèmes d’information ou des applications. C’est le « Privacy by Design » (article 25-1). Il y a ensuite le « Security by Default » : le système d’information doit garantir que les données utilisées seront limitées au système qui les met en œuvre, détaille Alain Bensoussan. Enfin, avec le principe d’« accountability », apparaît une notion d’exigence de documentation ainsi que de renversement de la charge de la preuve. Aujourd’hui, c’est à la Cnil qu’il incombe de démontrer que tel traitement de données n’est pas conforme. Demain, avec le RGPD, c’est le responsable du traitement qui devra prouver qu’il est conforme. » Pour pallier cette difficulté, l’avocat vient d’établir avec le bureau Veritas un référentiel de certification dans le cadre de la conformité au RGPD qui sera certainement très utile aux entreprises. BMI System, IBM, Ivanti, Ixia, RSA, SAP, Ubcom… Pour les fournisseurs du numérique, la mise en conformité au RGPD est une véritable aubaine ! « Depuis le début de l’année nous sommes très fortement sollicités », reconnaît Jacques Isnard. Cependant, passer par un prestataire ou un fournisseur numériques n’exempte en aucun cas le chef d’entreprise de ses responsabilités. « Selon l’article 26 du RGPD, le dirigeant d’entreprise reste responsable des traitements appliqués aux données personnelles », insiste France Charruyer. Ainsi sa responsabilité peut-elle alors être conjointe avec un éditeur, un hébergeur ou une entreprise de services numériques (ESN). Qui plus est, le dirigeant doit aussi s’assurer des garanties apportées par ses sous-traitants en matière de protection des données. Problème : on attend encore la définition des certifications sur la conformité au RGPD ainsi que les 57 renvois aux législations nationales.