Devenus incontournables dans nos vies connectées, les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) récupèrent, souvent à notre insu, des informations à caractère personnel. Officiellement il s’agit d’adapter au mieux leurs services à nos besoins. Mais derrière l’exploitation de ces données numériques se cache un juteux business, à tel point que l’on parle aujourd’hui d’or noir du XXIe siècle. « Oui, les data valent de l’or, car les GAFAM n’hésitent pas à monétiser nos données à des fins publicitaires ciblées, confirme Olivier Bohy, consultant-formateur pour AFNOR Compétences. Le déploiement des outils numériques crée un nouveau défi pour les entreprises qui doivent se prémunir du profilage, des fuites ou violation de données mais aussi des cyberattaques. »
Vigilance sur le RGPD
En Europe, depuis 2018, le Règlement général sur la protection des données (RGPD) met clairement les dirigeants face à leurs responsabilités. Une entreprise ne peut récolter des données sans objectif : en plus d’être consentie, la collecte d’informations à caractère personnel doit avoir une finalité, en regard de l’activité exercée. « Les entreprises sont de plus en plus vigilantes sur ce que demande la loi Informatique et libertés, en France, et sur la protection des données personnelles. Toutefois, pour être traitée efficacement, celle-ci doit être confiée à un DPO (Data Protection Officer, ou délégué à la protection des données en français) dûment certifié. La certification DPO constitue aujourd’hui un vecteur de confiance pour l’entreprise elle-même, mais aussi pour ses clients, partenaires et collaborateurs », soutient Olivier Bohy. Mais cette certification ne s’improvise pas… Une formation est ici d’une aide précieuse.Des sanctions financières en cas de récurrence
N’oublions pas qu’à tout moment, un individu peut demander l’accès à ses données personnelles. Et bien souvent, s’il n’obtient pas une réponse dans le délai légal imparti, il peut dénoncer ce manquement à la CNIL. Celle-ci peut alors diligenter un contrôle sur place, ordonner une première injonction de mise en conformité en cas de manquement constaté, accorder généralement un délai si nécessaire et infliger une sanction financière en cas de récurrence. « J’insiste souvent sur les précautions à prendre bien en amont du traitement des données. Par exemple, dès la contractualisation avec un hébergeur, pour définir les clauses de confidentialité souhaitées, explique Olivier Bohy. De même, c’est au DPO d’apporter de la rationalité quand l’entreprise choisit ou subit un changement d’organisation ou de système informatique pour sécuriser le traitement des données », complète-t-il. Votre entreprise est ouverte à l’international ? La vigilance est également de mise pour encadrer les transferts de données hors de l'Union européenne. Olivier Bohy cite le cas de Google Analytics, qui fait actuellement jurisprudence pour avoir illégalement transféré des données aux Etats-Unis.On le voit bien, ce sujet déjà complexe va s’amplifier au fil du déploiement de nouveaux systèmes. Telle l’installation de boîtiers wifi encore plus performants dans les gares pour améliorer le service client. Alors, surveillance ou protection ? La frontière est mince… L’idée n’est certainement pas de laisser certaines entités « contrôler » à outrance mais bien de trouver un juste milieu entre protection, obligation de sécurité et transparence à l'égard des utilisateurs.
