RGPD : Que penser de la nouvelle loi autour de la protection des données personnelles ?
Le RGPD est entré de gré ou de force dans toutes les sociétés, souvent au dernier moment, mais avec comme objectif légitime pour le législateur européen de mieux contrôler l’usage qui est fait de nos données personnelles. Alors qu’en penser ? Develop’Invest, éditeur du logiciel SIRH, mySiteRH®, fait le point.
Le RGPD, une loi européenne avec en ligne de mire les GAFA
Egalement nommée GPDR, cette loi, applicable depuis le 25 mai dernier, n’est pas limitée à la France, mais bien à toute l’Union Européenne qui désire sécuriser les données personnelles de ses ressortissants, et par-là même assurer sa propre sécurité.
Face à la montée croissante des GAFA (Google, Apple, Facebook, Amazon), dont le principal leitmotiv est de commercialiser les données personnelles (plus que de vendre des produits ou d’offrir un service), l’Europe a donc décidé de se munir d’un arsenal pour pouvoir contrôler –ou tenter de contrôler- le traitement qui est appliqué sur les données dites personnelles et/ou sensibles.
Si ce règlement s’applique à toutes –ou quasiment toutes- les sociétés, la première version de ce règlement appelé à évoluer dans le futur a une double ambition.
D’une part, que les entreprises deviennent transparentes quant à l’utilisation qui est faite des données et surtout, de ne pas les amasser sans un but précis dédié à leur activité. Dans le cas des services RH que ce soit pour la gestion de la paye ou de la formation, l’utilisation des données personnelles entre dans le cadre de l’exécution du contrat qui lie le salarié à la société.
D’autre part, pour les personnes physiques, il s’agit surtout de faire prendre conscience aux générations actuelles et à venir qui n’ont plus de limite sur la divulgation de leurs données, qu’il faut rester vigilant et qu’il est nécessaire de connaitre le traitement qui sera réalisé ensuite.
Le RGPD, un prolongement de la LIL (Loi Informatique et Liberté)
Bien qu’il fasse beaucoup parler de lui, en France, l’arrivée de ce nouveau règlement ne devrait pas révolutionner les pratiques. En effet, depuis bien longtemps, notre pays dispose déjà de mesures de protection, plus ou moins bien appliquées ou mises en œuvre avec la LIL, la Loi Informatique et Libertés.
Le RGPD reprend la grande majorité des principes –parfois renforcés- à savoir le devoir d’information et/ou de consentement, auxquels il ajoute notamment la portabilité des données, la prise en compte de la sécurisation dès la conception d’un traitement (« Privacy by Design », « Privacy by Default »), l’identification des traitements à risque (registre des traitements, étude d’impact), ou encore le principe de minimisation (ne recueillir que ce qui est nécessaire) .
En cas de fuite des données, les entreprises ont l’obligation de prévenir la CNIL sous 72H. Comme pour la LIL, la CNIL est donc chargée de contrôler et de sanctionner en cas de manquement avéré. Son pouvoir a ainsi été renforcé, avec des sanctions pouvant aller jusqu’à 4% du chiffre d’affaire.
La CNIL saura se montrer souple pendant les premiers mois d’application de ce nouveau règlement comme l’a révélé Isabelle Falque-Pierrotin, présidente de la CNIL au journal Les Echos ; “Le 25 mai ne sera pas une date couperet annonciatrice d’une pluie de sanctions […] Notre but ne sera pas de sanctionner immédiatement des manquements à des obligations nouvelles liées au RGPD. Cela durera certainement le temps de l’année 2018. Après, on verra“, a-t-elle annoncé.
Pour autant, la LIL étant censé être déjà respectée par les entreprises, des sanctions sont déjà tombées : la société Optical Center a par exemple été condamnée à une amende de 250 000 € en mai 2018 pour des faits remontants à 2017.
Un règlement quelque peu schizophrène mais qui va dans le bon sens
Si l’idée de base est plutôt bonne, dans la réalité, la mise en place va vite trouver des limites. D’une part, la mise en œuvre reste floue pour tout le monde, même pour la CNIL : le niveau de détail pour le simple registre des traitements est par exemple pour le moins peu documenté si ce n’est une simple matrice donnée en exemple.
D’autre part, pour les petites entreprises, le coût va être important, tandis que pour les grandes, outre la complexité à la mettre en place, certaines obligations pourtant fondamentales du règlement ne seront qu’une formalité.
Il suffit de se rendre sur internet pour s’en rendre compte. En incluant le recueil du consentement dans des conditions générales incompréhensibles et surtout longues comme le bras et que personne ne lit réellement, les Facebook, Twitter, Amazon, Paypal, Ebay et autres gros acteurs ont déjà recueilli l’aval des « consommateurs ». Consommateurs qui, souvent agacés de voir toutes les popups qui sont apparues sur leurs sites préférés leur expliquant que le respect de leur vie privée était leur priorité, n’ont même pas lus le laïus en question…
Pire, le RGPD impose ne pas héberger les données n’importe où.
Quand le Maroc, où se situe bon nombre de centres d’appels, est par exemple exclu de la liste, les Etats-Unis sont quant à eux acceptés. Pourtant, ces derniers appliquent le « Patriot Act » autorisant les services de sécurité à accéder aux données informatiques détenues par les particuliers et les entreprises. Tout cela, sans autorisation préalable et sans en informer les utilisateurs bien sûr. Tout l’inverse du RPGD…
Que dire également de l’Europe et de la France, qui, en utilisant des logiciels dont elles ne maitrisent aucunement le code source met à disposition implicitement toutes ses données. A ce titre, il n’est pas inutile de rappeler que la NSA s’est fait dérober en 2017 (provoquant la panique du ransomware WannaCry) les informations techniques pour exploiter une faille informatique qu’elle utilisait sur tous les systèmes d’exploitation Microsoft, notamment la version « XP »… commercialisée en 2001, c’est-à-dire depuis plus de 15 ans…
Microsoft a beau affirmer qu’il avait publié des correctifs, le mois précédent l’attaque (pour une faille vieille de 15 ans), le timing entre la publication du patch, et l’exploitation de la faille n’est pas sans poser question sur les liens étroits qu’entretient l’éditeur de Redmond avec les pouvoirs de son pays.
Malheureusement, on n’est pas là devant un cas isolé… On se souvient également des révélations Snowden concernant le programme PRISM permettant une surveillance de masse via un accès privilégié aux serveurs des grands acteurs tels que Facebook, Google et bien sur Microsoft.
Le RGPD est donc un premier pas pour la protection de nos données.
Cependant, entre une mise en place encore floue, compliquée et couteuse pour les petites entreprises et une application chez les gros acteurs qui semble difficile à certains égards notamment dans le « Cloud », et une simple formalité sur d’autres points, le chemin à parcourir est encore long jusqu’au graal, même s’il ouvre la voie à un meilleur usage de nos données personnelles.
Les services RH, et leurs sous-traitants sont bien sur directement impactés du fait des nombreuses données personnelles qu’ils doivent gérer dont certaines sont clairement identifiées comme sensibles telle que la situation de travailleur handicapé ou encore l’appartenance syndicale.
Article écrit par Loic Ferrière, Responsable des systèmes d’information