La GDPR : nouvelles contraintes ou opportunités ?

La GDPR (General Data Protection and Regulation) est un règlement européen adopté en avril 2016 et qui sera applicable en mai 2018. Ce document vise à uniformiser sur le territoire de l’Union Européenne la protection des données personnelles. Il remplace la précédente directive de 1995 (95/46/CE) qui se contentait d’harmoniser les différents droits européens.

La GDPR : nouvelles contraintes ou opportunités ?

 

Les contraintes d’un nouveau règlement européen…

On peut aujourd’hui considérer que les impacts de la GDPR se répartissent sur trois acteurs :

  • Le citoyen européen
  • Les acteurs économiques et sociaux
  • Les acteurs de contrôle/régaliens

Petit-déjeuner GDPR

 

Les impacts de la GDPR pour le Citoyen

Les impacts de la GDPR pour le CitoyenLe règlement responsabilise son activité sur le net tout en augmentant son droit à être informé. Ainsi, la GDPR instaure un principe de protection des données personnelles des enfants de moins de 16 ans en leur imposant l’obtention d’une autorisation parentale pour toute inscription sur les réseaux sociaux.

Par ailleurs, la GDPR impose également le « consentement explicite et positif » du citoyen. Pour chaque traitement de données, l’utilisateur devra fournir son consentement de manière claire, non équivoque, et non tacite. Ce consentement s’accompagne d’un droit à l’oubli qui permet de demander le retrait ou l’effacement de toute information ou donnée qui pourrait lui porter préjudice. En outre, le citoyen acquiert le droit à être informé du piratage de ses données sous 72 heures.

 

Pour les acteurs économiques et sociaux

L'impact de la GDRP pour les acteurs économiques et sociaux

L’impact est avant tout financier avec un risque d’amende compris entre 2 % et 4 % du chiffre d’affaires annuel mondial de ces acteurs. Il est ensuite organisationnel car ceux-ci devront désigner un DPO, délégué à la protection des données, qui s’assurera de la conformité aux normes européennes des actions mises en œuvre.

Enfin, il est technologique en imaginant le « comment » de son implantation dans les systèmes d’information existant. Et ce, afin par exemple, de rendre accessibles les données privées aux seuls intéressés. Par ailleurs, des études d’impacts sont à mener par les différents acteurs pour s’assurer de l’utilisation adéquate des données dites sensibles (orientation politique, religieuse etc.)

 

Pour les organismes de contrôle

L'impact de la GDRP pour les organismes de contrôleIl s’agit d’étendre les pouvoirs des CNIL locales qui seront chargées d’infliger les sanctions aux acteurs économiques qui contreviennent à ce règlement avec un devoir de coopération transnationales entre elles. Cette coopération sera orchestrée par le Centre de Protection des données (CEPD) remplaçant le G29 à partir de mai 2018.

Dans l’énoncé de ces faits bruts, la GDPR est perçue par les quelques acteurs économiques qui en ont pris connaissance et par la majorité des citoyens (à l’exception de ceux qui ont subi un préjudice lié au détournement de données) comme une contrainte  supplémentaire.

Par ailleurs, si la règlementation impose le « quoi », elle n’évoque en aucune manière le « comment ». Comment le citoyen pourra accéder, en toute sécurité, à ses données privées ? Comment les entreprises pourront exposer facilement les données privées auprès de leur détenteur ? Etc.

 

Illustration GDPR

 

… peuvent conduire à de nouvelles opportunités

Qui n’a jamais falsifié les informations qu’il renseignait lors de l’abonnement à un nouveau journal sur le net ? ou lors d’un achat en ligne d’une paire de chaussures ? Avec en filigrane cette éternelle question : mais pourquoi donc ont-ils besoin d’avoir ces informations ?

La GDPR : nouvelles contraintes ou opportunités ?

Le concept d’identité numérique : un pré requis pour la GDPR ?

Cependant, un citoyen qui souhaite étoffer un dîner en amoureux d’une bonne bouteille de vin achetée sur internet doit justifier de sa majorité. Aujourd’hui, la fourniture des codes d’une carte bleue est souvent considérée comme suffisante pour la justifier. Dans certains cas,  la date de naissance est contrôlée lors de l’inscription à un compte. Si la date que vous renseignez vous donne moins de 18 ans, un message vous informe que vous devez être majeur pour continuer. Il vous suffit alors de vous vieillir pour passer la barrière fatidique et d’utiliser la carte bleue de votre mère si vous avez moins de 18 ans.

Ainsi, les justificatifs de notre identité du monde physique sont-ils facilement détournés dans le monde digital. Alors pourquoi ne pas imaginer une identité numérique ? Certains services proposés par des Tiers de Confiance comme La Poste vous propose cette identité numérique pour certaines utilisations. L’Europe travaille aujourd’hui sur le code d’identifiant unique, le code ISAEN, qui pourra vous identifier de manière sécurisée.

Enfin une association, l’AETERNAM, se propose d’accompagner les échanges des futurs acteurs autour de cette loi (Citoyens, acteurs économique, organismes de contrôles) vers le « comment » de ce nouveau règlement, en abordant notamment les aspects d’identification et d’authentification.

 

L’identité numérique pour garantir au citoyen la communication d’une information nécessaire et suffisante auprès des acteurs économiques

Mais revenons à notre amoureux qui souhaite déguster sa bouteille en charmante compagnie. Il est maintenant doté d’un code ISAEN qui l’identifie de manière unique et sécurisé sur le net. Ayant plus de 18 ans, il a le droit d’acheter sa bouteille mais ne souhaite pas divulguer son adresse à son caviste préféré. Le caviste doit seulement s’assurer de la majorité de son client et percevoir le prix du cru qu’il a commandé. Ainsi, lors de la transaction, la seule information de la majorité du client ainsi que celles nécessaires à la transaction financière seront communiquées au caviste.

Mais alors comment livrera-t-il la bouteille ? Il lui suffit de communiquer le code ISAEN de son client au livreur qui seul connaitra l’adresse de livraison du colis sans en connaitre la réelle contenance. Seuls les éléments nécessaires à chaque acteur intervenant dans cette transaction sont donc communiqués.

Et si le caviste souhaite développer une relation plus personnelle avec son client pour lui proposer par exemple des promotions ou des conditions d’achat privilégiées ? Il pourra en faire la demande auprès de son client qui décidera ou non de lui communiquer plus d’informations. Par ailleurs cette communication sera assortie d’un droit de retrait valable à tout instant.

 

La sécurisation de l’identité numérique en question

Ce conte quelque peu idyllique du destin d’une bouteille de vin pose cependant un certain nombre de questions relatives à la sécurisation de cette identité numérique, au devenir du marketing digital développé par les GAFA et d’autres acteurs, etc. En fait, les opportunités semblent l’emporter sur les contraintes. En effet, les grands acteurs du Marketing Digital souffrent aujourd‘hui d’un manque de fiabilité des informations collectées sur leurs clients ou prospects.

Ainsi peuvent-ils espérer que les informations communiquées de manière tacite et assorties de conditions précises pourront être plus fiables. De même, aujourd’hui, ils ne disposent que d’une adresse IP pour identifier un internaute appartenant bien souvent à une famille dont les différents membres se réduisent à une unique adresse IP. Ils pourront demain disposer du code ISAEN leur permettant d’identifier quel membre de la famille se cache derrière cet IP.

GDPR : Global Data Positioning System

Ce recentrage de la possession des données privées sur leur possesseur réel ouvre de réelles perspectives pour les acteurs économiques. Ceux-ci pourront instaurer une nouvelle relation citoyenne avec leur client, et faire évoluer leur image. Mais qu’en est-il de la sécurité de ces identités numériques ?  Sont-elles infalsifiables et comment garantir l’identité ?

Petit-déjeuner GDPR

 

  • A propos
  • Derniers articles

One Comment

  1. Alors que le gouvernement français veut utiliser un décret pour créer un ‘méga’ fichier des identités française (http://abonnes.lemonde.fr/…/passe-d-armes-au-sein-de-l-exec…), personne ne parle des directives en cours en Europe.

    Les deux sujets (européen et français) doivent être vus ensemble, tant au niveau des principes que de la mise en œuvre.

    Enfin, le cas de l’Estonie qui, paraît il, à digitaliser toutes les procédures administratives et aussi uniformisé l’identité numérique et la conserver des données personnelles.
    Voir http://www.usine-digitale.fr/article/etude-exclusive-l-estonie-pays-le-plus-numerique-d-europe-un-modele-pour-la-france.N311177

    à suivre…

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*