05 Oct Décideurs Magazine – Interview Nathalie Chiche : « Chaque entreprise va devenir une Cnil »
Magazine Décideurs -Interview Nathalie Chiche
C’est chose faite : la nouvelle réglementation en matière de protection des données personnelles au sein de l’Union européenne a été adoptée après coordination des « Cnil » nationales. Le nouveau règlement entrera en vigueur en 2018. Spécialiste du secteur et fondatrice de Data Expert, Nathalie Chiche décrypte pour Décideurs magazine ce véritable statut protecteur de la data.
Décideurs. Le règlement sur la protection des données crée une nouvelle Europe des données. Est-ce une avancée pour les entreprises de l’Union ?
Nathalie Chiche : Oui, puisque l’Europe se dote enfin d’un outil de protection des données, contrairement aux États-Unis et à la Chine qui ont une logique de monétisation des données. La France et l’Europe restent pour l’instant une « colonie du numérique », ce qui explique l’ubérisation de notre économie.
Le règlement répond à un état de fait : les GAFA ‒ Google, Apple, Facebook et Amazon ‒ et les nouveaux entrants, les NATU ‒ Netflix, Airbnb, Tesla et Uber ‒, sont devenus des géants dont le succès repose sur nos données personnelles pour une domination sans partage. Et la data est la première matière du numérique : d’ici 2020, il y aura 50 milliards d’objets connectés. Or, aucun acteur européen majeur n’a pour l’instant émergé en raison de la diversité des régimes de réglementation au sein de l’Europe. Mettre un terme à cette fragmentation juridique crée une politique uniforme de protection des données des personnes physiques sur le territoire communautaire, à l’inverse de la politique actuelle américaine. À terme, deux régimes de protection des données émergeront : l’un plus protecteur en Europe, l’autre plus libéral aux États-Unis.
Le nouveau règlement est la clé de la réussite du secteur du digital pour les entreprises européenne car la transparence et la sécurité, piliers du règlement, seront source de confiance pour les citoyens européens
De quelle manière exactement ?
Pour le moment, la règle du « winner takes all » prime et bientôt nous n’aurons plus que des situations quai monopolistiques: un seul moteur de recherche, une seule application de tchat, un seul site de e-commerce, etc. C’est la raison pour laquelle nous souffrons tellement de l’ubérisation ‒ ou de la « plateformisation » ‒ de notre économie. Après le 25 mai 2018, date d’entrée en vigueur du règlement, les Gafa et les Natu qui ciblent les consommateurs au sein de l’Union seront soumis aux mêmes règles que les entreprises établies sur le sol européen. Ainsi, une totale égalité de concurrence entre tous les acteurs du numérique sera instaurée.
Le nouveau règlement est la clé de la réussite du secteur du digital pour les entreprises européennes
Si les entreprises sortent renforcées de cette protection accordée à la valeur « donnée », elles doivent instaurer elles-mêmes de nouvelles règles internes. De quoi s’agit-il ?
Le nouveau règlement européen, d’application directe, simplifie les formalités relatives à la gestion des données personnelles. Au moment où il entrera en vigueur, les formalités préalables auprès de la Cnil seront supprimées et remplacées dans la majorité des situations, par la tenue obligatoire d’un registre interne aux entreprises. Le new deal du règlement, c’est plus donc de responsabilité (principe d’accountability) en échange d’une simplification des formalités.
En outre, le responsable de traitement sera tenu de nommer un data protection officer (DPO). S’il peut être assimilable à un correspondant informatique et libertés (Cil), le DPO est en réalité plus que ça. Au-delà d’un simple correspondant entre l’entreprise et la Cnil, le DPO est responsable du contrôle de la protection de la data. Dès la conception des projets digitaux, ce spécialiste sera en charge de la politique de protection des données personnelles. C’est la notion de privacy by design qui va prendre de l’ampleur dans les prochaines années.
Peut-on parler d’une sorte de renversement de la charge de la preuve ?
Exactement, puisqu’avec l’abrogation de la directive 95/46/CE au profit du nouveau règlement, ce ne sont plus les Cnil nationales qui seront chargées de vérifier la conformité du traitement des données à la loi mais aux entreprises elles-mêmes de prouver que leurs traitements sont conformes au règlement en cas de contrôle du régulateur. Chaque entreprise va devenir une petite Cnil, sans avoir les pouvoirs de sanction de la Cnil bien entendu !
Que se passera-t-il en cas de violation du règlement ?
La sanction est très dissuasive : l’entreprise est susceptible d’être condamnée à une amende pouvant aller jusqu’à vingt millions d’euros ou 4 % du chiffre d’affaires mondial. Cette arme de dissuasion massive n’a rien à voir avec les faibles pouvoirs coercitifs actuels des Cnil nationales. Dorénavant, les géants du Web devront y réfléchir à deux fois avant de lancer un projet susceptible de violer le nouveau règlement.
Toutes les entreprises sont-elles concernées ?
Les sociétés qui récoltent et utilisent la data – toutes aujourd’hui ! –, doivent commencer par procéder à un audit dès que possible. Ensuite, elles doivent mettre en place des outils de protection, grâce au DPO notamment. Pour le moment, le règlement n’a pas précisé quelle était la taille des entreprises concernées.
À terme, le respect des bonnes pratiques en matière de protection des données et du respect de la vie privée constitueront un avantage compétitif pour toute entreprise et un marqueur certain pour sa réputation, même si la mise en conformité avec le règlement peut être ressenti comme contraignante au départ.
Propos recueillis par Pascale D’Amore et Thomas Bastin
Nathalie Chiche a été rapporteure au Conseil économique, social et environnemental. Elle est membre de l’Observatoire de l’ubérisation et fondatrice de la société Data Expert spécialisée dans l’accompagnement de ses clients pour faire face aux mutations du droit des données et de la mise en conformité avec le règlement général de la protection des données à caractère personnel.