À l’heure du Big Data et de la personnalisation des offres et des services, les données à caractère personnel pullulent dans les entreprises. En cas d’une exploitation de ces données non conforme à la loi Informatique et Libertés, l’entreprise risque de lourdes sanctions.
Avec Internet et les objets connectés, les entreprises se retrouvent en possession d’un volume colossal de données. Centralisées et sauvegardées dans des fichiers, les données à caractère personnel – toute information permettant d’identifier directement ou indirectement une personne physique – doivent faire l’objet d’une déclaration à la Cnil. « Cette déclaration sera normale ou simplifiée selon la nature des données recueillies et la finalité de la collecte » précise Gérard Haas, avocat associé chez Haas société d’avocats.
Obligations des entreprises
Au préalable de cette démarche à la Cnil, les entreprises doivent afficher, envers leurs collaborateurs, clients, fournisseurs ou utilisateurs, une totale transparence sur la collecte des données et leur utilisation. Ainsi, elles doivent recueillir leur accord sur la collecte, les informer de la finalité, et sur leurs droits d’accès, de modification et de suppression de leurs données. Elles doivent aussi les assurer de la confidentialité et de la sécurité des données.
Nouvel or noir du XXIe siècle, les données sont aujourd’hui la cible régulière d’opérations de piratage. En cas d’une intrusion frauduleuse au sein du système d’information, l’entreprise doit informer les intéressés et la Cnil.
Autre point de vigilance : la durée de conservation des données. Celle-ci est fonction de leur finalité et doit être définie au préalable. Ainsi, une fois l’objectif poursuivi par la collecte atteint, les données doivent être supprimées. Généralement cette conservation est de 13 mois.
Enfin, s’agissant de la transmission des données à des tiers, l’accord des intéressés est obligatoire. « À l’heure du Big Data et du mythe de la personnalisation des offres, les données ont atteint une valeur inestimable pour les entreprises. La revente de fichiers est une pratique qui ne cesse de se développer », souligne Gérard Haas. Mais cette cession requiert l’accord préalable des clients, souvent tiraillés entre l’envie de profiter d’une offre de services ou d’un produit et la peur que leurs données soient utilisées à tout va par n’importe qui.
Des risques non négligeables
En cas de non-respect de la loi Informatique et Libertés, l’entreprise encourt des sanctions administrative et pénale pouvant aller jusqu’à 5 ans d’emprisonnement et une amende de 300.000 euros. Au-delà de ces risques dissuasifs, les entreprises doivent saisir l’importance de la transparence et de la confiance de la gestion des données à caractère personnel dans l’économie numérique. « Sans cette transparence, le client ne confiera pas ses données à l’entreprise, et sans cette confiance il n’y aura pas de croissance de l’économie numérique », renchérit Gérard Haas.
Avec l’avènement des objets connectés et la croissance du Big Data, le concept de « Privacy by design » (apparu en 2010 lors de la 32e conférence internationale des commissaires à la protection des données et de la vie privée) ne cesse de se développer.
Ce concept consiste à prendre en compte les enjeux de la protection des données à caractère personnel dès la conception des produits en y intégrant les mécanismes à même d’en garantir l’effectivité.
« Prenons l’exemple du Smart Grid, technologie de distribution d’électricité intelligente. Sous couvert d’une gestion optimum du réseau électrique, cette technologie fournit des informations sur la façon de vivre de chaque foyer : quelle consommation, à quelle heure, nombre d’habitants approximatif, etc. Avec le “privacy by design”, la protection des données sera prise en compte dès la conception de cette technologie, » souligne Antoine Chéron, avocat spécialisé en propriété intellectuelle et associé du cabinet ACBM.
Ce concept, qui devrait entrer en vigueur dans le règlement européen sur la protection des données à caractère personnel, sera garant de la protection de la vie privée et apportera aux usagers une plus grande sérénité face à des technologies qu’ils jugent de plus en plus intrusives.
