Bien qu’adopté le 27 avril 2016 par le Parlement Européen, le « Règlement Général pour la Protection des Données » (plus communément appelé RGPD) entrera en vigueur le 25 mai 2018. Cette nouvelle loi vise à harmoniser les réglementations en vigueur dans les différents pays européens sur les problématiques de protection et d’accès aux données personnelles. Mais à l’ère du Big Data et de l’Intelligence Artificielle, ce nouveau règlement ne signerait-il pas la mort de l’innovation technologique en Europe ?
Les entreprises sont en émoi. Ça y est. Dans 5 mois, la RGPD (ou GDPR pour nos amis anglophones) entrera en vigueur et les premières sanctions tomberont. Si ce règlement européen reprend des bases juridiques déjà présentes en France (accès aux données, droit à l’oubli…) il ajoute de nouvelles obligations qui ne vont pas ravir les entreprises. Parmi elles, l’obligation de protéger les données personnelles ainsi que leurs traitements. Et la définition de données personnelles est large…
Cette protection des données personnelles passe bien entendu par l’encryptage systématique de la data collectée mais également par la création du poste de DPO (Data Protection Officer). Autre mesure phare : la justification du traitement de la data. La RGPD oblige chaque entreprise collectant de la donnée, à se justifier sur le traitement de cette dernière. Dans le cas où la collecte d’un type de donnée ne serai pas jugé pertinente, cette dernière serait purement et simplement détruite par l’entreprise.
http://www.mbadmb.com/wp-content/uploads/2017/12/RGPD-article-4-Maxime-Tricoire-MBADMB.png
Mais la grande nouveauté de cette loi est surement l’obligation pour les entreprises de communiquer à la CNIL local toutes fuites de données personnelles sous 72h. Et là où la RGPD enfonce le clou, c’est qu’elle oblige également l’entreprise à communiquer sur cette fuite de données auprès des consommateurs, toujours sous 72h (une pensée émue à UBER qui c’était non seulement fait pirater 57 millions de comptes fin 2016 mais avait en plus caché cette fuite de donnés pendant près d’un an).
On peut alors se demander quelles entreprises vont oser mettre à mal leurs crédibilités et leurs légitimités pour entrer en accord avec le droit européen?
Ne vous inquiétez pas, l’Europe a tout prévu…
Quelle sanction pour la RGPD ?
Pour les petits malins qui voudraient contrevenir à la loi, l’Europe a pensé à tout. Une amende. Une grosse amende. Entre 2% et 4% du chiffre d’affaire. Mondial. Si nous prenons le cas d’UBER, le géant américain serait tenu à payer une amende entre 110 et 221 millions d’euros.
Les plus vifs d’entre vous me diront que UBER étant une entreprise américaine, elle n’est pas soumise à la gouvernance européenne. Que nenni. Cette loi est conçue de manière à s’appliquer de manière mondiale. Comprenez par-là que n’importe quel entreprise, peu importe sa localisation géographique, est susceptible d’être touché par la RGPD pour peu qu’elle traite les données d’un seul citoyen européen.
Et l’IA dans tout ça ?
Je ne surprendrai personne si je disais que l’Europe accuse un certain retard en termes d’intelligence artificielle et d’innovation. Le député de l’Essonne Cédric Villiani le confessait bien volontiers lors des « Journées de Bruxelles » le 30 novembre dernier. Et la RGPD pourrait bien encore creuser l’écart avec les GAFA américain et les BATX chinois. En obligeant les entreprises à ne collecter et traiter que les données « utiles » à leurs services, l’Europe ampute ces mêmes entreprises de la sérendipité propre à la découverte technologique. Cette innovation fortuite est d’autant plus importante dans le monde de par la masse de donnée que collecte les data lake. Ces données, une fois analysées et croisées, peuvent amener à n’importe quelles innovations. L’Europe ne se tirerait-elle donc pas une balle dans le pied ?
Si la RGPD apporte un plus grand pouvoir aux consommateurs qui deviennent alors plus « maîtres » de leurs données, elle handicape nettement les entreprises. Il reste à voir si le règlement sera appliqué à la lettre ou bien si, comme pour le droit à la déconnexion, il sera ignoré. Il faudra aussi rester attentif aux tensions géopolitiques que peut créer ce règlement. En effet, il y a fort à parier que les USA et la Chine cherchent à défendre leurs champions digitaux…