RGPD : protection des données et nouveaux enjeux pour les sociétés de sécurité privée

Les acteurs économiques de l’Union Européenne doivent se préparer à l’entrée en vigueur, en mai 2018, du Règlement Général pour la Protection des Données (RGPD). Comme toutes les entreprises, les sociétés de sécurité privée doivent s’assurer de leur mise en conformité. En leur qualité de prestataire de service, cela leur donne une responsabilité non seulement auprès de leurs clients mais aussi de tout individu identifié ou identifiable dans les dispositifs de sécurité.

Voté par le Parlement européen en 2016, le Règlement Général pour la Protection des Données (RGPD) entre en vigueur dans les états membres à partir du 25 mai 2018. Dans le contexte numérique actuel (big data, objets connectés, intelligence artificielle), il a pour objectif de mettre en place un cadre renforcé et harmonisé autour de la protection des données personnelles. L’individu voit ses droits consolidés et les entreprises doivent se conformer à de nouvelles exigences de transparence. Quels sont les enjeux pour les entreprises et plus particulièrement pour les sociétés de sécurité privée ? Entretien avec Emmanuel CAUVIN, consultant RGPD, fondateur de Data Protection Circle.

 

Avant toute chose, que faut-il comprendre par « donnée personnelle » ?

Emmanuel CAUVIN : Une donnée personnelle est une donnée informatique qui se rapporte à un individu : son nom, son adresse, sa date de naissance, ses identifiants informatiques mais aussi son image, ses activités à titre privé ou professionnel, ses déplacements, ses achats etc. En résumé, tout ce qui apporte une information sur une personne, même si cela semble anodin, est dit « donnée personnelle ».

 

Pourquoi mettre en place le RGPD ? Qu’est-ce que cela change pour les entreprises ?

E.C. Jusqu’à présent en France, les entreprises recueillant des données personnelles devaient envoyer une déclaration préalable à la Commission Nationale de l’Informatique et des Libertés (CNIL). Ce type de réglementation à l’ancienne, mis en place dans les années 1970, n’était plus en phase avec la réalité actuelle. Aujourd’hui le numérique est partout : informatique en mode « cloud », smartphones, objets connectés, intelligence artificielle, etc. Avec le RGPD, les autorités s’adaptent à cette nouvelle donne et redéfinissent entièrement les règles du jeu.

Les entreprises doivent se prendre en main et mener leur projet de conformité de manière autonome, en fonction de leur métier et de leurs spécificités. Elles doivent s’approprier les principes du RGPD et les implémenter dans leur fonctionnement au quotidien : au moment de choisir une solution informatique, de mettre en place un outil, etc. Objectif, faire en sorte que la protection des données personnelles devienne un sujet de tous les jours, au même titre que le fait de tenir une comptabilité ou de livrer les clients.

S’il fallait résumer la position des autorités européennes, ce pourrait être : « on compte sur vous mais… gare aux contrevenants ! » C’est le principe de « l’accountability » : les entreprises n’ont plus à faire les déclarations, mais en contrepartie elles doivent se préparer en interne et donc être capables de prouver leur conformité en cas de contrôle.

 

La législation n’est pas encore entrée en vigueur mais elle fait déjà beaucoup parler d’elle. Pourquoi ?

E.C. Deux raisons à cela. D’abord l’échelle des peines, qui peut aller jusqu’à 4% du chiffre d’affaire global en cas de non-conformité. La volonté délibérée des autorités de protection des données est de « taper fort » sur les contrevenants pour, à terme, s’aligner sur la sévérité qu’on observe depuis longtemps du côté des tribunaux dans le domaine du droit de la concurrence (cartels, abus de positions dominantes). Le but est de marquer les esprits et de faire bouger les lignes.

La seconde raison tient aux contraintes de mise en conformité. Le RGPD ne s’applique pas seulement à un secteur d’activité ou un type de produit ou de service mais bien aux données personnelles. La législation concerne donc tous les acteurs économiques européens : des GAFA aux plus petites sociétés. Les entreprises, tous secteurs confondus, doivent ainsi faire un exercice très inhabituel : éplucher un par un tous leurs outils et tous leurs systèmes pour partir à la recherche de ces fameuses données personnelles. Aucun traitement de données ne doit être laissé dans l’ombre, tout doit être documenté, vérifié et mis sous contrôle. La tâche peut s’avérer colossale…

 

Qu’en est-il des données relatives à la sécurisation des personnes et des lieux, notamment les images issues des caméras de vidéosurveillance ?

E.C. Ces images obéissent depuis longtemps à des règles assez précises, qu’il s’agisse d’images prises sur la voie publique ou dans les locaux des entreprises. A priori le RGPD n’apportera pas de grand bouleversement en la matière (obligation d’apposer une affichette, conservation des images pendant un mois sauf en cas de procédure judiciaire, nécessité de restreindre l’accès aux images), si ce n’est évidemment la disparition de la déclaration à la CNIL. En ce qui concerne la sécurité des dispositifs, l’exemple de ce qu’il ne faut pas faire est fourni par le site insecam.com (« insecure camera »), qui donne à voir des centaines de caméras non sécurisées et dont les images se retrouvent en libre accès sur le web !

 

Quelle peut être la responsabilité des entreprises de sécurité privée qui agissent le plus souvent en qualité de sous-traitant ?

E.C. Autrefois seul le client pouvait être inquiété en cas d’utilisation abusive des données ou de fuite vers des destinataires inconnus (« Data Breach »). Demain ce ne sera plus le cas. Le RGPD prévoit que le sous-traitant a une responsabilité directe en matière de sécurité des données qui passent entre ses mains, même si le flux est organisé par le client pour répondre à ses besoins propres. Les donneurs d’ordre ne sont plus seuls en première ligne, les prestataires peuvent aussi être mis en cause si le traitement des données n’obéit pas aux conditions légales. En leur qualité de sous-traitant, les sociétés de sécurité privée doivent donc prendre en compte cette nouvelle donne, à la fois pour assurer leur propre conformité au RGPD mais aussi celle de leurs clients.

 

En conclusion, peut-on voir des bénéfices dans le RGPD pour les entreprises ?

E.C. Malgré les contraintes de mise en conformité et les sanctions encourues, les entreprises doivent garder en tête les bénéfices de la sécurisation des données personnelles pour leur activité. D’abord, en augmentant le niveau de protection des données personnelles et la transparence quant à leur collecte et leur utilisation, elles gagnent en confiance auprès de leurs clients et de leurs utilisateurs.

Par ailleurs, elles peuvent réfléchir à l’utilisation de ces données dans un cadre renouvelé. Le RGPD va obliger les entreprises à mieux identifier celles dont elles disposent. Pour quoi faire ? Nous verrons bien. Gardons simplement en tête qu’on parle des données comme du pétrole du nouveau siècle. Cela pourrait être vrai aussi pour les sociétés de sécurité privée qui pourraient les utiliser pour explorer des nouveaux rôles, des nouveaux modèles. Vaste programme…

Emmanuel CAUVIN

Fondateur de Data Protection Circle