in

L’hébergement et la gestion des données face au RGPD

Un an après, le RGPD continue de faire parler. Quelles leçons en tirer ? Quels enjeux pour demain ? L’éditeur de logiciel Cornerstone, spécialisé dans la gestion du capital humain, prend la parole sur les défis en matière d’hébergement, de gestion et de protection des données.

Afin de mieux saisir le sujet, Cornestone a voulu échanger lors d’une table ronde réunissant le Vice-Président de la CNIL, Eric Péres, le DPO global de Cornerstone, José Rodriguez et le directeur marketing d’Equinix, Fabien Gautier. Au menu : l’importance de remettre l’Union Européenne au cœur du débat de l’hébergement et de la gestion des données à l’heure du Règlement Général sur la Protection des Données (RGPD).

 

 

Pourquoi le RGPD a-t-il été nécessaire ?

Tout d’abord, la CNIL rappelle que les sanctions publiques et visibles du public ne sont qu’une partie de l’iceberg. Sur 100 contrôles aujourd’hui, on constate encore 99% de manquements, d’appréciation différente. Ces chiffres sont alarmants : quel que soit le responsable de traitement, il y a un risque qu’il ne soit pas ‘compliant’ (conforme). Néanmoins, les deux domaines où l’on compte le plus de manquements sont le commerce et le marketing, généralement liés à la sécurité des données.

« Pour Cornerstone, le sujet de la protection des données est essentiel à plusieurs titres puisque l’on travaille à la fois des données marketing et des données RH. D’ailleurs ce qui est intéressant avec les données RH c’est qu’elles appartiennent à la fois à l’entreprise mais aussi à l’employé. Nous travaillons donc autour de la gestion de la sécurité et de l’accès aux données depuis longtemps » nous confie de Geoffroy de Lestrange, Directeur associé marketing produit EMEA chez Cornerstone.

De ce fait, à l’arrivée du RGPD, Cornestone s’est emparé très vite du sujet en travaillant en lien avec la CNIL. En effet, le RGPD vient renforcer des obligations déjà existantes telles que celles du Code du travail pour les données RH.

« Avant, on pensait le manquement de sécurité comme une faille. Mais il faut aller encore plus loin, en incluant le sous-traitant par exemple, dont les responsabilités sont engagées » atteste la CNIL.

Le RGPD n’est pas une loi pour protéger des données mais bien un règlement pour protéger les personnes. De même, l’arrivée du RGPD n’a pas fait disparaître la loi Informatique et Libertés. Au contraire, aujourd’hui il faut évoluer au travers de trois cadres juridiques : la loi Informatique et Libertés, la directive « Police-Justice » et le RGPD.

Le RGPD : l’obligation du concept de privacy by design

Grâce au RGPD, la protection des données se fait, par défaut, dès la conception.

« Les personnes qui ont rédigé le RGPD ont été assez malignes. Elles sont parties du principe que les données étaient désormais gérées en masse par des logiciels. De ce fait, on ne peut pas attendre la fin de production pour vérifier que les choses soient bien faites ; ce serait bien trop coûteux ! Il faut le faire dès la phase de conception. Le RGPD oblige à prendre en compte tous les éléments à protéger dès la création » nous explique José Rodriguez, DPO de Cornerstone.

L’irrigation internationale du RGPD

Connaissez-vous l’effet Bruxelles en économie ? Il s’agit de l’influence de l’Europe à l’échelle internationale. Comme l’atteste l’influence du RGPD sur le droit d’autres pays, comme celui du Japon, du Canada ou encore de la Californie. Preuve que l’Europe a ouvert la voie à de nouvelles pratiques.

Petite nuance

Le RGPD reste un règlement, pas un manuel opératif ! C’est aux équipes des DPO de participer à la définition du traitement des fonctionnalités d’un produit puis de regarder l’adéquation entre ses fonctionnalités et les obligations de la loi.

En ce qui concerne la sécurité physique et logistique des données, le RGPD marque-t-il une rupture ?

L’avantage majeur du RGPD est la prise en considération de l’enjeu physique de la donnée, ainsi que de celui du transfert des données. C’est, en tous cas, ce que constate Equinix, hébergeur de données. Depuis plus de 20ans, les évolutions technologiques (big data, IA, ioT) permettent de capter de plus en plus d’informations diverses. L’objectif est donc de pouvoir apporter une valeur économique à ces données. Il faut donc être en mesure de stocker mais aussi d’analyser un foisonnement de données.

« Pour nous, le défi est d’être une industrie bien physique, comme en témoignent nos data centers. Mais aussi d’être l’industrie de la digitalisation actuelle. Notre but est de rendre possible des interconnections entre acteurs » témoigne Fabien Gautier, directeur marketing chez Equinix.

Avant, les entreprises avaient le réflexe de stocker leurs données dans un réseau anglo-saxon sans vouloir multiplier les points de présence. Aujourd’hui, bien que le RGPD n’impose pas le stockage de la donnée dans un pays donné, il est intéressant de remarquer que, pour beaucoup, « sécurité des données » rime avec « hébergement dans le pays concerné ». C’est pour cela qu’Equinix a ouvert un data center en France, pour être au plus proche de ses clients.

Nouveaux réflexes

Eric Péres veut mettre l’accent sur ces nouveaux réflexes liés au RGPD. Selon lui, la protection des données est une « nouvelle grammaire ». Celle-ci, prônant la transparence et la lisibilité économique, nécessite d’être réfléchie à l’échelle européenne. Avec le RGPD on parle bien de la protection des données à caractère personnel : celles qui sont protégées parce qu’elles permettent d’identifier une personne.

Le RGPD accompagne donc bien la protection même de la personne. Ainsi, en parlant de stockage physique des données, l’image du coffre-fort numérique est parlante. Avoir un data center physiquement présent sur le territoire, permet de passer d’une contrainte logistique à un avantage juridique.

Quelles sont les évolutions que l’on peut noter au niveau de la loi ?

Un an après, le RGPD a manifestement permis à de nombreux acteurs, du point de vue économique, de faire d’une contrainte au sens normatif, un avantage concurrentiel. Pour la CNIL, l’idée est aujourd’hui de voir si le RGPD est bien respecté, si les responsables de traitement sont bien responsables.

« Il y a encore beaucoup de progrès à faire ! », annonce Eric Péres, « pour que le RGPD fonctionne aujourd’hui, il faut continuer d’accompagner les responsables de traitement et mettre en œuvre la politique de sanctions prévue dans les textes. Il y a aujourd’hui une vraie nécessité à sanctionner si on constate un manquement ».

Une réflexion qui fait écho à la déclaration de la Présidente de la CNIL, Marie-Laure Denis, le 15 avril dernier, « La CNIL vérifiera pleinement à partir de maintenant le respect des obligations. Trois ans après l’adoption du RGPD et un an après son entrée en vigueur, c’est la fin d’une forme de tolérance ». Ainsi, la CNIL prévient : « on va démultiplier nos contrôles ».

La création d’une diplomatie numérique

De plus, à l’occasion de son premier anniversaire, le RGPD améliore son harmonie européenne. D’une prise de décision de sanction par l’autorité de contrôle, on passe à des projets de sanctions. Par exemple en France, si la CNIL note un manquement, après instruction du dossier, elle présente son projet de sanction qui entre dans le circuit de la commission européenne.

Il s’agit d’un vrai défi : construire d’un point de vue restrictif une harmonie. Ce mécanisme d’assistance mutuelle va permettre la création d’une souveraineté numérique, d’une diplomatie du numérique.

« Il ne s’agit pas de dire que l’on veut notre Google européen, mais bien d’établir une grammaire internationale. Et celle-ci n’est possible que si l’on pèse, que le RGPD devient un modèle » conclut Eric Péres.

Une question va bientôt se poser : quid de l’utilisation de l’IA dans le recrutement ? Le traitement de la donnée devient de moins en moins une question de juristes ou d’informaticiens mais devient bien un problème de société. Le rôle de la CNIL n’a jamais été aussi important : maintenir l’équilibre entre innovation et protection.

Valentine
Valentine

Arrivée sur terre il y a quelques lustres, Valentine entre aujourd’hui dans le métier de la communication. C’est non sans intrépidité qu’elle a intégré la Sorbonne en philosophie après une classe préparatoire littéraire (A/L). Après un mémoire sur la place de l’éthique dans la société actuelle à partir d’Aristote, Valentine poursuit son cursus en éthique appliquée. Autrement dit elle s’intéresse aux actions des entreprises et des institutions publiques, proposant alors des solutions de conseil afin d’accompagner leurs prises de décision. Au coeur de l’économie numérique, les rouages de la communication autour de l’innovation la passionnent. C’est pour cela que Valentine a rejoint l’équipe de Tikibuzz, une agence de communication et de marketing, en 2018. Aujourd’hui, elle a le plaisir de s’aventurer sur le terrain de l’éditique et de la gestion de la communication client, afin de vous proposer chers lecteurs, des reportages et des témoignages pour votre média DOCaufutur.

Written by Valentine

Arrivée sur terre il y a quelques lustres, Valentine entre aujourd’hui dans le métier de la communication.
C’est non sans intrépidité qu’elle a intégré la Sorbonne en philosophie après une classe préparatoire littéraire (A/L). Après un mémoire sur la place de l’éthique dans la société actuelle à partir d’Aristote, Valentine poursuit son cursus en éthique appliquée.
Autrement dit elle s’intéresse aux actions des entreprises et des institutions publiques, proposant alors des solutions de conseil afin d’accompagner leurs prises de décision. Au coeur de l’économie numérique, les rouages de la communication autour de l’innovation la passionnent.
C’est pour cela que Valentine a rejoint l’équipe de Tikibuzz, une agence de communication et de marketing, en 2018.
Aujourd’hui, elle a le plaisir de s’aventurer sur le terrain de l’éditique et de la gestion de la communication client, afin de vous proposer chers lecteurs, des reportages et des témoignages pour votre média DOCaufutur.