Le règlement, qui sera directement applicable en l’état dans chaque pays de l’Union
dès le 25 mai 2018, accentue certaines exigences en matière de gestion des données
personnelles et en établit de nouvelles, le tout en dotant les autorités nationales
(la CNIL dans le cas de la France) d’un plus grand pouvoir de sanction. En effet,
les entreprises non conformes pourront dès lors se voir infliger des amendes
administratives non négligeables, dont le montant pourra atteindre 20 millions
d’euros ou 4% de leur chiffre d’affaires annuel mondial (le montant le plus élevé
étant retenu), contre 150.000€ précédemment (à noter que ce montant a d’ores et déjà
été porté à 3 millions d’euros par la Loi pour une République numérique promulguée
le 8 octobre dernier). Il faut d’ailleurs souligner que la directive prévoit la mise
en place de mécanismes de certification dont on peut raisonnablement supposer qu’ils
constitueront un passage obligé et un avantage concurrentiel indéniable dans un
futur proche.

Parmi les exigences renforcées par le texte citons notamment :
– Des conditions de consentement renforcées (pour les mineurs par exemple) et
l’obligation d’être en mesure de pouvoir apporter à tout moment la preuve du
consentement en question (Articles 7 et 8).
– La réaffirmation du principe de « minimisation des données » selon lequel toutes les
données collectées doivent être « adéquates, pertinentes et limitées à ce qui est
nécessaire au regard des finalités pour lesquelles elles sont traitées » (Article
5.1).
– Le droit d’accès d’une personne à une image des données la concernant à un instant T
(exigence de transparence - Article 15).
– Le droit d’opposition (Article 21), le droit à la limitation du traitement (Article
18) et le droit à l’effacement ou droit à l’oubli "dans les meilleurs délais"
(Article 17).

Mais la GDPR introduit également de nouvelles exigences comme :
– L’interdiction - sauf dans des cas bien précis - de procéder à des traitements
révélant les origines, les opinions, l’état de santé, l’orientation sexuelle, le
casier judiciaire ou l’appartenance des personnes à un groupe politique, syndical ou
religieux (Articles 9 et 10).
– L’obligation de notifier les personnes concernées en cas de rectification,
d’effacement ou de violation de leurs données dans un délai de 72 heures (Article
19).
– Le droit à la portabilité des données - également réaffirmé en France dans la Loi
pour une République numérique - qui doit permettre à une personne de recevoir les
données la concernant dans « un format structuré, couramment utilisé et lisible par
machine », notamment en vue d’une transmission à un autre tiers (Article 20).
– Le principe du « privacy by design » qui impose d’aborder les problématiques et
enjeux de protection des données bien en amont des projets, et par défaut (Article
25).
– L’obligation de conduire une analyse d’impact et de risques (PIA), notamment pour
les traitements de données à grande échelle ou de type profilage (Article 35).
– L’établissement d’un registre exhaustif des activités de traitement pour les
entreprises ou organisations de 250 salariés et plus (Article 30).
– La nomination d’un délégué à la protection des données (Data Protection Officer)
(Articles 37-39).

Pour être en mesure de satisfaire de telles exigences vis-à-vis des personnes
physiques et des autorités de contrôles, beaucoup d’entreprises vont devoir repenser
l’architecture et les processus de leurs systèmes d’information, et se poser plus
sérieusement encore que par le passé la question de la gouvernance de leurs données.
La mise en place de référentiels de données maîtres (Master Data Management - MDM)
permettant le rapprochement des données personnelles disséminées dans le système
d’information en un point unique de vérité ("golden records"), assurant une gestion
centralisée de leur cycle de vie (création, modification, suppression,
anonymisation) et garantissant un contrôle de la propagation des données MDM au
reste du système, apparaît dans cette optique tout à fait pertinente.

Que ce soit dans la mise en œuvre du droit à l’oubli, du droit d’accès aux données
des personnes concernées, du droit à la portabilité (qui, rappelons-le, doivent être
effectuées « dans les meilleurs délais ») ou encore dans la mise à disposition du
registre des traitements, la centralisation et la fiabilisation des données
apportées par la mise en place d’un référentiel MDM offriront aux entreprises qui
s’en seront dotées des atouts certains. De plus, les solutions MDM sont le plus
souvent couplées à des outils de data quality permettant d’assurer l’intégrité et la
cohérence des données (par le biais d’algorithmes le dédoublonnage notamment),
devenues indispensables avec la massification des données collectées et sans
lesquelles répondre aux exigences de la GDPR aura tout d’une tâche herculéenne.

Cela étant, les entreprises auraient tort de ne voir dans la GDPR que des
contraintes supplémentaires dont il faudra bon gré, mal gré, d’accommoder. Car il y
a fort à parier qu’en faisant l’effort de repenser leur façon de gérer les données
de leurs clients/usagers, en leur permettant de se les réapproprier et d’en garder
le contrôle, plutôt que de donner le sentiment de les leur confisquer, ceux-ci
seront plus enclins à les partager et, surtout, à fournir des données fiables à
forte valeur ajoutée pour l’entreprise. Laconnaissance client, tant recherchée par
les entreprises aujourd’hui, s’en trouvera dès lors améliorée. Il y a donc sans
doute ici une belle opportunité pour les entreprises à réinventer leur rapport aux
données personnelles et leur façon de présenter la collecte et l’utilisation des
données aux clients, qui ne demandent en réalité, comme dans toute relation
économique, qu’à comprendre en quoi cela leur sera profitable in fine. Comme
l’affirme le texte, « le traitement des données à caractère personnel devrait être
conçu pour servir l’humanité ». Ce n’est qu’à cette condition que les entreprises
parviendront à lever les obstacles et vaincre les réticences qui freinent encore la
digitalisation de nos économies.

Instaurer un climat de confiance entre les personnes et les entreprises sur le
terrain des données personnelles, voilà probablement le meilleur retour sur
investissement qu’obtiendront les entreprises qui anticiperont dès maintenant le
tournant induit par la GDPR.