RGPD : la donnée sur la voie de la raison

Le nouveau cadre réglementaire baptisé “RGPD” sera imposé par l’Union Européenne le 25 mai prochain. Il devrait mettre un peu d’ordre dans la course à la data, particulièrement soutenue dans l’univers du voyage.
RGPD
Le RGPD entre en vigueur le 25 mai (shutterstock asharkyu)

Une nouvelle réglementation européenne encadrant la protection des données entrera en vigueur le 25 mai prochain. Ce Règlement général sur la protection des données (RGPD, ou GDPR dans sa déclinaison anglophone) s’appliquera “chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet”, comme l’explique la CNIL (Commission Nationale de l’Informatique et des Libertés). Cette nouvelle législation concerne également les données basées hors de l’Union Européenne quand elles recèlent des informations concernant les citoyens européens.

Cette petite révolution n’épargnera pas les acteurs du voyage d’affaires, bien au contraire. Car, depuis plusieurs années, la course à l’information concernant les voyageurs s’accélère avec, en ligne de mire, la personnalisation du service. But du jeu pour les fournisseurs : proposer à leurs cibles une offre sur-mesure ou, mieux encore, anticiper leurs attentes.

Compagnies aériennes ou ferroviaires, aéroports, hôtels, tables étoilées, plates-formes de réservation, agences de voyages : chaque acteur – et ils sont de plus en plus nombreux – “enquête” sur les habitudes du voyageur type, avec des renseignements collectés de plus en plus fournis. Il peut aussi bien s’agir du siège favori du passager sur un vol Paris-Francfort que de ses caractéristiques biométriques – ô combien sensibles –, dont l’utilisation se généralise peu à peu. Le tout dans un climat de cybercriminalité de plus en plus menaçant.

Mettre de l’ordre dans la traque à la data

Il s’agissait donc mettre un peu d’ordre dans cette traque à la data, et c’est précisément  l’objectif de ce nouveau règlement qui entend renforcer la protection des données tout en harmonisant les règles au sein de l’UE. Le RGPD vient ainsi clarifier et renforcer le droit des personnes tout en définissant les devoirs de l’entreprise. Le responsable du traitement devra recueillir le consentement clair et explicite de l’individu (opt-in) et être en capacité d’en apporter la preuve. Le droit d’accès et de rectification fait également partie de ces obligations, tout comme le droit au retrait du consentement ou encore le droit à l’oubli.

Garde-fous

Le nouveau règlement introduit notamment la notion de “portabilité des données”. Selon la CNIL, ce nouveau droit “permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.” En clair, l’individu reprend le contrôle sur ses informations, et son consentement explicite est désormais requis lors de la collecte de données.

Le RGPD introduit deux nouveaux principes véritablement importants. Avec le privacy by design, le respect de la vie privée doit être pris en compte dès la conception d’une base de données, d’une application ou d’un service. Avec le second principe, le privacy by default, les dispositifs garantissant l’intégrité des données personnelles (chiffrement, pseudonymisation…) sont non seulement intégrés de façon native dans les solutions, mais, qui plus est, être activés par défaut.

RGPD
DR Shutterstock Alexandru Chiriac

Le règlement européen oblige également l’entreprise à mettre en place des garde-fous encadrant la gestion des données personnelles, à cartographier leur circulation en plus d’anticiper la gestion de crise en cas de problème. “Il s’agit non seulement de limiter au maximum le risque de vulnérabilité, mais aussi de définir en amont comment l’on fonctionnerait en cas d’intrusion”, résume Valéry Lynier, cofondateur de MagicStay, plateforme d’hébergement qui a travaillé sur la mise en conformité de sa solution. En cas de violation de données, le responsable du traitement doit avertir la CNIL dans les 72 heures après en avoir pris connaissance. Les personnes concernées par ce piratage doivent également être notifiées dans “les meilleurs délais”.

Parmi les points majeurs du RGPD figure notamment la désignation d’un référent au sein de l’entreprise. Ce “délégué à la protection des données” (DPD ou DPO, Data protection officer) jouera un rôle pivot en matière de conseil, de contrôle, de process ou encore d’échanges avec les autorités compétentes. Si elle n’est pas obligatoire pour toutes les entreprises, la désignation d’un tel “chef d’orchestre” est “fortement recommandée”, par la CNIL.

Plutôt que de considérer la réglementation comme une contrainte, d’aucuns y voient un outil de différenciation, voire un levier de croissance. “Nous voulons être exemplaires, nous allons bien au-delà de ce qui est requis, car c’est un enjeu majeur pour les entreprises, et cela le sera encore davantage à l’avenir”, assure Valéry Linÿer chez MagicStay. Il s’agit d’un investissement colossal pour une start-up comme la nôtre, mais qui nous a permis de signer avec plusieurs grands groupes”.

Au cas où les entreprises n’identifieraient pas d’elles-mêmes les avantages à tirer de ce nouveau règlement, les sanctions prévues devraient convaincre les plus réticentes… Le RGPD clarifie les amendes éventuelles, qui pourront atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, sachant que le montant le plus important des deux sera retenu. Pour autant, la menace n’a pas encore poussé les entreprises françaises à prendre des mesures concrètes. Selon le baromètre publié au premier trimestre par l’Association française des correspondants à la protection des données à caractère personnel (AFCDP), moins d’une entreprise sur cinq (19 %) estime qu’elle sera conforme au RGPD le 25 mai prochain.