Catégories En langue française

Le règlement général sur la protection des données : menaces et opportunités


Geoffroy de Vries - avocat d'affaires

En quoi le règlement général sur la protection des données permet-il aux entreprises de davantage valoriser leurs données tout en protégeant les consommateurs ? Quelles sont les principales contraintes et les principales opportunités de ce nouveau règlement ? Voici quelques-unes des questions que Geoffroy de Vries et moi avons évoquées au cours d’un entretien récent.

 

Présentation de Geoffroy de Vries

Geoffroy de Vries - avocat d'affaires
Geoffroy de Vries – avocat d’affaires

Geoffroy de Vries est avocat d’affaires à Paris.

Après avoir travaillé dans des cabinets d’avocats internationaux (Gide Loyrette Nouel et Freshfields), il a créé son propre cabinet (www.vriesavocats.com) pour accompagner et conseiller des entreprises de croissance en particulier dans le secteur du numérique (start-up et PME), des dirigeants et des fonds d’investissements, à l’occasion d’opérations d’acquisition / cession et de levées de fonds.

Présentation de la GDPR « General Data Protection Regulation ».

Le Règlement général européen sur la protection des données (en anglais GDPR, soit « General Data Protection Regulation) est un nouveau règlement européen qui va s’appliquer en mai 2018 à toutes entreprises européennes qui collectent, traitent, stockent des données et dont l’utilisation des données peut identifier une personne. Il est prévu que les entreprises soient à jour à compter du 25 mai 2018. Cette nouvelle réglementation a vocation à simplifier et renforcer la protection des données.

Elle s’applique donc à tous les acteurs économiques : associations, entreprises, syndicats et toutes les organisations qui collectent des données sur des personnes humaines. Le GDPR comporte un certain nombre d’obligations concernant notamment l’entreprise collectrice d’information. Celle-ci doit s’assurer du consentement éclairé de chaque individu. Elle doit, en outre, prouver l’existence de ce consentement. En plus, elle doivt prouver que, parmi les données collectées, seules sont retenues celles qui paraissent pertinentes pour la finalité de l’entreprise. Si elle collecte des données sur une personne, il ne faut que collecter des données sur des sujets très restreints. Par exemple, une entreprise qui vend des chaussures peut collecter des données qui sont pertinentes pour la vente de chaussures. Mais, une entreprise ne peut pas demander des informations sur des idées personnelles du client, telles que ses convictions religieuses, politiques ou culturelles et sur tout autre sujet qui ne sont pas directement liées à la vente de chaussures. On ne peut pas se constituer une banque de données extensive sur des personnes humaines.

Marc Dugain et Christophe Labbé, auteur de L’Homme Nu (Editions Plon) ont, à juste titre, pointé du doigt le risque d’une accumulation de données trop importantes : risque d’annihilation de la vie privée, risque pour la démocratie, parmi d’autres.

 

La GDPR vise à protéger le consommateur

Le consommateur se livre davantage qu’il ne le pense. Aujourd’hui, le consommateur se livre sur des plateformes internet ou des réseaux sociaux comme Facebook davantage qu’il ne le fait avec ses proches. Parfois, le réseau social en sait plus sur les individus que les individus n’en savent sur eux-mêmes. Plus les données acquises sont importantes, plus le consommateur s’affaiblit car il se « met à nu ». D’où la nécessité, pour les protéger, d’encadrer la récolte et la conservation des données. Les entreprises doivent aussi documenter les procédures utilisées pour stocker des données, notamment en prouvant qu’elles ont tout mis en œuvre pour protéger les données. Dans l’éventualité où la réglementation ne serait pas suivie, des sanctions sont prévues. Ces dernières peuvent atteindre jusqu’à 4 % du chiffre d’affaires pour chaque individu dont les droits ont été violés.

Et, on peut imaginer des sanctions importantes, par exemple dans les pays où les « class actions » sont courantes.

 

La réglementation de la GDPR présente aussi des avantages

Les contraintes peuvent se transformer en opportunité. Elles constituent pour les entreprises une opportunité de gérer leur transformation digitale en optimisant le processus d’acquisition, de consolidation et de traitement de données. Par conséquent, la donnée elle-même est optimisée. Ces contraintes, si elles sont respectées, se transforment en actifs.

Par ailleurs, ce traitement permet de mieux valoriser les données et donc d’accroître la richesse des collecteurs des données. Un arrêt de la Cour de cassation du 25 juin 2013 (Cass. Com., 25 juin 2013, Pourvoi n°12-17037) a rappelé que le défaut de conformité d’un fichier avec les réglementations de la CNIL fait que le fichier est « hors du commerce ». Par conséquent, l’entreprise ne peut plus être valorisée dans son intégralité. A contrario, si les données ont été traitées selon la GDPR, alors les données peuvent être intégrées à la valorisation de l’entreprise. Aujourd’hui, si une startup collecte de données tout en respectant la GDPR, alors sa valorisation pourrait être supérieure à ce qu’elle fut auparavant.

Cette contrainte est également une opportunité de renforcer la confiance entre les clients et les usagers. En prévoyant une plus grande protection du consommateur, la confiance entre le consommateur et l’entreprise collectrice de données se trouve renforcée. De fait, les consommateurs européens n’ont pas toujours confiance dans la gestion de leurs données personnelles, notamment des entreprises du GAFA. L’émergence du « fake news » (notamment en matière de politique ou en matière de terrorisme) suscite des interrogations et mine la confiance du consommateur. Par conséquent, lorsque la réglementation devient contraignante, alors le consommateur devient plus confiant. Quand celui-ci paraît plus confiant, son envie d’acheter les produits de l’entreprise s’accroît.

1 commentaire

Laisser un commentaire