Le COVID a t-il tué la RGPD ?

Le COVID a t-il tué la RGPD ?

Il faut dire que la RGPD était déjà attaquée de toute part avant la crise du COVID mais commençons d’abord par rappeler en quoi consiste la RGPD. D’après la CNIL, à l’origine de la transcription du règlement européen en droit français, la RGPD ou Règlement Générale sur la Protection des Données encadre le traitement des données personnelles sur le territoire de l’union européenne.

Il s’agit d’encadrer la collecte, le stockage et le traitement des données permettant d’identifier directement ou indirectement une personne. Tous ces traitements doivent avoir une finalité et ne pas être effectués “au cas où” vous en auriez l’utilité un jour.

Etes-vous en règle dans votre entreprise ?

La première chose à vérifier est que vous ne collectez QUE des données qui sont utiles à l’activité de l’entreprise. Un exemple de pratique douteuse? collecter l’adresse postale de vos clients alors que vous n’expédiez rien!

Deuxièmement, comment stockez-vous les données ? Votre base de donnée est-elle sécurisée ? Gardez-vous la maîtrise des données que vous collectez en cas de sous-traitance (exemple : dans un CRM dans un cloud américain) ?

Vous devez mettre en place des procédures dans votre entreprise qui vont permettre :

  • d’une part de permettre aux utilisateurs d’accéder à leurs données et d’éventuellement les supprimer
  • d’autre part d’activer un process d’alerte et de remédiation en cas de faille de sécurité. Vous avez 48 heures pour déclarer la faille à la CNIL à partir du moment de la suspicion, attention, ça va vite !

Mais c’est quoi le rapport avec le Covid tout ça ?

Le rapport c’est que cette crise a amené un certain relâchement à la fois dans les pratiques des entreprises mais aussi des contrôles de la CNIL, qui se focalise en ce moment, et c’est bien normal, sur la protection des données de santé.

En quelques heures, les entreprises ont dû se réorganiser pour faire face au confinement de leurs salariés.

  • La VoIP n’était pas déployée dans l’entreprise? Qu’à cela ne tienne, un fichier Excel diffusé à tous avec les numéros de téléphone personnels de tous les membres de l’équipe!
  • Nos salariés doivent venir sur site? Prenons leur température, notons leurs risques éventuels de comorbidité
  • Un·e salarié·e a eu le coronavirus? Notons le dans son dossier personnel et informons ses collègues

Tips: Vous n’avez pas le droit de faire ça

Je ne dis pas pour autant que c’est facile, les entreprises ayant une obligation de santé et sécurité au travail, comment prémunir les salariés d’une possible contamination sans ficher les salariés malades ? La CNIL a émis des recommandations sur le chemin étroit que vous pouvez suivre.

Et chez les acteurs du numérique alors?

Et bien certains avaient déjà contourné le RGPD bien avant cette petite gripette ne viennent mettre son grain de sable dans l’engrenage. En témoigne cette enquête très documentée sur Criteo, ce géant de la startup-Nation, qui séduit ses investisseurs en leur vantant leur technologie de contournement de la RGPD. C’est beau comme une licorne à paillettes.

Globalement, je ne vous cache pas que toutes les techniques de “Growth Hacking” et de “Marketing Automation” me laissent perplexe quant à leur conformité à la règlementation

L’Etat notre modèle, notre sauveur!

Si vous en êtes arrivés à lire jusqu’ici, je suppose que vous n’êtes pas dupes de ce titre provocateur. Non, en ce moment l’Etat ne montre pas l’exemple, et sur plusieurs technologies.

  • l’appli Stop Covid, qui doit tous nous sauver en nous indiquant si notre entourage a été suspecté d’être contaminé. La Quadrature du Net a émis plusieurs alertes à ce sujet, notamment sur l’absence d’anonymat de l’abandon du consentement des individus. Ils nous rappellent également que:

    L’application renforce la croyance aveugle dans la technologie et la surveillance comme principales réponses aux crises sanitaires, écologiques ou économiques, alors qu’elles détournent au contraire l’attention des solutions : recherche scientifique, financement du service public…

  • La surveillance par drones qui permet de reconnaître les individus qui ne respecteraient pas les mesures de confinement. Suite à un recours, toujours de la Quadrature du Net, a été abandonné

    L’usage de drones survolant l’espace public, hors de tout cadre juridique, associé à un dispositif de captation d’images, constitue un traitement de données à caractère personnel illicite et, à tout le moins, une ingérence grave et manifestement illégale dans l’exercice du droit au respect de la vie privée et du droit à la protection des données personnelles

Alors qu’est-ce qu’on fait?

Au delà de la règlementation, il y a bien sûr une question d’éthique et de respect de vos clients et salariés. Avez-vous besoin des données que vous collectez ou voulez-vous seulement fliquer vos collaborateurs pour être sûr qu’ils bossent en télétravail avec 2 marmots dans les pattes ou 3 ados qui mangent autant que toute une équipe de rugby?

Avez-vous géré la crise aussi bien que Dilbert Dilbert Disaster Recovery Plan

Si vous souhaitez qu’on en discute ensemble, n’hésitez pas à me contacter

Anne Rabot
Anne Rabot

Consultante en Numérique Responsable et Green IT sur Nantes. Ecolo inquiète pour la planète. Ingénieure féministe