Comprendre les tenants et les aboutissants du RGPD. Tel était le thème de la table ronde organisée par I-Tourisme et le Quotidien du Tourisme à l’initiative de XFT. Patrick Bleu son président a convié maître Fabrice Degroote, avocat, et Valérie Boned, secrétaire général délégué de l’EDV.
https://vimeo.com/267264936
Selon une étude récente voire alarmante, 67 % des entreprises ont déclaré qu’elles ne seraient pas prêtes pour le 25 mai, date de l’application du RGPD. Qu’en est-il réellement ?
Pour Patrick Bleu : « Le RGPD devient un buzzword alors que cela fait deux ans que le règlement est adopté par la commission européenne ! Tout le monde en parle, mais personne ne sait vraiment ce dont il s’agit. Il devenait nécessaire de faire de la pédagogie d’autant qu’entre les différentes sociétés de services qui génèrent de la peur pour vendre leurs prestations et les avocats qui entretiennent de l’inquiétude, ne font rien pour dissiper le brouillard qui règne autour de ce règlement. » Il poursuit : « Pour moi, le RGPD n’est pas à prendre au pied de la lettre, mais il faut en comprendre le sens. Le voyage retransmet énormément d’information et je me suis aperçu qu’il y avait beaucoup d’acteurs qui n’avaient pas conscience que les données personnelles étaient au cœur de ce règlement. »
Au pied de la lettre ?
‘’Ne pas prendre le règlement au pied de la lettre’’ est un conseil rassurant, mais quel est le véritable périmètre du RGPD ? Maître Fabrice Degroote, avocat, précise : « Il existe une loi sur la protection des données, depuis 40 ans déjà ! A partir de 1978, c’est-à-dire avec la loi informatique droit et liberté. Il a été mis en place une législation avec des éléments coercitifs, mais qui portaient sur le transfert. Aujourd’hui, s’il y a un point qui doit être pris au pied de la lettre, c’est bien sûr celui de la protection de la donnée. Avant même d’en étudier les portées juridiques, ce doit être une approche philosophique. Aujourd’hui, les acteurs du tourisme doivent prendre conscience que la donnée personnelle entraine des obligations. »
Et les petites entreprises ?
Mais toutes les entreprises sont-elles concernées ? Qu’en est-il d’une agence de voyages composée de 3 personnes, ce qui est courant dans la distribution ? Oui les agences de tourisme sont totalement concernées par le RGPD, quelle que soit la taille de la structure. Il y a bien un seuil d’effectif de 250 employés qui rend obligatoire la nomination d’un DPO « Mais, précise Valérie Boned, qui représente l’EDV, cette obligation est quand même obligatoire pour toutes entreprises qui manipulent effectivement des données personnelles telles que le nom, le prénom, le numéro de carte bancaire, l’adresse, le type de voyage… »
Mais quel est le périmètre d’une donnée personnelle ?
Fabrice précise que l’article 4 définit ce qu’est une donnée à caractère personnel, c’est-à-dire un élément d’identification : « Par exemple, peu de personnes savent qu’un numéro de carte bancaire est unique et donc il constitue une donnée considérée comme sensible. » Valérie Boned insiste : « les informations ne font pas que transiter dans une agence de voyages. Chaque offre est personnalisée et génère des données sensibles. Une agence de voyages n’est pas seulement une boite de transition ».
Mais pourquoi le secteur touristique est-il autant en retard ?
Pour Patrick Bleu : « le souci dans le monde du tourisme c’est la longue chaine d’intermédiaires. Avec le RGPD, la nouveauté réside dans la notion de co-responsabilité des différents acteurs. Évidemment, les grosses firmes touristiques sont bien préparées et les entreprises américaines sont à la pointe de la protection des données. Valérie Boned renchérit : « Nous ne le répétons pas assez, mais in fine, même si le RGPD concerne les citoyens européens, c’est une application internationale. Par exemple, une entreprise américaine, qui manipule des données concernant un ressortissant de l’Union européenne, est soumise au RGPD et donc attaquable en cas de litige. »
Quel est le rôle de la CNIL ?
La CNIL est l’autorité de contrôle qui découle directement de la loi de 1978. Valérie Boned affirme : « le site officiel de la CNIL détient beaucoup d’éléments pour aider les entreprises à comprendre les tenants et les aboutissants du règlement et à mettre en place la protection des données. »
Quelle est la différence entre directive et règlement ?
Fabrice Degroote explique que le règlement s’applique immédiatement alors qu’une directive nécessite une loi qui la transpose. Le règlement doit entrer dans le corpus national de chacun des États. La grande nouveauté avec l’application du RGPD est non pas le contrôle de la CNIL, mais le fait qu’elle puisse sanctionner les entreprises avec des amendes allant jusqu’à 20 000 euros ou à hauteur de 4 % du CA des entreprises.
Faut-il entretenir le phénomène de peur que le RGPD provoque ou au contraire rassurer les entreprises ?
Valérie, bien que défavorable au fait d’entretenir la peur, avertit : « il ne faut pas que les entreprises attendent d’être au pied du mur pour se conformer au règlement. Les agences sont plutôt en avance, puisqu’elles manipulent depuis longtemps les données. Même si le secteur du tourisme n’a connu aucun drame lié aux hackers, et que, à priori, les agences de voyages ne vendent pas les données personnelles sur le DarkNet, plus tôt les agences s’organiseront pour être aux normes, mieux ce sera. » Ce qui fait peur c’est le sigle RGPD et c’est plus le fait de devoir organiser et s’y conformer. Par exemple, les agences américaines de tourismes sont déjà très en avance quant à la protection. Les petites entreprises doivent passer du déclaratif à la responsabilité.
Et les DPO (Data Protection Official) ?
Fabrice Degroote explique que cette fonction existe depuis 2004 en France sous le nom de “ correspondant informatique et liberté” c’est-à-dire une personne responsable du traitement de la donnée autant au niveau technique que juridique. La nouveauté avec le RGPD réside dans l’obligation à nommer ce DPO pour les entreprises de plus de 250 personnes. L’idée du règlement est de formaliser son rôle : celui-ci doit tenir un registre, une cartographie des données qui rend compte du comment elles sont manipulées. « La CNIL avait un pouvoir de dissuasion assez limité. Avec le règlement, ce sont les entreprises qui doivent démontrer que tout a été fait pour se mettre en conformité avec les règles du RGPD » affirme l'avocat.
Si la plupart des entreprises désignent le DPO en interne, d’autres font appel à des prestataires. La désignation est obligatoire pour les entreprises de plus de 250 employés, mais aussi pour les entreprises qui traitent de données personnelles (banque, assurance, voyage…). Pour Valérie Boned, c’est la première chose à faire avant le 25 mai.
Contrainte ou élément de confiance pour améliorer la relation avec les clients ?
« On est tous consommateurs. Même si le RGPD parait agressif, on est tous concernés et les entreprises doivent garder les preuves de la mise en conformité par rapport au règlement. L’important est de dédramatiser. Cela se fait par étape : accompagner, renseigner et enfin, en faire un outil d'attractivité » conclut la secrétaire générale délégué de EDV.
Un atout commercial
Oui RGPD est une obligation juridique. Mais c’est aussi un argument commercial apte à donner confiance à ses clients. Fabrice Degroote affirme : « la première chose c’est d’obtenir le consentement du client à fournir les données. C’est une démarche qui doit rassurer comme avec les produits bio. Il y a quelques années, consommer bio était décalé. Plus aujourd’hui. De la même manière les entreprises peuvent rassurer promettant de la “ biodonnée” ». L’avocat estime que le RGPD peut occasionner un cercle vertueux et faire prendre enfin conscience que la donnée ne peut pas être exploitée à l’infini.Optimisme
Patrick Bleu reste optimiste : « le 25 mai n’est pas une date butoir, mais un point de départ pour les entreprises qui vont prendre davantage conscience de la valeur de ces données. La commission européenne a évalué la valeur des informations des citoyens européens à 1000 milliards d’euros par an …». À valoriser au sein de l’entreprise et dans les démarches commerciales.L’avenir
Le RGPD va entrainer nécessairement un cercle vertueux. Les agences fonctionnaient par système de cloisonnement. Maintenant, ce n’est plus possible. Chaque entité a sa responsabilité dans son écosystème, tous les acteurs sont responsables et les sous-traitants le sont au même titre que les entreprises. Fabrice Degroote prévoit même que ce règlement va devenir une norme. « Le RGPD va s’imposer au monde, tant au niveau du GAFA aux États-Unis, mais aussi en Chine ou dans un autre pays » souhaitons-en l’augure, pour une fois que l’Europe reprend l’initiative, ce serait une belle revanche par rapport aux US qui ont tout trusté.Question du public aux conférenciers.
Laurent Briquet, Directeur général de Speed Media : Il y a-t-il une durée légale de la donnée dans le temps ?Maître Fabrice Degroote : Le RGPD ne change rien à ce qui existait avant. Certaines pièces comptables sont soumises par décision du législateur à une conservation de 10 ans. Le numéro de sécurité sociale figure sur les fiches de paie, c’est de la donnée personnelle et elle doit être stockée sur une longue période. Mais ce n’est pas tant la donnée qui pose problème, mais l’accès à la donnée. Si cet accès est sécurisé, la question ne se pose plus.
Valérie Boned, secrétaire délégué de l’EDV : Les numéros de cartes bancaires entrent dans le cadre des données personnelles. Vous devez donc apporter la preuve de leur protection et de leur conservation uniquement le temps du traitement.
Patrick Bleu, président de XFT : Et par exemple ne pas oublier les mises à jour des logiciels comme ceux des antivirus.
Fabrice Degroote : Le RGPD ne dit pas d’être infaillible, mais d’apporter la preuve que vous avez fait le nécessaire pour protéger les données. Avec le RGPD, cette charge de la preuve vous incombe dorénavant. Avant ce n’était pas le cas.
Valérie Boned : Et s’il y a vol de données, de le signaler dans les 72 heures.
Dimitri Tsygalnizky de Sabre France : La blockchain accompagnée de chiffrage de la donnée est-elle une réponse ?
Fabrice Degroote : La blockchain n’apporte pas toutes les réponses, mais en effet, le chiffrage de la donnée en est une. C’est une solution pour les emails par exemple.
Patricia Bessac de Visiteurs : Quelle va être la situation avec les transactions avec l’Angleterre suite au Brexit ?
Fabrice Degroote : La même chose qu’avec l’Asie, les USA, ou autres…Dès lors que la donnée concerne un citoyen européen vous entrez dans le cadre du RGPD. Dans ce cadre, Facebook, entreprise américaine, n’échappe pas à cette règle.
Thomas Angibaud de Vente Privée : Dans quelle situation les agences de voyages se trouvent possesseur ou processeur ?
Valérie Boned : la question est légitime. Au sein de l’EDV nous considérons qu’une agence de voyages est processeur. Vous êtes responsable de la donnée, comme les sous-traitants le sont. La responsabilité incombe aussi bien si on est récepteur que collecteur. On est responsable du point A au point B.
Fabrice Degroote : Ce que le RGPD ne veut pas c’est d’une rupture dans la chaîne. Vous êtes responsable même si la donnée a été volée chez un de vos sous-traitants. Mais si vous êtes capable de prouver que vous avez pris les mesures pour que votre sous-traitant les sécurise, vous ne serez pas condamné.
Patrick Bleu : C’est beaucoup d’éducation et de déclaratif aussi de formaliser dans un document ce qu’on a entrepris pour être en conformité avec le RGPD.
Fabrice Degroote : Gardez à l’esprit que le RGPD n’impose pas une obligation de résultat, personne n’est infaillible, mais bien une obligation de moyen. Le périmètre de notre responsabilité porte sur le traitement de la donnée.