NOTRE INDUSTRIE MANUFACTURIERE DOIT AUSSI SE PREPARER A L'IMPACT DU RGPD

… Mais il est inutile de paniquer

Depuis le 25 mai 2018, les entreprises de l'UE sont soumises à la même législation uniforme en matière de protection de la vie privée : RGPD (Règlement Général sur la Protection des Données). Le RGPD? Cela porte uniquement sur les cookies, l'identification IP et l'utilisation d'e-mails et d'informations personnelles pour bombarder ainsi les clients de manière ciblée de messages commerciaux, non? Eh bien non, il va plus loin. La législation a un impact sur les environnements de production industriels.

BUG DE L'AN 2000 REVISITE

Le RGPD sera un sérieux défi en 2018 et après. Oui, il aura un certain impact sur votre entreprise et non, il n'y a pas moyen d'y échapper: 'la loi est la loi' dans les 28 états membres et même en dehors. Vous y serez donc confronté, que vous le vouliez ou non, mais ne vous laissez surtout pas perturber par toutes sortes de consultants et de prophètes de l'IT, car les messages alarmistes lancés à propos du RGPD ressemblent bizarrement beaucoup à la situation autour du bug de l'an 2000. Des mois de manipulation de l'opinion publique, des mesures d'urgence pour constater finalement qu'il n'y avait aucun souci. Nous nous souvenons tous du nombre d'avions s'étant écrasés cette nuit à cause du bug de l'an 2000: 0.

POUR LA PROTECTION DU CONSOMMATEUR

Le RGPD a surtout pour but la protection des consommateurs. La tenue de données sur les clients est liée à quelques accords, règles et mesures devant mieux les protéger. Le but est non seulement d'éviter les fuites de données, mais aussi d'avoir une épée dans les reins pour sanctionner les entreprises négligentes par rapport au respect de la vie privée de leurs clients. On connaît suffisamment de situations dans lesquelles un fichier Excel avec des adresses e-mail est placé sur le serveur à la portée de tous. Cela ouvre la voie pour toutes sortes de formes d'abus. Le commerce de données personnelles est ainsi aussi limité.

L'INDUSTRIE MANUFACTURIERE DOIT S'ADAPTER AUSSI

Une simple liste montre directement que tous les acteurs et disciplines d'une entreprise sont potentiellement concernés par le RGPD. Les collaborateurs du service du personnel traitent des données des collaborateurs et des postulants: numéros de téléphone (privés et professionnels), adresses e-mail et codes secrets, comme les codes d'accès de bâtiments et les mots de passe pour les ordinateurs. Il y a les données salariales, les passeports, les numéros de compte bancaire, les numéros de registre national, etc. Sur les sites de production sécurisés, des données biométriques (comme les empreintes digitales) et des images filmées sont certainement enregistrées et conservées. Le service financier collecte, lui, des données personnelles des fournisseurs, (sous-)entrepreneurs et prêteurs. Certaines usines lancent de propres activités de détail et approvisionnent ainsi les clients directement, en business-to-consumer. Le service marketing dispose alors d'un système de GRC ou d'une base de données avec les données des clients.

Transparence et technologies de traçabilité

Il y a toutefois - pour ce qui est de l'industrie - un grand 'mais' dans cette histoire, et cela s'appelle l'Industrial Internet of Things (IIoT). En soi, cette évolution est une bonne chose, quand on pense aux entreprises connectées, aux usines intelligentes, à la data-centered production et autres. Les machines fondent leurs décisions sur les données, et plus sur la réflexion humaine. Mais nous n'en sommes pas encore là, car aujourd'hui, cet apport humain est toujours important. Mais la manière dont nous commandons et entretenons les machines, a déjà bien évolué vers la production intelligente. Les entreprises veulent connaître les performances d'une machine par rapport à des machines comparables. Elles veulent savoir où un élément se trouve exactement dans la chaîne de production. Elles veulent également savoir quelles actions ont été entreprises dans un processus de production et pourquoi. Pour cela, nous utilisons plusieurs technologies.
La géolocalisation permet de savoir exactement où se trouvent des appareils mobiles. L'enregistrement au niveau des HMI indique quel travailleur commence et termine quand sur une certaine machine. Le suivi des processus indique avec précision quel temps ce travailleur prend pour effectuer une certaine opération. La RFID est appliquée pour transmettre toutes sortes de facteurs de production avec des pièces. Le RGPD ne fait aucune distinction entre les motifs pour lesquels vous enregistrez des données personnelles. Si vous recevez un rapport de production dans lequel un fournisseur vous indique lequel de ses opérateurs s'est chargé d'un certain batch, vous êtes responsable du traitement correct de ces données personnelles.

Dans ce cas concret, il n'est très probablement pas nécessaire que le fournisseur transmette ces informations. Il les transmet sûrement pour être complet, mais ce n'est pas du tout nécessaire pour le fonctionnement de votre entreprise. En cas de plainte sur la qualité, vous en référez au fournisseur, et non directement au travailleur. Si ces informations personnelles arrivent tout de même chez vous, l'opérateur en question doit alors avoir aussi indiqué activement avoir donné son consentement. Une belle illustration du concept de 'protection des données dès la conception', impliquant que le fabricant veille dès la conception de produits & services à ce que les données personnelles soient bien protégées. Cela signifie aussi qu'il ne collecte pas non plus plus de données que nécessaire pour l'objectif du traitement. La 'protection des données par défaut' implique que le fabricant doit prendre des mesures techniques et organisationnelles pour veiller à ne traiter que les données personnelles nécessaires pour l'objectif spécifique visé. Ici, le fournisseur peut se limiter à tenir lui-même à jour les données des opérateurs. Un autre exemple est la sauvegarde des données de localisation des utilisateurs d'applications. Si cela n'est pas nécessaire pour l'objectif spécifique, cela n'est plus autorisé selon le RGPD. D'après une étude de l'entreprise IT SafeDK, 55% des applications mobiles ne respectent pourtant actuellement pas les règles du RGPD.

DELEGUE A LA PROTECTION DES DONNEES

Un point important du RGPD est la nomination éventuelle d'un spécialiste au sein de la firme, expert en protection de la vie privée, en sécurité des données (cyber security), mais maîtrisant aussi bien les processus d'entreprise. Cet aspect est parfois négligé: le RGPD est un processus continu. Tous les processus et leurs changements dans le temps doivent être suivis constamment. Il faut donc savoir comment l'entreprise fonctionne, quels sont les processus IT, quelles sont les lignes de décision, etc. Le délégué peut être quelqu'un d'interne comme d'externe. Un point important: si on opte pour une solution interne, la personne concernée ne peut pas remplir de fonction en conflit. Celui ne maîtrisant pas la sécurisation et la protection des données peut opter pour un délégué externe. Mais les choses ne sont pas très claires concernant cette fonction.

CRITIQUE DE L'INTRODUCTION

Le problème de notre vie privée menacée de toutes parts ne date pas d'hier. Une loi tentant d'y remédier - et au niveau euro-péen - est une excellente chose. Trouver le bon équilibre entre l'utilisation correcte des données personnelles et la protection de la vie privée constituera un sujet très important ces prochaines années, pour autant que ce ne soit pas déjà le cas. Nous ne devons pourtant pas croire bêtement les prophètes de malheur du RGPD. On évoque certes d'énormes amendes (jusqu'à 4% du chiffre annuel avec un maximum de 20 millions d'euros), mais reste à savoir dans quelle mesure des contrôles seront effectivement effectués. De nombreux principes de base du RGPD sont, en outre, déjà repris dans la Loi vie privée belge actuelle. Le pas à franchir vers le RGPD est donc limité pour nos entreprises. Le plus gros changement sera certainement la nomination possible du Data Protection Officer ou délégué à la protection des données. Mais ici, le RGPD est donc particulièrement peu clair. Selon la loi, un DPO doit être désigné, lorsque 'les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement (de données) exigeantes, du fait de leur nature, de leur portée et/ou de leurs finalités, un suivi régulier et systématique à grande échelle des personnes concernées'. Difficile de faire plus vague. Qui définit ce qu'il faut entendre par 'régulier' et 'systématique'? Une entreprise traitant pour ses activités quotidiennes une grande quantité de données personnelles - sensibles ou non - a besoin d'un DPO. Voilà la vague conclusion. Tout avocat invoquera cette définition bien trop vague comme défense justifiant la non-nomination d'un DPO.