Restitution du Think Tank Cyber Sécurité à la soirée Collège Entreprises InnoCherche du 10 mai 2016.

Le G29 (ensemble des CNIL européennes) a poussé dans une direction à priori louable à une refonte de la législation après presque 40 ans, vers une protection avancée du consommateur comme gage de la confiance, comme nous pouvons le voir sur ce poster pédagogique. Il y a dans ce règlement européen des attentes fortes du citoyen consommateur qu’InnoCherche reprend dans son prisme de veille comme :

  • « droit à l’oubli » ou encore « les données à emporter » qui rejoignent bien la préoccupation OPT OUT,
  • plus de transparence.

La question est de savoir si cette révolution est opérationnelle pratiquement et qui elle va véritablement favoriser. Fallait-il légiférer, avec à la clé, un gros bâton donné au juge qui va jusqu’à 4% du chiffre d’affaires mondial ? Cela crée un déséquilibre très fort en faveur de nouveaux entrants (peu de CA à risque et absence de legacy informatique) ou au GAFA par rapport à des entreprises européennes installées.

Le droit donné au citoyen consommateur de choisir individuellement les traitements informatiques qu’il accepte ou non, peut se révéler d’une complexité effrayante. A titre d’exemple, comment lancer un nouveau produit ou service puisque le citoyen n’en a évidemment pas consenti l’offrepréalablement.

Revenons aux deux premiers principes du droit à l’oubli et de la récupération des données personnelles pour pouvoir les transférer ailleurs, par exemple un autre commerçant digital, ce qui fait partie intégrante de l’OPT OUT que tout citoyen appelle de ses vœux.

Pour la plupart des entreprises classiques, il s’agit d’une révolution d’architecture informatique, rien de moins. Il est très difficile pour une DSI traditionnelle composée de vieux systèmes d’information très hétérogènes (les legacies) de « garantir » de retrouver la totalité des éléments pour les effacer sans qu’il en reste des traces dans des back-up ou archives. On l’a d’ailleurs vu de façon ironique lors de certains procès où les juges avaient retrouvé de vieux e-mails que Bill GATES lui-même croyait avoir effacé (Microsoft vs. Anti trust). Si un Microsoft n’y arrive pas correctement, que penser d’une entreprise « normale » ?

Pour un DG peu au fait de ces sujets comme le sont malheureusement la plupart des DG du CAC 40, effacer un dossier et rendre les données à son client peut paraître des tâches simples.

Lors de la réunion Comex consacrée à cette nouvelle directive européenne, on peut imaginer facilement le dialogue suivant :

  • “Monsieur le DG, dit le directeur juridique, je veux attirer votre attention sur le nouveau règlement européen, la RGPD, votée au parlement européen le 26 avril 2016 et auquel nous devons nous conformer dans les 2 ans, … C’est essentiel car elle nous promet une pénalité pouvant aller jusqu’à 4% de notre CA mondial si nous ne sommes pas capables de démontrer que nous sommes conformes”
  • le DG se tourne vers son DSI : “Monsieur le DSI, j’imagine que d’ici deux ans nous serons prêts et soyez gentil, ne me dites pas que ça va me coûter encore une fortune comme le Y2K ou le passage à l’euro !”
  • Le DSI, avant d’ouvrir la bouche, devra respirer profondément et avoir le courage de choisir son camp.

○ soit il dira “pas de problème monsieur le directeur général et avec 3% d’augmentation de mon budget, je pourrais faire en sorte que nous soyons prêts”,

○ soit plus courageux “Monsieur le DG avec notre système informatique construit depuis 1970, il n’y a aucune chance que l’entreprise puisse être conforme à moins de tout mettre par terre et de reconstruire une nouvelle informatique avec ces nouvelles exigences au centre de la future architecture. Je vous remercie donc de mettre ce sujet au centre des préoccupations de ce COMEX. C’est une opportunité de transformer notre architecture pour mettre l’expérience utilisateur (la UX) au centre ce celle-ci et de faire un pas de géant dans la transformation digitale. Avec l’effort de tous et moyennant un budget de 2 milliards (soit 30% de notre CA) … nous pourrons peut-être y arriver ».

En effet c’est lui qui devra signer en avril 2018 en s’engageant personnellement et en engageant toute la société que :

  1. Aucune donnée personnelle n’est collectée au-delà du minimum nécessaire pour un traitement spécifique
  2. Aucune donnée personnelle ne sera sauvegardée au-delà du temps minimum pour ce traitement spécifique
  3. Aucune donnée personnelle ne sera utilisée pour autre chose que le traitement spécifique pour le lequel elle a été originellement collectée
  4. Aucune donnée personnelle n’est transmise/partagée à d’autres entités publiques pour une utilisation autre que le traitement spécifique pour lequel elle avait été collectée
  5. Aucune donnée personnelle n’est vendue
  6. Aucune donnée personnelle n’est conservée de façon non-encryptée

S’il choisit l’option courageuse, il aura une chance sur deux de se faire virer sur-le-champ car le COMEX n’aime pas ce genre de mauvaises nouvelles.

Par contre, comme le montre certaines analyses (https://rankingdigitalrights.org) et comme il est facile de l’imaginer, pour un DG du GAFA qui est “digital native” et qui a un système d’information ayant une architecture de données moderne ancrée dans des méthodes récentes de développements (rapides et agiles), ce genre de préoccupations pose beaucoup moins de problèmes et ils sont déjà prêts à 60%. Dans deux ans, ils seront parfaitement prêts. Ils bénéficieront d’un avantage concurrentiel fort et pourront faire remarquer aux juges européens que leurs concurrents du secteur traditionnel n’auront pas pu mettre en place ce système de droit à l’oubli et de retour des données et exiger que la loi soit appliquée (avec les pénalités jusqu’à 4% du CA).

Il nous semble que si cette loi était à l’origine prévue comme anti GAFA, elle va au contraire les favoriser. Exiger, en temps de crise économique européenne, une rénovation très significative de 30 ans d’infrastructures informatiques de toutes les entreprises européennes n’est peut-être pas dans le meilleur timing, même si nous souscrivons absolument à l’intention de long terme, d’augmenter, parlons même de restaurer la confiance du consommateur dans le numérique.

Bertrand PETIT et Jean Louis de la Salle, Think Tank Cyber Sécurité