En préambule, pouvez-vous nous rappeler ce qu’est le RGPD ?
Xavier Lefevre : C’est un règlement européen entré en vigueur le 25 mai 2018, qui porte sur la protection des données à caractère personnel, ainsi que sur leur libre circulation au sein de l’Union Européenne (UE). Le RGPD fixe un ensemble de règles et d’obligations à destination des entreprises et organisations publiques ou privées, appelées « responsables de traitement », quant à leur utilisation des données personnelles.
Parmi ces obligations, on distingue le fait que tout traitement de données personnelles doit s’appuyer sur une des 6 bases légales prévues, comme le contrat, l’obligation légale, ou encore le consentement de la personne concernée. Nos lecteurs le savent, lorsqu’ils visitent un site internet, ce dernier demande leur consentement pour l’utilisation de « cookies » ou autres traceurs par exemple.
Quels challenges cette mise en conformité pose-t-elle aux entreprises ?
XL : La réponse varie selon la taille de l’entreprise. En effet, les grands groupes sont rompus à « l’exercice » de la mise en conformité et ont les ressources internes nécessaires à la constitution d’équipes de Data Protection Officers (DPO). Pour les PME, la mise en conformité est plus complexe à appréhender et à mettre en place. L’obligation prioritaire est la tenue d’un registre de traitement, qui indique notamment la liste des données personnelles traitées, la finalité des traitements et les durées de conservation. Ensuite il faut mettre en œuvre des mesures de sécurité « appropriées ». Il convient également de sensibiliser et former les équipes, en particulier les équipes IT, ce qui prend du temps et coûte donc de l’argent.
Enfin, certains aspects de la conformité RGPD sont encore plus complexes à gérer parce qu’ils impliquent une interaction avec la personne concernée : c’est le cas de la gestion des consentements. Elle est aussi plus critique parce qu’elle est visible depuis l’extérieur. Le consentement est le visage, la partie émergée de l’iceberg, qui témoigne de la conformité d’une entreprise avec le RGPD. Cela vaut donc la peine de s’investir sur ce point.
En quoi cette thématique du consentement est-elle si complexe ?
XL : Le RGPD part du principe que chaque entreprise doit être en mesure de démontrer qu’elle est conforme. Autrement dit, c’est au responsable de traitement de documenter sa conformité, c’est-à-dire d’afficher de manière transparente sa gestion des données. Si l’on en revient à la thématique du consentement, c’est donc au responsable de traitement de prouver que le consentement d’un utilisateur existe bien, et qu’il remplit les critères de validité imposés par le RGPD.
Ces critères de validité sont au nombre de cinq : le consentement doit être libre, éclairé, univoque, non ambigu et surtout, il doit être révocable et modifiable aussi simplement qu’il a été collecté. Ce dernier point est particulièrement complexe à gérer pour les entreprises. Soit elles ne sont pas capables de prouver l’existence d’un consentement, soit la preuve fournie ne remplit pas les critères de validité que je viens d’évoquer.
Ainsi, de nombreuses entreprises ont reçu des amendes pour non-conformité, et même des sociétés de grande taille qui disposent pourtant de ressources internes compétentes. C’est la preuve que la gestion des consentements est un sujet complexe pour lequel il vaut mieux faire appel à un spécialiste dont c’est le cœur de métier.
Le consentement est le visage, la partie émergée de l’iceberg, qui témoigne de la conformité d’une entreprise avec le RGPD
Comment LuxTrust accompagne-t-elle ses clients à ce sujet ?
XL : En tant qu’acteur encadré par la réglementation eIDAS, nous fournissons des services de confiance qualifiés comme l’authentification ou la signature électronique par exemple. LuxTrust intervient aussi sur d’autres services non-qualifiés, mais non moins importants. La thématique du consentement issue du RGPD en fait partie. De par notre expérience et notre savoir-faire en matière de sécurité numérique, nous avons toute la légitimité pour intervenir sur ce sujet et proposer les meilleures solutions à nos clients.
Début 2024, nous avons intégré la plateforme Fair&Smart au portefeuille de solutions LuxTrust. C’est une solution clé en main qui permet aux organisations publiques et privées de collecter, stocker et interroger les consentements RGPD de leurs prospects, clients, usagers ou adhérents. Fair&Smart s’intègre facilement et rapidement aux systèmes informatiques existants, permet de créer et d’administrer des formulaires de collecte qui peuvent être appelés via une application web ou mobile. En cas de contrôle ou de litige, l’entreprise peut fournir les éléments de preuve de sa conformité grâce à Fair&Smart.
Les besoins et l’accompagnement diffèrent-ils des PME aux grands groupes internationaux ?
XL : Comme je vous le disais en amont, malgré leur maturité sur la gestion du consentement et leurs ressources humaines et financières plus importantes, les grands groupes ont déjà des difficultés à gérer les consentements en toute conformité et nous sommes ravis de les accompagner sur ce sujet. Mais ce sujet est encore plus difficile à traiter pour les PME. C’est pourquoi nous préparons une offre dédiée à destination de ces sociétés, comprenant des fonctionnalités d’administration adaptées à leur taille. Cette version simplifiée leur permet de gérer les processus les plus courants, à l’instar des opérations de marketing comme l’envoi de newsletter, de manière simple et pertinente.
Demain, quelles perspectives se dessinent pour le consentement numérique ? Comment LuxTrust compte y répondre ?
XL : Aujourd’hui, 80% des demandes de consentement concernent des cas d’usage marketing, publicitaires, ou de prospection commerciale. Demain, une des finalités importantes du consentement sera le partage de données personnelles entre tiers, c’est-à-dire entre plusieurs sociétés responsables de traitement différent. La seule base légale permettant d’opérer ce partage est le consentement explicite de la personne concernée. Le consentement est donc au cœur de la création de valeur, puisqu’il est la pierre angulaire des échanges de données personnelles, entre entreprises ou entre organisations publiques et privées. C’est un véritable défi qui s’annonce et la majorité des évolutions de la plateforme Fair&Smart s’articulent aujourd’hui autour de cette notion de partage de données personnelles consenti par la personne.
Pour plus d’infos, rendez-vous sur