naar top
Menu
Logo Print
21/06/2018 - SAMMY SOETAERT

NOTRE INDUSTRIE MANUFACTURIERE DOIT AUSSI SE PREPARER A L'IMPACT DU RGPD

… Mais il est inutile de paniquer

RGPD
Depuis le 25 mai 2018, les entreprises doivent être en ordre avec le RGPD

Depuis le 25 mai 2018, les entreprises de l'UE sont soumises à la même législation uniforme en matière de protection de la vie privée : RGPD (Règlement Général sur la Protection des Données). Le RGPD? Cela porte uniquement sur les cookies, l'identification IP et l'utilisation d'e-mails et d'informations personnelles pour bombarder ainsi les clients de manière ciblée de messages commerciaux, non? Eh bien non, il va plus loin. La législation a un impact sur les environnements de production industriels.

 

BUG DE L'AN 2000 REVISITE

Le RGPD sera un sérieux défi en 2018 et après. Oui, il aura un certain impact sur votre entreprise et non, il n'y a pas moyen d'y échapper: 'la loi est la loi' dans les 28 états membres et même en dehors. Vous y serez donc confronté, que vous le vouliez ou non, mais ne vous laissez surtout pas perturber par toutes sortes de consultants et de prophètes de l'IT, car les messages alarmistes lancés à propos du RGPD ressemblent bizarrement beaucoup à la situation autour du bug de l'an 2000. Des mois de manipulation de l'opinion publique, des mesures d'urgence pour constater finalement qu'il n'y avait aucun souci. Nous nous souvenons tous du nombre d'avions s'étant écrasés cette nuit à cause du bug de l'an 2000: 0.

 

POUR LA PROTECTION DU CONSOMMATEUR

Le RGPD a surtout pour but la protection des consommateurs. La tenue de données sur les clients est liée à quelques accords, règles et mesures devant mieux les protéger. Le but est non seulement d'éviter les fuites de données, mais aussi d'avoir une épée dans les reins pour sanctionner les entreprises négligentes par rapport au respect de la vie privée de leurs clients. On connaît suffisamment de situations dans lesquelles un fichier Excel avec des adresses e-mail est placé sur le serveur à la portée de tous. Cela ouvre la voie pour toutes sortes de formes d'abus. Le commerce de données personnelles est ainsi aussi limité.

 

HUIT PRINCIPES DE BASE DU RGPD

 

Consentement

Les 'personnes concernées' doivent ainsi donner leur consentement pour le traitement de leurs données personnelles au moyen d'un acte positif clair. Par exemple, une déclaration écrite, y compris par voie électronique, ou une déclaration orale, d'où il ressort clairement que l'intéressé consent de façon libre, spécifique, éclairée et univoque au traitement de ses données personnelles.

Traitement

Les données à caractère personnel doivent aussi - en résumé - être traitées de manière licite, loyale et transparente au regard de la personne concernée.

Finalité

Les fabricants ne peuvent collecter des données personnelles que pour des finalités déterminées, explicites et légitimes. Dans ce cas spécifique, la 'minimisation des données' est la norme.

Exactitude

Les données personnelles doivent être exactes. Les fabricants sont obligés de les tenir à jour si nécessaire. Les entreprises sont obligées d'effacer ou de rectifier les données personnelles incorrectes à la demande de la personne concernée.

Non-identification

Les fabricants doivent conserver les données personnelles sous une forme permettant l'identification des personnes concernées pour une période n'excédant pas celle nécessaire pour les finalités pour lesquelles elles sont traitées.

Sécurité

Les fabricants doivent enfin traiter, à l'aide de mesures techniques ou organisationnelles appropriées, les données personnelles de manière à garantir une sécurité adéquate.

Effacement

Les entreprises doivent pouvoir effacer les données personnelles si la personne concernée le demande et s'il n'y a pas de contre-argument valable - même si les données ont entre-temps été partagées avec de tierces parties.

Notification de fuite obligatoire

Les entreprises sont obligées de déclarer une fuite de données dans les 72 heures, sauf s'il peut être démontré que la fuite ne représente pas de danger pour les données personnelles collectées.

 

Données personnelles
Les données personnelles sont définies de dizaines de manières

L'INDUSTRIE MANUFACTURIERE DOIT S'ADAPTER AUSSI

Une simple liste montre directement que tous les acteurs et disciplines d'une entreprise sont potentiellement concernés par le RGPD. Les collaborateurs du service du personnel traitent des données des collaborateurs et des postulants: numéros de téléphone (privés et professionnels), adresses e-mail et codes secrets, comme les codes d'accès de bâtiments et les mots de passe pour les ordinateurs. Il y a les données salariales, les passeports, les numéros de compte bancaire, les numéros de registre national, etc. Sur les sites de production sécurisés, des données biométriques (comme les empreintes digitales) et des images filmées sont certainement enregistrées et conservées. Le service financier collecte, lui, des données personnelles des fournisseurs, (sous-)entrepreneurs et prêteurs. Certaines usines lancent de propres activités de détail et approvisionnent ainsi les clients directement, en business-to-consumer. Le service marketing dispose alors d'un système de GRC ou d'une base de données avec les données des clients.

IIoT et RGPD
Quel opérateur a exécuté une tâche? La tenue de ces données personnelles est également liée au RGPD

Transparence et technologies de traçabilité

Il y a toutefois - pour ce qui est de l'industrie - un grand 'mais' dans cette histoire, et cela s'appelle l'Industrial Internet of Things (IIoT). En soi, cette évolution est une bonne chose, quand on pense aux entreprises connectées, aux usines intelligentes, à la data-centered production et autres. Les machines fondent leurs décisions sur les données, et plus sur la réflexion humaine. Mais nous n'en sommes pas encore là, car aujourd'hui, cet apport humain est toujours important. Mais la manière dont nous commandons et entretenons les machines, a déjà bien évolué vers la production intelligente. Les entreprises veulent connaître les performances d'une machine par rapport à des machines comparables. Elles veulent savoir où un élément se trouve exactement dans la chaîne de production. Elles veulent également savoir quelles actions ont été entreprises dans un processus de production et pourquoi. Pour cela, nous utilisons plusieurs technologies.
La géolocalisation permet de savoir exactement où se trouvent des appareils mobiles. L'enregistrement au niveau des HMI indique quel travailleur commence et termine quand sur une certaine machine. Le suivi des processus indique avec précision quel temps ce travailleur prend pour effectuer une certaine opération. La RFID est appliquée pour transmettre toutes sortes de facteurs de production avec des pièces. Le RGPD ne fait aucune distinction entre les motifs pour lesquels vous enregistrez des données personnelles. Si vous recevez un rapport de production dans lequel un fournisseur vous indique lequel de ses opérateurs s'est chargé d'un certain batch, vous êtes responsable du traitement correct de ces données personnelles.

Dans ce cas concret, il n'est très probablement pas nécessaire que le fournisseur transmette ces informations. Il les transmet sûrement pour être complet, mais ce n'est pas du tout nécessaire pour le fonctionnement de votre entreprise. En cas de plainte sur la qualité, vous en référez au fournisseur, et non directement au travailleur. Si ces informations personnelles arrivent tout de même chez vous, l'opérateur en question doit alors avoir aussi indiqué activement avoir donné son consentement. Une belle illustration du concept de 'protection des données dès la conception', impliquant que le fabricant veille dès la conception de produits & services à ce que les données personnelles soient bien protégées. Cela signifie aussi qu'il ne collecte pas non plus plus de données que nécessaire pour l'objectif du traitement. La 'protection des données par défaut' implique que le fabricant doit prendre des mesures techniques et organisationnelles pour veiller à ne traiter que les données personnelles nécessaires pour l'objectif spécifique visé. Ici, le fournisseur peut se limiter à tenir lui-même à jour les données des opérateurs. Un autre exemple est la sauvegarde des données de localisation des utilisateurs d'applications. Si cela n'est pas nécessaire pour l'objectif spécifique, cela n'est plus autorisé selon le RGPD. D'après une étude de l'entreprise IT SafeDK, 55% des applications mobiles ne respectent pourtant actuellement pas les règles du RGPD.

 

Brèche de la sécurité des données

Clairement il faut une meilleure protection des données - 
notez l’augmentation énorme de la part du ‘hacking’

DELEGUE A LA PROTECTION DES DONNEES

Un point important du RGPD est la nomination éventuelle d'un spécialiste au sein de la firme, expert en protection de la vie privée, en sécurité des données (cyber security), mais maîtrisant aussi bien les processus d'entreprise. Cet aspect est parfois négligé: le RGPD est un processus continu. Tous les processus et leurs changements dans le temps doivent être suivis constamment. Il faut donc savoir comment l'entreprise fonctionne, quels sont les processus IT, quelles sont les lignes de décision, etc. Le délégué peut être quelqu'un d'interne comme d'externe. Un point important: si on opte pour une solution interne, la personne concernée ne peut pas remplir de fonction en conflit. Celui ne maîtrisant pas la sécurisation et la protection des données peut opter pour un délégué externe. Mais les choses ne sont pas très claires concernant cette fonction.

 

CRITIQUE DE L'INTRODUCTION

Le problème de notre vie privée menacée de toutes parts ne date pas d'hier. Une loi tentant d'y remédier - et au niveau euro-péen - est une excellente chose. Trouver le bon équilibre entre l'utilisation correcte des données personnelles et la protection de la vie privée constituera un sujet très important ces prochaines années, pour autant que ce ne soit pas déjà le cas. Nous ne devons pourtant pas croire bêtement les prophètes de malheur du RGPD. On évoque certes d'énormes amendes (jusqu'à 4% du chiffre annuel avec un maximum de 20 millions d'euros), mais reste à savoir dans quelle mesure des contrôles seront effectivement effectués. De nombreux principes de base du RGPD sont, en outre, déjà repris dans la Loi vie privée belge actuelle. Le pas à franchir vers le RGPD est donc limité pour nos entreprises. Le plus gros changement sera certainement la nomination possible du Data Protection Officer ou délégué à la protection des données. Mais ici, le RGPD est donc particulièrement peu clair. Selon la loi, un DPO doit être désigné, lorsque 'les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement (de données) exigeantes, du fait de leur nature, de leur portée et/ou de leurs finalités, un suivi régulier et systématique à grande échelle des personnes concernées'. Difficile de faire plus vague. Qui définit ce qu'il faut entendre par 'régulier' et 'systématique'? Une entreprise traitant pour ses activités quotidiennes une grande quantité de données personnelles - sensibles ou non - a besoin d'un DPO. Voilà la vague conclusion. Tout avocat invoquera cette définition bien trop vague comme défense justifiant la non-nomination d'un DPO.