Visite de terrain auprès de 3 entreprises du numérique dans le cadre de la mise en oeuvre du RGPD
“Avant l’entrée en vigueur du RGPD à l’échelle européenne le 25 mai prochain, j’ai souhaité aller à la rencontre de plusieurs entreprises du numérique, afin d’échanger sur la mise en oeuvre opérationnelle du texte.”
Le projet de loi de protection des données personnelles – dont je suis rapporteure – a été adoptée définitivement par l’Assemblée nationale le 14 mai. Il m’a paru alors essentiel d’aller écouter les entreprises entre la date d’adoption et la date de mise en œuvre du texte pour avoir un échange décomplexé, honnête et sans faux-semblants sur le sujet. J’ai donc invité plusieurs députés à se joindre à moi afin d’aller sur le terrain, et de recueillir des témoignages directs d’entreprises qui ont à gérer les multiples enjeux de la mise en application du RGPD.
La visite a débuté avec la rencontre de start-ups incubés au Hub de BipFrance.
Les échanges ont eu lieu avec trois start-ups, qui gèrent chacune des données différentes et qui ne rencontrent pas forcément les mêmes difficultés. Les discussions ont donc été très enrichissantes car elles ont permis de puiser dans des retours d’expérience divers.
La première startup, Bioserenity, conçoit des vêtements connectés avec capteurs intégrés pour les personnes épileptiques. Le but de cette entreprise est de rendre la vie du patient plus simple, ainsi que de pouvoir surveiller son état de santé, en lui évitant de devoir se rendre à l’hôpital ou de s’exposer à des contraintes médicales. Elle gère donc des données personnelles de santé, qui sont des données particulièrement sensibles.
La deuxième startup était Doctoconsult, startup qui s’est lancée il y a moins d’un an et qui met en relation des patients et leurs médecins via un système de visioconsultation médicale, afin d’établir un diagnostic et de prescrire des médicaments, tout en facilitant la prise en charge et le contact. Elle gère également des données de santé, dites sensibles – catégories de données qui font l’objet d’un traitement particulier dans le cadre du RGPD. J’avais travaillé longuement sur le fait de rendre le plus simple possible les nouvelles obligations pesant sur les acteurs utilisant des données de santé pendant l’étude du texte. Je vous invite à découvrir l’article 7 du projet de loi à ce sujet.
La dernière startup était Vectaury, qui fait de la publicité mobile ciblée grâce à la géolocalisation. La question centrale pour cette entreprise est celle de bien obtenir le consentement des utilisateurs – nouveaux droits consacrés par le RGPD et dont tout manquement expose à une amende de 20 millions ou 4% du chiffre d’affaires.
Ces trois entreprises démontrent que l’impact du RGPD relève du quotidien des utilisateurs du numérique. En échangeant avec elles, nous avons pu comprendre concrètement le rôle du RGPD dans leur activité. L’enjeu principal pour elles a été d’inscrire cette loi dans le domaine opérationnel : pour ça, des postes ont été créé comme par exemple celui de DPO, et les services juridiques ont été consolidés. Les start-ups nous ont également souligné l’importance de l’accompagnement de la CNIL tout au long de ce processus.
L’enseignement le plus important est sûrement le dernier : toutes les start-ups ont été unanimes, le RGPD constitue un avantage concurrentiel à l’international pour elles. La conformité RGPD est un argument de vente qui permet de montrer aux clients que l’on est respectueux de leurs données et donc de les rassurer.
La visite a continué dans les locaux de Saaswedo, une PME qui édite des logiciels IT et de Télécom.
Nous y avons rencontré Gilles Mezari, le PDG de l’entreprise, qui nous a expliqué les difficultés que représente le marché européen du fait du nombre exponentiel de concurrents d’opérateurs mobiles. A titre d’exemple, il a comparé les Etats-Unis, qui détiennent 4 opérateurs mobiles, avec l’Europe, qui en détient 4 par pays. Le marché européen est donc extrêmement complexe.
Il nous a souligné l’importance cruciale du développement de la médiation dans le cadre de la conformité du RGPD. Il a aussi pointé une nécessaire connaissance des acteurs sur les spécificités des TPE-PME pour les aider à se saisir de la nouvelle législation. A ce titre, nous avions demandé à ce qu’une information adaptée leur soit fournie, l’article 1er du projet de loi l’a intégré.
Enfin nous avons été à la rencontre de Facebook.
Nous a été présenté l’ensemble des consentements demandés aux utilisateurs, que ces derniers auront l’obligation de valider ou non à partir du 25 mai. Ces nouvelles conditions d’utilisation traitent des données sensibles, qui sont donc celles liées à la religion, au statut sexuel et aux opinions politiques. Les deux nouveaux outils mis en place par Facebook nous ont aussi été présenté : l’accès à toutes nos informations personnelles, et le téléchargement de ces dernières. Ceci s’inscrit dans le cadre du droit à la portabilité, qui assure à l’utilisateur le droit de récupérer à tout moment toutes ses données personnelles d’une plateforme, afin de pouvoir les transférer sur une autre. Un débat a suivi entre les parlementaires présents et les équipes de Facebook, notamment en lien avec les données biométriques recueillies par la plateforme, le partage des données entre les différents services de l’entreprise (Instagram, Whatsapp…) et le parcours utilisateur correspondant au recueil du consentement.