Délai non respecté, ou pourquoi plus de la moitié des entreprises n'étaient pas prêtes pour le RGPD

Ces derniers jours, des lettres de diverses sociétés, applications, services et sites que vous avez déjà utilisés ou où vous avez ouvert des comptes tombent régulièrement dans le courrier. Les lettres sont à peu près les mêmes - elles signalent un changement dans la politique de confidentialité et expliquent comment l'entreprise traite les données personnelles.

Nous avons déjà écrit ce qui change exactement dans les politiques de traitement des données des grandes entreprises informatiques: WhatsApp, Facebook, Instagram et Twitter. Nous comprenons maintenant pourquoi des dizaines de lettres de nombreux services ont commencé à arriver seulement maintenant, après la date limite officielle du RGPD, pourquoi toutes les entreprises n'ont pas pu se préparer à la transition en temps opportun et quels problèmes elles ont rencontrés.


/ photo Dennis van der Heijden CC PAR

Que se passe-t-il

Le 25 mai, le RGPD - Règlement Général sur la Protection des Données - est entré en vigueur. Il réglemente la protection des données personnelles des résidents des pays de l'UE et remplace la directive sur la protection des données, une directive de 1995.

Le RGPD affecte tout le monde, car il s'applique non seulement aux entreprises enregistrées dans l'Union européenne, mais à toutes les personnes qui stockent, traitent et utilisent la PD des citoyens de l'UE.

Les entreprises ont commencé à se préparer à l'avance, dont les modèles commerciaux dépendent fortement de la collaboration avec PD - par exemple, Facebook avant même l'introduction du RGPD a déclaré ce qui serait fait pour se conformer à la nouvelle réglementation: tous les utilisateurs seront invités à revoir leurs paramètres de confidentialité. Ils pourront également choisir eux-mêmes s'ils sont prêts à partager leurs informations à des fins de publicité ciblée et, dans l'affirmative, laquelle. En outre, le réseau social prévoyait de retourner la reconnaissance faciale, qui a été désactivée par une décision de justice selon laquelle cette boîte à outils du réseau social viole les lois sur les données personnelles.

Mais toutes les entreprises n'ont pas réagi à la nouvelle réglementation avec la même attention accrue. En avril, le Ponemon Institute a mené une enquête auprès de milliers d'entreprises, dont la moitié ont admis qu'elles ne seraient pas prêtes pour la date limite. Parmi les sociétés informatiques, elles étaient 60%.

En conséquence, beaucoup ne pouvaient vraiment pas respecter les exigences du règlement à temps - bien que le délai soit connu depuis longtemps (la version finale du RGPD a été publiée il y a 2 ans). Selon une enquête réalisée il y a un an par la société européenne TrustArc auprès de deux cents entreprises de différents pays et industries, 61% des entreprises n'avaient alors même pas commencé à se préparer au RGPD.

Pourquoi est-il si difficile de faire correspondre

De nombreuses entreprises n'ont pas eu le temps de respecter le délai, non seulement parce qu'elles ont décidé de tout reporter à la fin. Il y a plusieurs raisons relativement objectives.

La loi est très compliquée

Et parfois, elle recoupe des actes juridiques locaux relatifs au traitement des données personnelles. Les avocats disent qu'il est vraiment difficile de comprendre les exigences du régulateur - et plus encore de reconstruire votre entreprise pour qu'elle corresponde à celle-ci.

Par exemple, certaines formulations dans des points clés de la loi ont suscité un débat houleux: le consentement à l'utilisation de données personnelles ordinaires devrait être «sans ambiguïté» (c'est-à-dire sans ambiguïté, compréhensible, sans ambiguïté) et le consentement à l'utilisation de données à caractère personnel «sensibles» devrait être «explicite» (clairement indiqué exhaustif).

Mais y a-t-il une différence entre ces deux définitions et, par conséquent, les deux «consentements», et si oui, quoi et quoi devrait-il être exprimé dans l'application à la pratique? La question n'est pas du tout vide - elle dépend de la réponse correcte (d'un point de vue juridique), par exemple, comment cela est possible et comment il est impossible d'établir des signatures pour les cases à cocher dans les interfaces qui marquent le consentement de l'utilisateur au traitement de PD.


/ image Giulia Forsythe PD

De plus, la loi ne prend pas en compte les spécificités locales: par exemple, différents pays ont des attitudes différentes à l'égard des données personnelles. C'est en partie pourquoi de nombreuses parties de la loi sont délibérément rationalisées - ce qui crée un espace pour une variété de ses interprétations.

Et certains des points du RGPD sont en contradiction , par exemple, avec le n ° 152-FZ russe «sur les données personnelles», ce qui crée également des difficultés pour les entreprises russes qui collectent et utilisent en quelque sorte les données personnelles des citoyens européens.

Refonte du processus

Et pas seulement du point de vue de la technologie, mais aussi du point de vue des affaires. Certaines entreprises ont peur que si elles disent aux utilisateurs exactement comment elles utilisent leurs données personnelles, les gens ne leur donneront jamais.

Par conséquent, l'approche que Facebook a introduite pour obtenir l'autorisation de l'utilisateur a finalement été critiquée : tout le parcours de l'utilisateur le motive à accepter rapidement les nouvelles règles et à continuer de partager ses informations avec le service.

Le bouton «Accepter et continuer» est le plus beau et le plus visible, et ici la solution opposée semble déjà difficile: «Gérer les paramètres de données». Si vous cliquez dessus, Facebook essaiera d'abord de convaincre l'utilisateur de tout laisser tel quel. De plus, Facebook prive l'utilisateur de la possibilité de partager certaines informations personnelles sur sa page, mais en même temps de ne pas autoriser les réseaux sociaux à utiliser ces informations à des fins publicitaires.

De plus, les petites et moyennes entreprises n'ont souvent tout simplement pas les ressources technologiques et humaines pour comprendre les exigences de la loi et faire toutes les préparations nécessaires - par conséquent, pour elles, le processus de mise en conformité de tous les systèmes avec les exigences du RGPD devient très coûteux.

La loi ne prend plus en compte les nouvelles technologies

Le règlement a été élaboré et adopté pendant plusieurs années, de nombreuses idées sur l'état actuel de la technologie y sont déjà dépassées: par exemple, on ne sait pas quoi faire avec les Big Data et l'apprentissage automatique.

Ainsi, le RGPD exige la transparence des algorithmes d'apprentissage automatique - les développeurs devraient être en mesure d'expliquer pourquoi l'algorithme a pris telle ou telle décision. En d'autres termes, la loi prévoit que l'utilisateur peut à tout moment recevoir une explication détaillée du mécanisme d'utilisation de ses informations personnelles afin de prendre une décision éclairée - qu'il accepte ou non.

Dans le cas des algorithmes d'apprentissage automatique, ce n'est pas si facile à faire - pourquoi les systèmes d'IA prennent cette décision particulière à ce moment-là, même ses ingénieurs ne peuvent parfois pas l'expliquer. Ceci n'est pas réglementé par le RGPD. Et ces choses deviendront de plus en plus - la loi devra être constamment mise à jour, mais en réalité, la loi sera toujours à la traîne du développement de la technologie.

Le plus difficile a été les entreprises qui développent des assistants intelligents - Google Assistant, Alexa, Siri.

Ces services écoutent toujours (quoique en arrière-plan) tout ce qui se passe autour d'eux - afin de se "réveiller" au bon moment et d'exécuter une commande à l'aide d'un mot de code. La technologie est encore imparfaite - par exemple, il n'y a pas si longtemps, Amazon a été confrontée à un problème inattendu: Alexa a périodiquement commencé à rire, car elle pouvait comprendre la phrase «Alex, rire» dans le discours qui l'entourait.

Cela peut paraître ridicule, mais dans le cadre du RGPD, cette situation est une zone grise, dont le contrôle n'est toujours pas clair. Formellement, les assistants intelligents n'enregistrent pas le son et ne le transmettent nulle part - mais un cas récent avec la même Alexa, qui, en raison d'un bug technique, a transmis un enregistrement audio d'une conversation personnelle des résidents d'une maison à l'un des contacts de l'annuaire téléphonique, montre que les situations peuvent être différentes.

Dans de tels cas, tout dépendra si les utilisateurs en ont souffert ou non: par exemple, si les informations n'ont pas été utilisées et que le service a rapidement «réagi» et supprimé. Les développeurs d'Alexa eux-mêmes ont promis d' améliorer les algorithmes de reconnaissance vocale afin qu'un événement aussi improbable ne se reproduise plus.


/ photo Oliver Henze CC BY-ND

La manière dont le fonctionnement de ces services sera réglementé en termes de conformité au RGPD n'est pas encore claire. Les experts et les journalistes sont d'accord: ces services devront probablement obtenir le consentement des utilisateurs pour que l'assistant intelligent écoute toujours, enregistre toujours et, éventuellement , transfère des informations à des tiers.

Quel sera

Qu'est-ce qui attend les entreprises qui n'ont pas eu le temps de mettre les processus commerciaux en conformité avec la loi ou qui l'ont violée? Certains estiment que le 25 mai a été un «démarrage en douceur» et le régulateur ne poursuivra pas les entreprises qui n'ont pas réussi à respecter les délais (surtout si elles ont des raisons objectives à cela). Bien que la pénalité pour non-respect de la réglementation ait déjà été indiquée, et elle est très importante - jusqu'à 4% du chiffre d'affaires annuel de l'entreprise.

Il y a cependant une difficulté - tous les contrôles ne reposent désormais plus uniquement sur le régulateur. Les utilisateurs eux-mêmes ont également le pouvoir: par exemple, ils peuvent exiger que le service reçoive, modifie ou supprime tous leurs PD. Si ces processus ne sont pas mis en place et que le service n'est techniquement pas en mesure de répondre aux besoins de l'utilisateur, il existe un risque de litige, que l'utilisateur pourrait bien gagner.

De nombreux experts estiment toujours que le marché ne sera pas en mesure de se conformer pleinement aux exigences du RGPD. Du moins parce que la sphère est très inexplorée - la loi, bien que correcte dans ses intentions, n'affecte pas de nombreux cas et modes importants d'utilisation et de stockage des données personnelles. Si de telles études (détaillées et détaillées) apparaissent néanmoins, elles deviendront une bonne base pour finaliser la loi.

Cependant, l'avènement du GPDR est un indicateur important du changement de priorité. Si la gestion des données personnelles était auparavant la «composante fantôme» de presque toutes les entreprises, et que les entreprises pouvaient la gérer à leur guise, les utilisateurs ont enfin au moins quelques outils pour contrôler leurs propres données sur le Web.

PS Qu'est-ce que nous écrivons d'autre sur le premier blog IaaS d'entreprise:

• Ce qui concerne les données personnelles du point de vue du régulateur russe
• Données personnelles dans le cloud: principes de traitement
• Protection des données personnelles: une approche européenne

PPS Quelques documents sur un sujet de notre blog sur Habré:

• Comment les réseaux sociaux changent les principes de travail avec PD
• Entrée en vigueur du nouveau règlement de l'UE sur la protection contre les DP
• Le débat «droit à l'oubli»: les moteurs de recherche doivent-ils être considérés comme du journalisme?
• CLOUD AST: un nouveau projet de loi américain ouvre l'accès aux données personnelles à l'étranger