20111120.jpg

L’Europe met en application depuis mai dernier le Règlement Général sur la Protection des Données (RGPD). Toutes les entreprises, européennes ou étrangères, sont concernées dès lors que les données collectées sont celles de résidents européens. 

Les obligations générées par le RGPD portent notamment sur la liste des prestataires, des partenaires commerciaux, sur les implantations géographiques, commerciales et techniques d’une entreprise ainsi que sur l’organisation interne détaillée des processus de travail et de création de valeur. Elles ouvrent d’avantage l’entreprise au contrôle citoyen sous l’égide des nouveaux droits à la portabilité et à l’effacement.

Les obligations nouvelles du RGPD peuvent constituer une arme dans la guerre économique à l’ère de la concurrence et à la lumière des scandales de Cambridge Analytica et de Facebook. Tout d’abord, les exigences de transparence quant à la collecte d’informations stratégiques peuvent mettre à nu l’entreprise, la rendant vulnérable aux prédations concurrentielles. D’autre part, toute fuite de données engage non seulement la responsabilité directe de l’entreprise mais également la responsabilité indirecte de ses partenaires sur le plan juridique et réputationnel.

Il devient donc primordial pour les entreprises de traiter en amont ces questions.

L’obligation d’inventaire du traitement des données, par exemple, engendre des vulnérabilités. Cette obligation de documenter, expliquer et rendre accessible sur simple demande la liste des prestataires qui apportent de la donnée ou qui aident à la traiter ou tout donneur d’ordre, client ou partenaires avec lesquels des données sont échangées, ainsi que la méthode de traitement des données documentées, peut permettre d’utiliser des informations sensibles collectées à d’autres fins que la protection de la vie privée.

Les droits des personnes peuvent également être instrumentalisés à des fins de prédation concurrentielle comme le droit à la portabilité. Cette possibilité reconnue à un consommateur titulaire de données personnelles de demander toutes les données qui le concernent à une entreprise parce qu’il souhaite les confier à une autre entreprise. Ce droit exercé par mandat par exemple par une entreprise concurrente peut être utilisé pour siphonner des données. Le consommateur pourra être ainsi instrumentalisé à des fins concurrentielles.

Certains garde-fous peuvent être mis en place par les régulateurs pour éviter un détournement du RGPD au profit de stratégies de déstabilisation des entreprises. Il convient pour cela d’établir une connexion entre la régulation économique et la protection des données personnelles. A ce jour, les régulateurs de ces deux domaines respectifs opèrent avec des approches monovalentes privilégiant le monopole des données au risque de raréfier leur diversification.

Cliquez ici pour accéder à une interview vidéo de Me Etienne Drouard sur cette thématique.