Intelligence économique et RGPD : mieux vaut prévenir que guérir

 
Une réappropriation par les personnes concernées de leurs données à caractère personnel

Le RGPD garantit aux particuliers des droits sur leurs données personnelles qui se rapprochent de droits de la propriété : ces données, par définition, leur appartiennent et ils peuvent en jouir comme bon leur semble (toujours dans la limite de la légalité). C’est dans cette optique que le règlement renforce non seulement les droits d’information, d’accès, de rectification et d’effacement déjà affirmés par la loi informatique et libertés de 1978 en France, mais accorde aux personnes concernées de nouveaux droits : le droit à la portabilité (soit celui de transmettre celles-ci à un autre responsable de traitement), le droit à la limitation du traitement, le droit de refuser de faire l’objet d’une décision entièrement automatisée (comme le profilage) et le droit d’adresser une réclamation à une autorité de contrôle en cas de non-respect des précédents droits. Ainsi, le traitement de données à caractère personnel ne peut se faire que dans le cadre restreint de la licéité, qui implique un traitement strictement limité par des finalités clairement établies. 
 
Des contraintes plus strictes pour les responsables de traitement

Les responsables de traitement (entreprises, association qui pour toutes sortes de raisons collectent des données à caractère personnel) sont alors en charge de garantir le respect de ces droits. Ils sont alors tenus de garantir la sécurité à leurs utilisateurs la protection de leurs données personnelles et d’être à tout moment en mesure de démontrer à la CNIL le respect des consignes de transparence et de sécurité. Cela suppose de tenir à jour certains documents règlementaires comme le registre des activités de traitement, et de créer de nouveaux postes, voire de nouveaux métiers, comme par exemple le délégué à la protection des données (DPD) qui sera chargé du bon respect du règlement et de la communication entre l’entreprise et la CNIL. La question de la sécurité des données devient alors centrale dans la gouvernance de l’entreprise puisqu’elle dépasse celle de la gestion du secret professionnel pour concerner également la protection des données des clients, utilisateurs et employés.
 
Des sanctions plus sévères en cas de non-respect

Édictées par la loi informatique et libertés de juin 2019, les sanctions pécuniaires applicables aux organismes responsables de traitement ne respectant pas les principes du RGPD peuvent aller jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaire annuel mondial dans le cas des entreprises (le montant le plus élevé est alors retenu) : la société Google avait par exemple été condamnée à une amende de 50 millions d’euros en juillet 2019 pour n’avoir pas informé de façon suffisamment claire ses usagers du traitement et de la conservation de leurs données personnelles, ce qui ne pouvait pas garantir de leur part un consentement libre et éclairé pour ce traitement. Les entreprises peuvent également être lourdement sanctionnées lorsqu’il s’avère que le traitement des données de leurs clients n’est pas assez sécurisé : en cas d’attaque informatique, elles peuvent être tenues responsables pour manque de vigilance. C’est par exemple ce qui est arrivé à Uber en décembre 2018 : l’entreprise a dû payer une amende de 400 000 euros pour négligence de certaines mesures élémentaires de sécurité (parmi lesquelles l’établissement de critères précis d’authentification sur la plateforme collaborative de développement, le filtrage des adresses IP pour accéder aux serveurs contenants les données personnelles des utilisateurs…). Plus récemment encore, les sociétés EDF et Engie ont reçu en février dernier une mise en demeure de la CNIL pour une collecte abusive de données de consommation fine (il s’agissait en l’occurrence de données concernant la consommation d’énergie des consommateurs à la demi-heure près) : les utilisateurs n’étaient pas suffisamment informé de cette collecte pour donner leur accord libre et éclairé, et la CNIL a jugé que la durée de conservation de ces données était excessive au vu des finalités du traitement.
 
Réguler l’économie de l’information

L’objectif du RGPD est clair : protéger et sécuriser les données à caractère personnel. Il s’agit là de « toute information se rapportant à une personne physique identifiée ou identifiable », où une personne identifiable est une personne physique pouvant être identifiée à l’aide d’un nom, d’un pseudo, d’un numéro, de données de localisation, bref par toute sorte d’informations caractéristiques. Ainsi, il apparaît que le règlement vise en premier lieu à contrôler les opérations de collecte (et bien sûr aussi de vente) de données marketing, ainsi que le recensement des données relatives au comportement des salariés. Les exemples précédemment cités des affaires Uber ou EDF le montrent bien: il s’agit de collecte de données à des visées opérationnelles ou de marketing, et non purement de stratégies d’intelligence économique. Un autre exemple serait celui d’Uniontrad company, condamnée à verser 20 000€ d’amende à la CNIL pour vidéosurveillance excessive de ses salariés : là encore, ce sont les stratégies de gestion des ressources humaines qui sont remises en question, et pas l’intelligence économique. Tout cela pourrait nous amener à la conclusion qu’a priori, le règlement ne concerne directement qu’une part de l’intelligence économique trop délimitée pour être significative. C’est peut-être effectivement le cas à court terme, mais qu’en est-il des potentiels effets du RGPD à moyen ou long terme sur l’intelligence économique dans son ensemble ?
 
Vers un recentrage des stratégies d’intelligence économique

Avec la transformation des limites de la légalité, la frontière entre intelligence économique et espionnage industriel se déplace. Il s’agit désormais pour les entreprises responsables de traitement de s’adapter aux nouvelles contraintes. Ce sont alors les deux éléments principaux de l’intelligence économique qui doivent être repensés : la sécurité des données, puisque les entreprises sont susceptibles d’être tenues – comme Uber – responsables des attaques informatiques qu’elles subissent ; et la collecte d’information sur leurs clients, collaborateurs, fournisseurs et concurrents qui où un effort supplémentaire sera requis puisque les exigences redoublées en matière de sécurité impliqueront nécessairement une plus grande difficulté pour la collecte d’information.
 
La collecte d’information, quels changements ?

Comme précédemment mentionné, la collecte d’informations sur clients et salariés est directement encadrée par le RGPD, mais qu’en est-il du renseignement sur les concurrents et fournisseurs, autre élément clé de l’intelligence économique ? Il y a fort à parier que cette collecte soit plus difficile qu’auparavant, dans la mesure où ces informations seront non seulement traitées avec davantage de précautions, mais encore avec une durée de traitement limitée. Par exemple, le recueil d’information sur un salarié (ou un dirigeant) d’un concurrent pourra être entravé par l’utilisation du droit à l’effacement de ce dernier. En effet, l’article 17 du RGPD renforce pour les personnes concernées un droit à l’effacement des données (ou au déréférencement lorsque la donnée est rendue publique et est librement accessible sur les moteurs de recherche) dont ils ont retiré le consentement pour le traitement. Même si ce droit est très délimité pour ne pas entraver la liberté d’expression et l’information légitime des citoyens, son exercice a considérablement augmenté avec le RGPD : d’après l’Obs [2], 50,6% des demandes de suppression d’URL adressées à Google sont des demandes de déréférencement. Ainsi, dès lors que l’intérêt public n’est pas en jeu, Google est tenu de donner droit à ces demandes, rendant plus ardue la recherche d’informations qui – pour des raisons économiques privées – auraient pu s’avérer intéressantes dans une perspective d’intelligence économique.
 
La sécurité des données, plus que jamais un avantage compétitif

Mais l’intelligence économique ne s’arrête pas à la seule collecte d’information pour obtenir des renseignements, elle concerne aussi (peut-être même surtout) la protection et la sécurisation des données. Dans ce contexte nouveau, Alain Khemili, responsable du département industrie, innovation et intelligence économique de la Chambre de Commerce et d’Industrie, préconise d’adopter une stratégie défensive et de concentrer les efforts sur la protection des données. « Dans l’économie de la connaissance comme dans l’ancienne économie, la confiance demeure le pivot des relations contractuelles ou commerciales » affirme-t-il. La multiplication des plaintes adressées à la CNIL en sont la manifestation claire : les citoyens font de plus en plus attention à leurs données personnelles, et accordent en conséquence un prix d’autant plus grand à la confiance qu’il peuvent accorder à une entreprise. En effet, les sanctions de la CNIL ne s’arrêtent pas à leur unique conséquence financière, mais entraîne une méfiance chez les utilisateurs et clients, et donc une perte de compétitivité : ça a été notamment le cas de Uber dont la sanction de décembre 2018 a entraîné une certaine défiance de la part des utilisateurs. D’ailleurs, on constate que dès la mise en application du RGPD, les entreprises ayant déjà en leur sein des équipes d’ingénieurs dédiés à la question de la sécurité des données ont trouvé davantage de facilités à s’adapter aux conditions imposées par le RGPD. C’était le plus souvent le cas des plus grandes entreprises, bien que ces dernières ne soient pas non plus à l’abris de failles, comme l’avait montré l’affaire Cambridge Analytica qui avait plongé Facebook dans une crise de confiance sans précédent. Le coût d’adaptation aux nouvelles consignes édictées par l’Union Européenne sera plus lourd pour les TPE et PME, dont le parcours de mise en conformité pourrait coûter jusqu’à 50 000 pour les PME, selon Alain Khemili.
 
Conclusion. Le RGPD formalise et ordonne une économie de la connaissance en plein essor, où les maîtres du jeu sont certes détenteurs d’informations, mais surtout protecteurs de celle-ci.