Dans le cadre du règlement européen (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection de la donnée personnelle, le nouveau règlement impose à toutes les organisations européennes d’être en conformité avec celui-ci, depuis le 25 mai 2018.
Le règlement impose notamment :
- la transparence envers les propriétaires des données personnelles traitées [article 13]
- le respect des droits des propriétaires des données personnelles traitées [article 16 à 23]
- la mise en œuvre de mesures de sécurité techniques [article 32]
- l’encadrement des sous-traitants [article 28]
- Faire la preuve de sa conformité (Accountability)
Le secteur de la logistique est particulièrement concerné par le règlement. Les canaux de distribution de livraisons sont de plus en plus diversifiés (point relais, livraison client avec différents acteurs, casier consigne …) et embarque de nombreux sous-traitants.
Les prestataires impliqués dans la chaine de livraison traitent des données personnelles en quantité importante, notamment dans les livraisons du dernier kilomètre. Les données personnelles sont transmises de sous-traitant en sous-traitant avec autant de systèmes d’information où les informations transitent.
Le règlement impose d’identifier tous les sous-traitants du processus de livraison et d’obtenir de chaque sous-traitant des garanties suffisantes en matière de protection des données personnelles.
La difficulté majeure est d’assurer la sécurité des données personnelles durant tout le processus de l’acheminement du colis, depuis la commande à la livraison et s’assurer que chaque sous-traitant présente des garanties suffisantes pour le responsable du traitement qui à l’origine de la prise de commande, voir de la mise en relation avec un autre fournisseur comme c’est le cas sur de nombreuses plateformes d’e-commerce.
Le monde de la logistique va devoir repenser les systèmes d’information impliqués dans les processus d’acheminements des livraisons pour garantir que les données échangées bénéficient de protection depuis la prise de commande jusqu’à la livraison et que chaque sous-traitant s’engage à se mettre en conformité avec le nouveau règlement.
Les risques sont importants en cas de violation de données, le responsable du traitement peut se voir infliger une amende de 4% de son chiffre d’affaires mondial. Dans le cas d’une violation de données, le responsable du traitement a l’obligation de déclarer l’incident de sécurité à l’autorité de contrôle, l’image de la société peut se dégrader fortement.
