Ça y est, nous y sommes, le 25 mai 2018… Cela fait maintenant 2 ans que nous attendons, fébriles, inquiets, ce moment tant redouté par tous. Tous ? Peut-être pas finalement…En ce jour J, où en sommes-nous ? Qu’avons-nous à craindre ? Et enfin que pouvons-nous espérer ?
Tout le monde en parle, c’est le hashtag du moment : RGPD/GDPR. Tous les médias se sont emparés du sujet, jusqu’à nos quotidiens nationaux qui en font leur une, c’est le mot du jour : « RGDP »… Sauf qu’on ne dit pas « RGDP » mais « RGPD » pour Règlement Général sur la Protection des Données. Cela a son importance et permettra peut-être à nos lecteurs de distinguer les experts du sujet.
Le RGPD est une chose complexe, d’autant plus lorsque l’on mentionne la date du 25 mai 2018. « Ça y est, le RGPD entre en vigueur ». Et bien non, le RGPD n’entre pas en vigueur le 25 mai 2018. Pour des spécialistes qui travaillent depuis plusieurs années sur le sujet, c’est une hérésie : le RGPD a été voté le 16 avril 2016. Il est entré en vigueur au jour de sa publication au Journal Officiel (JO pour les intimes) le 24 mai 2016 et laissait donc deux ans aux entreprises pour se mettre en conformité… C’est donc le 25 mai 2018 qu’il entre en application. Cela peut avoir l’air stupide mais il n’en est rien : cela change tout ou presque.
L’histoire de DPO Consulting a démarré lorsque le RGPD faisait encore l’objet d’âpres discussions entre le Parlement Européen et le Conseil. Plus précisément, CIL de la filiale française d’un Groupe suédois, j’ai été confrontée aux immenses contradictions de cette fonction de DPO et de celle d’un responsable juridique défendant son président dans le cadre d’une affaire pénale liée à la protection des données. C’est donc en décembre 2015, alors que tout le monde pensait le règlement européen enterré que j’ai fondé la société, persuadée que la protection des données personnelles devait être un métier à part entière. Le succès n’a pas été immédiat, c’est le moins que l’on puisse dire…Nous devions nous battre pour que le sujet soit mentionné lors de conférences au cours desquelles l’auditoire nous observait avec circonspection.
Puis sont venus les premiers clients : d’abord en portage, principalement des banques et des assurances, habituées aux réglementations complexes telles que Solvabilité 2 ou Bâle 2 qui leur ont permis de se préparer au coup de massue qui les attendait. Ensuite, des entreprises du retail, de l’industrie ou des nouvelles technologies, peu rassurées par les discours enflammés mais souvent ignorants des Big Four et qui recherchaient une expertise sur le sujet. Des entreprises de tous secteurs nous ont depuis fait confiance pour les accompagner. C’est aujourd’hui plus de 30 salariés, de Paris au Québec en passant par Lyon qui sont au service de plusieurs dizaines de clients de toutes tailles et de tous secteurs.
Et malgré tous nos efforts, notre mobilisation constante, nous sommes loin du compte…Selon une étude relayée par le Medef, seules 10% des entreprises estiment pouvoir être conformes le 25 mai 2018. Ces chiffres ont été sous-évalués : en réalité, il s’agit davantage du nombre d’entreprises ayant pris conscience du sujet. L’erreur principale des entreprises aujourd’hui est de prendre le sujet par morceau : le RGPD est un changement fondamental de mentalité par rapport aux données de vos clients, de vos salariés, il implique des changements organisationnels profonds qui touchent l’ensemble des départements d’une entreprise. Par conséquent, certaines entreprises seront, « visuellement » conformes, en atteste le nombre incroyable d’emails reçus ces derniers jours concernant les mises à jour de politique de confidentialité.
C’est bien, mais il s’agit seulement de la partie visible de l’iceberg. En réalité, le RGPD est grandement inspiré de la Loi Informatique et Liberté du 6 janvier 1978. Plus précisément, tous les principes relatifs à la transparence de l’information, la durée de conservation, la sécurité, ou encore à la finalité pour laquelle les données sont utilisées y figuraient déjà. C’est donc depuis de nombreuses années que cet email aurait dû être transmis. Cependant, la sanction (au maximum de 150 000 euros) n’effrayait personne. Les sanctions en termes d’image ou de réputation ? Facebook a été condamné à de multiples reprises, avez-vous arrêté de l’utiliser ? Non, car les utilisateurs pensent pouvoir gérer leurs données…Tout est question de marketing.
Cela ne durera cependant pas : les autorités de protection des données sont désormais sur le pont, omniprésentes, à vulgariser le sujet, à le rendre accessible à la population, en témoigne la présence de Mme Falque Pierrotin en hologramme (oui oui) à la très sérieuse mais non moins populaire Cité des Sciences et de l’Industrie. Aujourd’hui, 8 français sur 10 se déclarent prêt à boycotter une marque qui ne respecte pas les principes du RGPD selon un sondage OpinionWay. Nous pensions le sondage tronqué, mais il y a plus grave : selon le site mashable.com, les tendances du net montre un engouement plus important ces derniers temps pour le RGPD que pour Beyonce : le monde courrerait-il à sa perte ou serait-il en réalité en train de prendre conscience du sujet ?
En octobre 2017, Kasperski a ouvert un magasin à Londres qui facturait les clients avec leurs données personnelles. Les personnes concernées étaient prêtes à échanger des données très personnelles comme des photos de famille contre un mug. Le seraient-elles encore aujourd’hui ? Rien n’est moins sûr, et c’est exactement là où nous en sommes aujourd’hui : d’un côté une prise de conscience des entreprises que tout n’est plus permis, et de l’autre des particuliers qui prennent peu à peu conscience de la valeur de ces données.
Dans le même thème : 40 ans d’existence : un âge d’or atteint en 2018 pour la CNIL !
« J’en entends qui disent » que la CNIL ne prononcera pas de sanction. Et d’autres qui crient aux loups pour profiter sans vergogne de la manne financière que représente toute nouvelle obligation légale. Mais la vérité est ailleurs.
Non vous n’êtes pas à l’abri. Et ce pour deux raisons : la première c’est que la CNIL a récemment ré-affirmé son souhait de faire un exemple dans chaque secteur d’activité. Nous jouons donc à la roulette russe. Mais charité bien ordonnée commençant par soit-même, c’est exactement la raison pour laquelle les sénateurs ont décidé de saisir le Conseil Constitutionnel sur le projet de loi relatif à l’adaptation de la Loi Informatique et Libertés au RGPD : pour limiter (entre autres sujets) le montant des sanctions pour les organes de l’État et les Collectivités territoriales.
Dans le même temps, il faut reconnaître que la CNIL elle-même n’est pas prête : le Gouvernement rechigne à lui octroyer les budgets nécessaires dans une période où l’austérité est de mise. Oui car contrairement à nos homologues espagnols, le budget de la CNIL, pourtant en pleine réorganisation pour faire face à ces nombreux changements, est défini par l’Etat et non calculé sur le montant des amendes perçues. Face à des GAFAM pouvant s’offrir des hordes d’avocats, la situation peut vite s’avérer compliquée pour notre autorité de protection des données.
Pour autant, nous nous garderons bien de jouer avec les autorités de protection des données car l’élément « pan-européen » doit être pris en compte. Plus précisément, la CNIL n’est plus seule maître en son pays et les autorités de protection des données des pays dans lesquels vos filiales et succursales sont implantées ne sont pas à l’abri d’un contrôle inopiné. Si en dehors de l’Union Européenne la question de l’application réelle du RGPD peut se poser compte tenu des accords de coopération politique et juridique, aucune entreprise n’est à l’abri au sein de l’Union Européenne, certaines autorités ayant déjà fait connaître leur position sur le sujet. Point important à souligner à cet égard, le montant de l’amende est calculé sur le chiffre d’affaires mondial consolidé. Cette consolidation ne s’entendant pas tout à fait au plan comptable, toutes entreprises dans laquelle vous disposez de plus de 25% des parts est concernée.
Mais la sanction la plus importante à craindre est celle du business. Que dire de l’impact énorme d’une convocation du fondateur d’une des plus puissantes entreprises au monde devant la Commission Européenne retransmise en direct sur plusieurs chaînes de télévision ? Pour quelle raison M. Zuckerberg, fondateur d’une entreprise américaine accepte de venir défendre sa vision devant nos représentants européens ? Parce que l’affaire Cambridge Analytica est un véritable scandale qui marque pour la première fois l’opinion publique et qu’il a tout intérêt à essayer de convaincre ses utilisateurs qu’il va se conformer à cette nouvelle réglementation.
La sanction fonctionne également dans les relations B2B. De nombreuses entreprises nous contactent aujourd’hui car elles ont reçu une missive de leurs donneurs d’ordre les enjoignant à démontrer sans délai leur complète conformité au RGPD et fournir, rubis sur l’ongle, le nom de leur DPO. A défaut de réponse la sanction est immédiate : l’entreprise ne sera tout simplement pas retenue dans l’appel d’offres ou, plus grave pour certains, le contrat sera résilié.
Pour conclure, cette nouvelle réglementation apporte son lot de changements positifs qui pourraient, même si on osait, améliorer les performances des entreprises.
Tout d’abord, et on le voit ces derniers temps, elle entraîne de facto une meilleure information des consommateurs. Par voie de ricochet, ces derniers prennent peu à peu conscience de la valeur de leurs propres données personnelles et sont davantage enclins à les partager s’ils en retirent un avantage (commercial, financier, ou plus prosaïquement sentimental). De quoi ouvrir de nombreuses perspectives pour nos amis du marketing les plus créatifs.
Ensuite, au sein des entreprises, le RGPD devient une formidable opportunité pour rationaliser, harmoniser ou simplement centraliser les processus internes. C’est l’occasion de s’assurer que toutes les prestations externalisées font bien l’objet d’un contrat, que les réclamations clients sont centralisées, etc. C’est aussi l’occasion de faire le tri, de gagner de la place dans vos armoires d’archive et de l’espace de stockage sur vos serveurs. Enfin, c’est l’occasion d’harmoniser vos procédures RH au sein de l’ensemble de vos structures.
Que pouvons-nous en espérer ? Il est possible que plus globalement, cette réglementation soit l’occasion de rendre à notre vieille Europe son avant-gardisme dans la protection des droits et libertés des individus et qu’elle accompagne de façon raisonnée la révolution numérique que nous vivons actuellement.
Nous vous suggérons en complément la lecture de cet article sur l’analyse d’impact RGPD