Le 25 mai 2018, le règlement général sur la protection des données (RGPD) entrait en vigueur. Avec l’objectif affiché d’augmenter la protection des données personnelles et de responsabiliser les acteurs et les bénéficiaires des traitements de ces données. Ce règlement a entraîné une importante transformation dans la plupart des entreprises, qui ont dû adapter nombre de processus et parfois changer de pratiques.
11 mois se sont écoulés : l’occasion de dresser un premier bilan de l’ampleur et de la pérennité des changements opérés au sein des entreprises.
Les objectifs affichés par les autorités européennes ont-ils été atteints ?
Je crois que oui. L’amélioration de la protection des données personnelles des consommateurs et des citoyens européens est réelle. Les comportements ont, dans leur majorité, changé et en tout cas les bonnes questions sont partout posées. Il y a un avant 25 mai et un après.
Mais la plus grande réussite pour l’Europe est sans doute d’avoir induit une prise de conscience mondiale autour de la question de la propriété et de la protection des données. Globalement, le monde a gagné en maturité et tous les acteurs du traitement de la donnée, européens ou non, ont désormais à se positionner vis-à-vis des consommateurs et citoyens de la planète. Le niveau des recherches Google aux États-Unis autour de l’acronyme GDPR, très élevé, est un bon indicateur de la profondeur de cette effervescence.
Pour en revenir à l’Europe, 100 000 plaintes ont été déposées, dont 1 300 en France. Ce n’est pas rien. Quelques amendes ont déjà été infligées.
Le mouvement est lancé mais des difficultés pratiques persistent et nous sommes encore loin de pouvoir considérer que la vertu des comportements est en œuvre à 100 %.
Quelles sont les difficultés qui restent à surmonter ?
Nous pouvons déjà observer que l’application du RGPD n’est manifestement pas engagée avec la même détermination dans tous les pays européens. Schématiquement, le volume de plaintes par habitant décroit à mesure que l’on passe du nord au sud de l’Europe.
La deuxième difficulté tient à la capacité des institutions à garantir l’application pleine et entière du règlement, et d’une certaine manière à éviter des distorsions de concurrence en sanctionnant réellement les défauts de mise en conformité. Le nombre de condamnations est bien faible par rapport aux 100 000 plaintes déposées. La sérénité de la justice est naturellement une bonne chose mais la lenteur constatée vient plutôt de l’engorgement des tribunaux. Pour autant, il semble que les autorités des différents pays prennent peu à peu la mesure des défis et adaptent les organisations. Sachant que le levier d’accélération du traitement est tout trouvé avec le regroupement des plaintes.
Enfin, il y a bien sûr, et c’est à mon avis la question centrale, la puissance des grands acteurs mondiaux du traitement de la donnée que sont les GAFA, pour ne pas parler que des acteurs occidentaux. La mise en œuvre du RGPD est, il faut le dire, un véritable bras de fer avec ces géants, dont le modèle économique est clairement écorné par la philosophie du règlement. La naissance aux États-Unis d’un mouvement prônant ni plus ni moins le démantèlement des GAFA démontre en tout cas qu’il leur faudra de plus en plus tenir compte de la volonté des citoyens de plus de transparence.
Au fond, ces difficultés concernent davantage le régulateur que les entreprises, en tout cas la majorité d’entre elles. Quelle a été la trajectoire des entreprises françaises pour mettre en œuvre le RGPD ?
Un an après, on peut dire encore une fois que le RGPD est mis en pratique dans la grande majorité des entreprises qui traitent des données, hors cas particuliers ou volonté délibérée de rester hors des clous. Ce qui ne veut pas dire que la mise en pratique est totale et que 100 % de nos données personnelles sont désormais protégées. Nous y reviendrons.
Si on ne devait considérer qu’un seul chiffre, côté entreprises, comme indicateur du fait que le mouvement est enclenché, je ferais volontiers observer que le nombre de Délégués à la Protection des Données (DPO) officiellement déclarés auprès de la CNIL est 3 fois plus important que le nombre des Correspondants Informatique et Liberté (CIL) qui officiaient dans l’ancienne configuration réglementaire. Si l’on a en tête que la désignation du DPO est le premier acte de la mise en œuvre du RGPD, ce chiffre indique clairement un progrès sensible. Même si l’engagement est sans doute parfois de l’ordre de la cosmétique, la réalité est que davantage d’acteurs dans les entreprises sont en responsabilité.
Vous êtes actif au sein de l’Académie des Sciences et Techniques Comptables et Financières, qui est un peu le think tank des acteurs du chiffre. Quelle a été l’influence des conseils dans l’application du RGPD par les entreprises ?
Les experts-comptables ont fait leur travail d’alerte auprès de leurs clients. Mais ce sont les avocats qui ont été le plus actifs sur le sujet. De manière évidente, le RGPD a constitué pour de nombreux cabinets une opportunité de développement qu’ils ont su saisir. C’est un élément clef de la mise en conformité des entreprises, ainsi aiguillonnées.
Vous avez souligné que des progrès restent à accomplir pour une application pleine et entière du RGPD. Quels sont les obstacles ?
La principale difficulté pour les entreprises reste la question des études d’impact. C’est d’ailleurs le sujet traité par le groupe de travail que j’ai eu le plaisir de co-animer dans le cadre de l’Académie. Il est vrai que l’étude d’impact exigée par le RGPD peut être lourde pour une entreprise. Envisager pour chaque traitement de données personnelles les conséquences pratiques et les risques induits est très consommateur de ressources.
J’en rappelle le principe. Il convient de prendre en considération de manière exhaustive et documentée les risques directs ou indirects courus par la personne du fait des informations que l’entreprise collecte et/ou détient. Par exemple : telle information, exploitée dans un autre contexte que le mien, peut-elle changer la vie de la personne ? Lui faire perdre son travail ? L’empêcher d’accéder à un crédit ? Ou plus simplement révéler des aspects de sa vie privée qu’elle peut légitimement ne pas souhaiter voir divulgués…
L’obligation faite aux entreprises de déposer leur étude d’impact est assortie d’un délai de 3 ans de mise en application pour celles qui avaient l’obligation de déposer une simple déclaration auprès de la CNIL dans l’ancien environnement légal. Ces entreprises, qui sont aussi en général celles qui traitent le plus de données, ont très peu déposé d’études d’impact, utilisant le délai accordé.
Pour celles qui n’étaient pas concernées par l’obligation antérieure, en revanche, l’exigence de dépôt d’une étude d’impact s’applique depuis le 25 mai 2018. À leur intention, nous avons publié fin 2018 un guide pratique très opérationnel dans le cadre de nos travaux à l’Académie², avec le soutien de la CNIL.
L’étude d’impact est un élément central du RGPD. Il faut mener ces études, même si c’est difficile ! Non seulement elles permettent de bloquer des traitements éventuellement préjudiciables. Mais elles conduisent les entreprises à se poser d’utiles questions sur l’intérêt profond de telle ou telle procédure et souvent à simplifier leurs traitements. Facebook a entrepris ce travail à l’échelle mondiale.
Quels points de vigilance les entreprises doivent-elles particulièrement prendre en compte pour s’assurer de la conformité de leurs organisations avec les prescriptions du RGPD ?
Au-delà de l’application du RGPD, dont les principes de base sont simples, qui consistent à identifier un pilote, le DPO, cartographier les traitements, approfondir via une étude d’impact, promouvoir la conformité auprès des collaborateurs et sous-traitants et documenter les précautions prises, il y a une réalité crue, qui dépasse le cadre du RGPD. Il faut tout mettre en œuvre pour éviter de se faire voler des données. C’est un risque du point de vue des pénalités mais c’est aussi un risque pour l’image de marque.
Sur le seul terrain des pénalités, les sanctions sont devenues réellement dissuasives. Avant, elles n’avaient jamais dépassé 100 000 euros. Quand on commence à parler de 50 millions d’euros – c’est le chiffre évoqué au sujet de Google – il est clair que ce n’est pas la même chose !
Si vous deviez tracer la feuille de route pour l’année 2 du RGPD…
Il me semble que les entreprises doivent approfondir davantage. Elles ont fait le plus important, en prenant conscience des enjeux et en diffusant une forme de culture beaucoup plus respectueuse des données personnelles. Les DPO sont en place et ont globalement les moyens d’agir. Maintenant, les entreprises doivent aller plus loin.
Allez plus loin, c’est-à-dire recenser les données qui sont moins à leur portée. Celles qui sont détenues ou collectées par les commerciaux, les sous-traitants, les partenaires extra-européens. Celles dissimulées dans les contrats de travail. Celles collectées automatiquement par les sites Internet et autres blogs. Celles capturées par les caméras des réseaux de vidéosurveillance. Souvenons-nous que le RGPD inverse la charge de la preuve. C’est à l’entreprise de prouver qu’elle met tout en œuvre pour se mettre en conformité. Selon le principe simple : « pas de consentement explicite, pas de droit ».
Qui peut les aider à avancer dans cette direction ?
Les avocats, dont certains sont très au fait de la question et l’ont anticipée depuis longtemps, sont de bon conseil. La limite éventuelle tient au fait que pour aller au fond des choses, il faut maîtriser le droit et l’informatique. Pour les entreprises qui ne disposent pas des compétences en interne, des binômes se sont constitués pour apporter une assistante globale et pointue. C’est au passage la formule que nous avons choisie chez SYC Consultants.
Attention cependant aux experts autoproclamés. La CNIL ne cesse de mettre en garde contre les escroqueries manifestes que constituent certaines offres.
Quelles précautions doivent prendre les entreprises à l’égard des logiciels de gestion ?
Les logiciels de gestion font partie des espaces où la donnée est traitée et donc où le besoin de s’interroger sur la conformité est prégnant. Aux entreprises de se poser les bonnes questions en tant qu’utilisatrices. « Quelles données personnelles sont éventuellement collectées ? Quels traitements subissent-elles ? Comment sont-elles stockées ? ».
Mais l’éditeur a aussi un rôle actif en aidant les entreprises à répondre plus facilement à ces questions. Par exemple en mettant en évidence les traitements dans les architectures. Ou bien, en rajoutant des process de demande d’autorisation simples et explicites. Ou encore, en garantissant évidemment la sécurité des données quand elles sont exploitées dans le Cloud. En ajoutant des procédures de destruction des données conservées à l’issue d’une période convenue…
Comment sait-on si on est en règle ?
La conformité, c’est une dynamique. Ce que les autorités regardent, c’est l’engagement et le progrès. Il y a évidemment le minimum, ce que j’appelle le cosmétique : identifier un DPO, lancer une cartographie, prendre la parole sur le sujet auprès des collaborateurs, rectifier les traitements les plus accessibles. Et agir sur la sécurité.
Ce qui compte, c’est au fond la part que chaque entreprise prend avec conviction et constance pour contribuer à bâtir un monde plus respectueux des individus. C’est ce qui rend le RGPD passionnant et exemplaire.
¹Initiative de l’Ordre des Experts-Comptables, l’Académie des Sciences et Techniques Comptables et Financières rassemble aujourd’hui 65 000 membres (25 000 à l’étranger et 40 000 en France) : professionnels exerçant en entreprise, professionnels du chiffre et du droit, membres de la fonction publique, monde enseignants et étudiants, … L’Académie offre un espace commun de réflexion et de proposition et rassemble les talents et compétences des professionnels de l’économie et de la finance. Les organisations regroupant les différents métiers, aux côtés des institutions de la place économique et financière et des principaux acteurs du secteur public et du monde universitaire sont Membres d’Honneur de l’Académie et valident à ce titre les grandes orientations prises par l’Académie (AMF, ANC, Cour des Comptes, H3C, IFA, IASB, MEDEF, DFCG, APDC, AFTE,…). Garantir une information transparente, participer au bon fonctionnement du gouvernement d’entreprise, faire évoluer la comptabilité (publique ou privée), contribuer à la compétitivité, exister davantage sur le plan international… autant de défis qui imposent une concertation accrue entre des professionnels parfois dispersés dans une multitude d’organisations en France et à l’étranger. L’adhésion à l’Académie est libre et donne accès à l’ensemble de ses services (publications, vidéos, événements, groupes de travail…). www.lacademie.info
Partenaire de l’Académie, Sage soutient la production éditoriale des cahiers et les réflexions menées au sein des groupes de travail. Sage intervient également dans le cadre des événements de l’Académie (colloque, Entretiens, …).
²Retrouvez sur le site www.lacademie.info le cahier de l’Académie réalisé par le groupe de travail « Gouvernance des données personnelles et analyse d’impact dans le cadre du RGPD » qu’il vous est possible de consulter et de télécharger.
Prochaine lecture recommandée
Brexit : quels effets collatéraux pour les entreprises françaises ?
