En retard pour le RGPD ?

Le point sur les chantiers à mettre en œuvre.

Partager sur:
Sauvegarder cet article
Aimer cet article 0
Propriété privée-Audesou- (CC BY-NC-ND 2.0)

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don

En retard pour le RGPD ?

Publié le 13 juillet 2018
- A +

Par David Chekroun.1
Un article de The Conversation

Malgré des sanctions potentielles importantes, un grand nombre d’entreprises sont en retard dans leur mise en conformité avec les obligations posées par le Règlement général sur la protection des données. Quels sont les principales réformes que ces retardataires doivent implémenter, et les freins à lever ? Début de réponse grâce à l’expérience pratique et l’expertise d’opérationnels qui traitent de ces problématiques au sein de leurs entreprises.

Un majorité d’entreprises non-conformes ?

Avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai 2018, la question des données personnelles devient un sujet de préoccupation majeur pour les entreprises. Celui-ci prévoit en effet des sanctions pouvant s’élever jusqu’à 4 % du chiffre d’affaires mondial consolidé des entreprises, en cas de manquement à leurs obligations. Une série de conférences que nous avons organisées et d’entretiens réalisés sur le sujet ont mis en lumière une certaine appréhension des entreprises quant aux implications pratiques du RGPD, qui explique le retard d’un grand nombre dans leur mise en conformité.

Impossible de chiffrer le nombre d’entreprises qui avaient le 25 mai 2018, fait le nécessaire pour se plier au RGPD. Toutefois, certains baromètres comme celui de Global Security Mag prédisaient en octobre 2017 que 81 % des entreprises ne le seraient pas.

Le RGPD, véritable révolution culturelle

En obligeant les entreprises à penser les risques pour les personnes, alors que traditionnellement elles pensaient les risques pour elles-mêmes, le RGPD opère une véritable révolution culturelle. Il rend obligatoire les analyses d’impact, dès lors qu’un traitement de données est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». Par ailleurs, le RGPD transforme la « boîte à outils » et le paradigme de la régulation des données.

Le changement majeur apporté par le RGPD réside dans le passage d’une logique déclarative effectuée auprès de la CNIL à un contrôle au jour le jour fait par l’entreprise elle-même. D’un système d’autorisations données par des régulateurs, avec des sanctions peu significatives pour les grandes entreprises, on passe à un dispositif sans autorisations, où les sanctions sont potentiellement considérables et au sein duquel la responsabilisation des entreprises joue un rôle décisif.

En échange de cette liberté (le dispositif ne repose plus sur un système de formalités préalables), le législateur européen impose un principe d’accountability, autrement dit d’obligation de responsabilité. En vertu de ce principe, les entreprises devront, d’une part, être capables de prendre elles-mêmes des mesures – techniques, organisationnelles et juridiques – pour se conformer au droit des données personnelles, et d’autre part, être en mesure de démontrer leur conformité à tout moment. Comme l’explique Olivier Rigaudy, directeur général délégué du groupe Teleperformance

Cela nous oblige à mettre en place le processus et la formation appropriés pour nous assurer que les entreprises maintiennent et mettent à jour le registre sur lequel sera détaillé le traitement. En effet, la charge de la preuve est renversée et c’est maintenant l’entreprise qui doit prouver qu’elle est conforme alors qu’avant, c’était à l’autorité de protection des données de démontrer la non-conformité de l’entreprise, et donc l’entreprise avait un certain temps pour régulariser la situation.

Le RGPD se borne cependant à fixer un cadre général, sans déterminer les moyens concrets de mise en œuvre de ce principe, qui devront nécessairement être déclinés au cas par cas. La question se pose dès lors de savoir quelles sont les mesures à prendre pour mettre en œuvre ce nouveau processus d’autorégulation ?

Un nouvel acteur : le data privacy officer

Parmi les différents chantiers de la réforme, trois axes principaux se dessinent. Le premier tient à la désignation obligatoire d’un délégué à la protection des données (data privacy officer ou DPO) dans plusieurs cas. Un nouvel acteur fait ainsi son apparition au sein de l’entreprise, avec un message fort, puisque « le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant ».

Cette désignation suscitera des difficultés diverses en pratique, selon la maturité initiale de l’entreprise en matière de gouvernance des données, le type de structure et le secteur d’activité de l’entreprise. En effet, alors que certaines entreprises ont déjà désigné un Correspondant Informatique et Libertés (CIL), d’autres n’en sont pas dotées ou ont circonscrit l’activité du CIL à un périmètre restreint (la gestion des ressources humaines, par exemple).

Qui plus est, le CIL d’aujourd’hui ne deviendra pas automatiquement le délégué à la protection des données de demain. Le RGPD lui confère en effet une autre dimension. En tout état de cause, le délégué sera mieux armé que le CIL pour exercer ses missions dans la mesure où le RGPD fait obligation de lui donner les ressources nécessaires, notamment en termes de budget et d’infrastructures.

Par ailleurs, dans la mesure où le délégué doit rendre compte au plus haut niveau de la direction de l’entreprise, et ainsi délivrer son expertise aux cadres dirigeants, sa fonction se professionnalise. La question de ses qualifications et de sa formation se posera avec davantage d’acuité.

Déjà une pénurie de DPO dans l’Union européenne

Alors que la désignation d’un CIL était facultative, la désignation obligatoire d’un délégué à la protection des données dans certaines hypothèses opère un changement d’échelle. Ce sont en effet plus de 28 000 postes qui sont à pourvoir au sein de l’Union européenne ! La pénurie frappe la France, au même titre que d’autres États membres. Certains, qui ne connaissent pas la fonction de CIL, sont au demeurant davantage pénalisés. Même si plusieurs possibilités s’offrent aux entreprises (candidats internes, mutualisation, externalisation), la question du recrutement d’un délégué à la protection des données est donc particulièrement préoccupante.

Le poste de délégué à la protection des données est également susceptible de revêtir une dimension plus stratégique que celui du CIL, la question de son intégration et de son positionnement au sein d’une entreprise étant davantage sensible dans les grandes structures très hiérarchisées, ainsi que dans les secteurs où la donnée est au cœur du métier, comme la banque ou les assurances. En pratique, d’importants retards peuvent résulter d’une réflexion sur la place que devra occuper le délégué.

Implémenter le privacy by design

Le second chantier à mettre en œuvre est lié à l’obligation de protéger les données dès la conception d’un produit ou d’un service (Privacy By Design) et par défaut (Privacy By Default). Ces mesures doivent, comme l’expliquent Matthieu Dary et Leila Benaissa dans leur article « Privacy by design : un principe de protection séduisant mais complexe à mettre en œuvre »,

rendre l’individu maître de ses données et permettre ainsi à l’entreprise de s’inscrire dans une démarche responsable améliorant la confiance des utilisateurs et apportant un avantage compétitif.

Formalisé par la Canadienne Ann Cavoukian, le concept de privacy by design oblige les entreprises à anticiper tous les risques liés au traitement des données à caractère personnel. Plus généralement, c’est une mesure de bon sens, d’efficacité et d’efficience : les coûts de mise en conformité a posteriori, en cas de découverte de failles ou de non-conformité après la mise en production d’une application, peuvent en effet se révéler très élevés.

En pratique, le privacy by design se pense en fonction de chaque modèle technique et commercial développé, et repose sur une analyse des risques adaptée, qui durera tout au long de la vie du produit/service. De ce point de vue, la généralité des termes employés par le RGPD est source d’interrogations.

Se pose en particulier plusieurs questions : celle des acteurs qui doivent être impliqués (au-delà du data privacy officer), celle des technologies concernées (les réseaux sociaux, les appareils en lien avec l’e-santé – montres, podomètres… –, les objets connectés (voitures avec géolocalisation, enregistrement des comportements), les drones, etc.), et surtout, pour Matthieu Dary et Leila Benaissa, celle des mesures concrètes à mettre en œuvre.

Privacy by design : une injonction paradoxale ?

De manière générale, le privacy by design va obliger les entreprises à modifier leur méthodologie de gestion de projets et va les contraindre à faire des choix, notamment en restreignant l’offre qu’elles proposent à leurs clients.

Au-delà de ces incertitudes, quelques difficultés peuvent, d’après Matthieu Dary et Leila Benaissa, surgir dans la mise en œuvre pratique de ce concept. Celui-ci pourrait même constituer une fausse bonne solution.

Les principes fondamentaux du privacy by design semblent par ailleurs contraires au principe même de fonctionnement de certaines technologies : comment minimiser les données à l’accomplissement d’un objectif alors que, par exemple, le big data trouve sa raison d’être dans le traitement de volumes gigantesques de données dans un dessein qu’il est censé découvrir lui-même ?

Enfin, il est extrêmement difficile d’anticiper tous les usages, qui peuvent être liés tant à l’évolution des comportements qu’à la technologie initiale. Une intervention a posteriori en application d’un principe, que certains nomment privacy by redesign, qui aurait pour objectif d’appliquer les principes fondamentaux de privacy by design aux systèmes existants, pourrait être une réponse.

Un rattrapage qui se traduit souvent par un travail de fouilles

Enfin, le troisième chantier à mettre en œuvre impose aux entreprises d’être en mesure de démontrer, à tout moment, qu’elles respectent le RGPD. Afin de prouver leur conformité, il leur faut tenir un registre des traitements des données effectués en leur sein. Si cette obligation de déclarer les traitements existe depuis la loi dite Informatique et Libertés de 1978, en pratique elle a peu été respectée.

S’ouvre dès lors pour les entreprises un travail de fouille potentiellement titanesque dans dix, vingt, trente, voire quarante ans de processus métier afin d’établir ce data mapping (cartographie des données). Il s’agit sans conteste d’un des plus gros chantiers de la mise en conformité avec le RGPD.

À cela s’ajoute la cartographie des contrats de sous-traitance, qu’il faudra, le cas échéant, renégocier. Le cas du groupe Teleperformance d’Olivier Rigaudy illustre bien l’ampleur de la tâche :

Il a fallu beaucoup de temps pour procéder à la cartographie des flux de données car Teleperformance est implanté dans 77 pays. Nous devons nous assurer que toutes les personnes au sein de l’entreprise comprennent la politique de confidentialité des données du groupe (agents, équipe commerciale, RH, management, etc.). Or Teleperformance emploie plus de 210 000 personnes dans le monde entier. Tous les pays n’assurent pas le même niveau de protection (certains d’entre eux prévoient un niveau assez bas), et nous devrons donc veiller à ce que même les filiales situées dans ces pays soient conformes d’ici mai 2018.

Le RGPD impose donc aux entreprises des obligations qui peuvent se révéler aussi chronophages (l’élaboration d’un registre des traitements) que coûteuses (les moyens, informatiques en particulier, pour réaliser ce registre). Pour autant, la plupart de ces obligations existaient déjà. Le RGPD se bornerait-il à les formaliser ? L’apport réel du RGPD résiderait-il ailleurs, dans la prise de conscience des enjeux liés aux traitements des données personnelles et la nécessité d’apporter des réponses uniformes à ces problèmes transnationaux ? Sur ces points, les avis du management et de la gouvernance sont souvent partagés.

La version originale de cet article a été publiée sur The Conversation.

  1. David Chekroun est professeur associé de droit international des affaires, ESCP Europe
Voir les commentaires (6)

Laisser un commentaire

Créer un compte Tous les commentaires (6)
  • Et au final, beaucoup de complexité en plus pour les entreprises et pas la moindre amélioration pour l’utilisateur final, voire même un labyrinthe de choix dont il ne parvient pas à comprendre la formulation ni à s’extirper. Kafka is well and alive !

    • @ MichelO
      Comme dit dans la vidéo, le texte est écrit depuis 2016 et est une tentative européenne de protéger la vie privée.
      Je sais que la France a légiféré pour introduire dans la loi des exigences de l’état d’urgence, rendant encore plus transparente toute la population aux yeux de l’administration, excès compris.
      Libre à vous de confier votre vie privée à l’informatique de l’état plutôt que d’utiliser le RGPD pour vous protéger de sa curiosité omnipotente et maladive! (Il est vrai que vous pouvez sans doute parier sur une certaine incompétence ou paresse administrative pour cacher vos secrets encore un peu mais si l’état français ne s’occupent pas de vous, vous savez bien qu’il convoite vos sous qui vous sont précieux!)

      • Croire que le RGPD vous protège de la curiosité de l’Etat est une erreur. L’article 2.2 d) stipule que son champ d’application ne s’étend pas aux questions pénales et de sécurité publique.
        Ce n’est malheureusement pas étonnant…

        • @ Bruno Dandolo
          Il y a une différence: pour faire exception, en pénal ou en sécurité, il faut une décision contre laquelle on peut se retourner: c’est le cas pour toute exception à une loi: il faut pouvoir la justifier.
          (Je sais bien que tout ce qui est protégé par le secret défense ne mérite sans doute pas de l’être dans tous les cas, mais je n’ai jamais cru que la législation était parfaite ou même « morale »!)

      • Je n’ai aucune envie de voir quiconque utiliser mes données personnelles sans mon assentiment. Je constate simplement qu’avec la RGPD, je ne suis pas mieux protégé qu’avant, et que même certains parviennent à mieux me pister !

        • @ MichelO
          Pas d’accord! Il est maintenant bien possible de se protéger, en informatique; j’utilise plusieurs logiciels (parfois payants) dans ce sens, ce n’est sans doute pas parfait mais déjà agréable d’être moins « pisté », localisé, ou de recevoir peu de publicités et pas de virus.

  • Les commentaires sont fermés.

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don
uerss
13
Sauvegarder cet article

La chute de l’UERSS

Article disponible en podcast ici.

 

De l'UE à l'UERSS

Il faut se remémorer l'UE libérale. Son histoire commence avec la communauté européenne du charbon et de l’acier en 1951. Son but figure dans le titre : créer une solidarité autour du charbon et de l’acier pour accroître les économies de chacun.

Cette vision libérale centrée sur l’économie est arrivée à son maximum avec Shengen en 1985 et l’ECU (ancêtre de l’euro) en 1979. L’UE voulait que l’argent, les citoyens, les entreprises et les idées circulent le plus li... Poursuivre la lecture

union européenne
3
Sauvegarder cet article

La gestion de la crise énergétique actuelle, la planification écologique, ou encore les récentes manifestations d’agriculteurs aux Pays-Bas posent de plus en plus la question du bien-fondé des politiques européennes. Si cela est particulièrement notable depuis la guerre en Ukraine, la plupart des pays européens subissent aujourd’hui les conséquences d’un système énergétique européen fragilisé depuis plusieurs années par des politiques expérimentales et des investissements dans des sources d’énergies peu fiables et résilientes.

L’engoue... Poursuivre la lecture

eurobonds anti-russe Union européenne nucléaire La politique énergétique européenne Vaccination obligatoire
4
Sauvegarder cet article

Prétendre fonder des alliances politiques entre États uniquement sur des ressorts moraux n’est ni très honnête, ni très réaliste, ni très intelligent. Nier que derrière les discours émouvants et la propagande se jouent des rapports de force et des tensions entre puissances relève de la naïveté la plus éthérée.

À écouter le discours sur l’état de l’Union d’Ursula Van Der Leyen, c’est essentiellement sur un fondement moral que toute l’Union s’engage aux côtés de l’Ukraine pour contrer l’invasion russe. Il est moralement impossible de voi... Poursuivre la lecture

Voir plus d'articles