En retard pour le RGPD ?

Par David Chekroun.¹
Un article de The Conversation

Malgré des sanctions potentielles importantes, un grand nombre d’entreprises sont en retard dans leur mise en conformité avec les obligations posées par le Règlement général sur la protection des données. Quels sont les principales réformes que ces retardataires doivent implémenter, et les freins à lever ? Début de réponse grâce à l’expérience pratique et l’expertise d’opérationnels qui traitent de ces problématiques au sein de leurs entreprises.

Un majorité d’entreprises non-conformes ?

Avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai 2018, la question des données personnelles devient un sujet de préoccupation majeur pour les entreprises. Celui-ci prévoit en effet des sanctions pouvant s’élever jusqu’à 4 % du chiffre d’affaires mondial consolidé des entreprises, en cas de manquement à leurs obligations. Une série de conférences que nous avons organisées et d’entretiens réalisés sur le sujet ont mis en lumière une certaine appréhension des entreprises quant aux implications pratiques du RGPD, qui explique le retard d’un grand nombre dans leur mise en conformité.

Impossible de chiffrer le nombre d’entreprises qui avaient le 25 mai 2018, fait le nécessaire pour se plier au RGPD. Toutefois, certains baromètres comme celui de Global Security Mag prédisaient en octobre 2017 que 81 % des entreprises ne le seraient pas.

Le RGPD, véritable révolution culturelle

En obligeant les entreprises à penser les risques pour les personnes, alors que traditionnellement elles pensaient les risques pour elles-mêmes, le RGPD opère une véritable révolution culturelle. Il rend obligatoire les analyses d’impact, dès lors qu’un traitement de données est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». Par ailleurs, le RGPD transforme la « boîte à outils » et le paradigme de la régulation des données.

Le changement majeur apporté par le RGPD réside dans le passage d’une logique déclarative effectuée auprès de la CNIL à un contrôle au jour le jour fait par l’entreprise elle-même. D’un système d’autorisations données par des régulateurs, avec des sanctions peu significatives pour les grandes entreprises, on passe à un dispositif sans autorisations, où les sanctions sont potentiellement considérables et au sein duquel la responsabilisation des entreprises joue un rôle décisif.

En échange de cette liberté (le dispositif ne repose plus sur un système de formalités préalables), le législateur européen impose un principe d’accountability, autrement dit d’obligation de responsabilité. En vertu de ce principe, les entreprises devront, d’une part, être capables de prendre elles-mêmes des mesures – techniques, organisationnelles et juridiques – pour se conformer au droit des données personnelles, et d’autre part, être en mesure de démontrer leur conformité à tout moment. Comme l’explique Olivier Rigaudy, directeur général délégué du groupe Teleperformance

Cela nous oblige à mettre en place le processus et la formation appropriés pour nous assurer que les entreprises maintiennent et mettent à jour le registre sur lequel sera détaillé le traitement. En effet, la charge de la preuve est renversée et c’est maintenant l’entreprise qui doit prouver qu’elle est conforme alors qu’avant, c’était à l’autorité de protection des données de démontrer la non-conformité de l’entreprise, et donc l’entreprise avait un certain temps pour régulariser la situation.

Le RGPD se borne cependant à fixer un cadre général, sans déterminer les moyens concrets de mise en œuvre de ce principe, qui devront nécessairement être déclinés au cas par cas. La question se pose dès lors de savoir quelles sont les mesures à prendre pour mettre en œuvre ce nouveau processus d’autorégulation ?

Un nouvel acteur : le data privacy officer

Parmi les différents chantiers de la réforme, trois axes principaux se dessinent. Le premier tient à la désignation obligatoire d’un délégué à la protection des données (data privacy officer ou DPO) dans plusieurs cas. Un nouvel acteur fait ainsi son apparition au sein de l’entreprise, avec un message fort, puisque « le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant ».

Cette désignation suscitera des difficultés diverses en pratique, selon la maturité initiale de l’entreprise en matière de gouvernance des données, le type de structure et le secteur d’activité de l’entreprise. En effet, alors que certaines entreprises ont déjà désigné un Correspondant Informatique et Libertés (CIL), d’autres n’en sont pas dotées ou ont circonscrit l’activité du CIL à un périmètre restreint (la gestion des ressources humaines, par exemple).

Qui plus est, le CIL d’aujourd’hui ne deviendra pas automatiquement le délégué à la protection des données de demain. Le RGPD lui confère en effet une autre dimension. En tout état de cause, le délégué sera mieux armé que le CIL pour exercer ses missions dans la mesure où le RGPD fait obligation de lui donner les ressources nécessaires, notamment en termes de budget et d’infrastructures.

Par ailleurs, dans la mesure où le délégué doit rendre compte au plus haut niveau de la direction de l’entreprise, et ainsi délivrer son expertise aux cadres dirigeants, sa fonction se professionnalise. La question de ses qualifications et de sa formation se posera avec davantage d’acuité.

Déjà une pénurie de DPO dans l’Union européenne

Alors que la désignation d’un CIL était facultative, la désignation obligatoire d’un délégué à la protection des données dans certaines hypothèses opère un changement d’échelle. Ce sont en effet plus de 28 000 postes qui sont à pourvoir au sein de l’Union européenne ! La pénurie frappe la France, au même titre que d’autres États membres. Certains, qui ne connaissent pas la fonction de CIL, sont au demeurant davantage pénalisés. Même si plusieurs possibilités s’offrent aux entreprises (candidats internes, mutualisation, externalisation), la question du recrutement d’un délégué à la protection des données est donc particulièrement préoccupante.

Le poste de délégué à la protection des données est également susceptible de revêtir une dimension plus stratégique que celui du CIL, la question de son intégration et de son positionnement au sein d’une entreprise étant davantage sensible dans les grandes structures très hiérarchisées, ainsi que dans les secteurs où la donnée est au cœur du métier, comme la banque ou les assurances. En pratique, d’importants retards peuvent résulter d’une réflexion sur la place que devra occuper le délégué.

Implémenter le privacy by design

Le second chantier à mettre en œuvre est lié à l’obligation de protéger les données dès la conception d’un produit ou d’un service (Privacy By Design) et par défaut (Privacy By Default). Ces mesures doivent, comme l’expliquent Matthieu Dary et Leila Benaissa dans leur article « Privacy by design : un principe de protection séduisant mais complexe à mettre en œuvre »,

rendre l’individu maître de ses données et permettre ainsi à l’entreprise de s’inscrire dans une démarche responsable améliorant la confiance des utilisateurs et apportant un avantage compétitif.

Formalisé par la Canadienne Ann Cavoukian, le concept de privacy by design oblige les entreprises à anticiper tous les risques liés au traitement des données à caractère personnel. Plus généralement, c’est une mesure de bon sens, d’efficacité et d’efficience : les coûts de mise en conformité a posteriori, en cas de découverte de failles ou de non-conformité après la mise en production d’une application, peuvent en effet se révéler très élevés.

En pratique, le privacy by design se pense en fonction de chaque modèle technique et commercial développé, et repose sur une analyse des risques adaptée, qui durera tout au long de la vie du produit/service. De ce point de vue, la généralité des termes employés par le RGPD est source d’interrogations.

Se pose en particulier plusieurs questions : celle des acteurs qui doivent être impliqués (au-delà du data privacy officer), celle des technologies concernées (les réseaux sociaux, les appareils en lien avec l’e-santé – montres, podomètres… –, les objets connectés (voitures avec géolocalisation, enregistrement des comportements), les drones, etc.), et surtout, pour Matthieu Dary et Leila Benaissa, celle des mesures concrètes à mettre en œuvre.

Privacy by design : une injonction paradoxale ?

De manière générale, le privacy by design va obliger les entreprises à modifier leur méthodologie de gestion de projets et va les contraindre à faire des choix, notamment en restreignant l’offre qu’elles proposent à leurs clients.

Au-delà de ces incertitudes, quelques difficultés peuvent, d’après Matthieu Dary et Leila Benaissa, surgir dans la mise en œuvre pratique de ce concept. Celui-ci pourrait même constituer une fausse bonne solution.

Les principes fondamentaux du privacy by design semblent par ailleurs contraires au principe même de fonctionnement de certaines technologies : comment minimiser les données à l’accomplissement d’un objectif alors que, par exemple, le big data trouve sa raison d’être dans le traitement de volumes gigantesques de données dans un dessein qu’il est censé découvrir lui-même ?

Enfin, il est extrêmement difficile d’anticiper tous les usages, qui peuvent être liés tant à l’évolution des comportements qu’à la technologie initiale. Une intervention a posteriori en application d’un principe, que certains nomment privacy by redesign, qui aurait pour objectif d’appliquer les principes fondamentaux de privacy by design aux systèmes existants, pourrait être une réponse.

Un rattrapage qui se traduit souvent par un travail de fouilles

Enfin, le troisième chantier à mettre en œuvre impose aux entreprises d’être en mesure de démontrer, à tout moment, qu’elles respectent le RGPD. Afin de prouver leur conformité, il leur faut tenir un registre des traitements des données effectués en leur sein. Si cette obligation de déclarer les traitements existe depuis la loi dite Informatique et Libertés de 1978, en pratique elle a peu été respectée.

S’ouvre dès lors pour les entreprises un travail de fouille potentiellement titanesque dans dix, vingt, trente, voire quarante ans de processus métier afin d’établir ce data mapping (cartographie des données). Il s’agit sans conteste d’un des plus gros chantiers de la mise en conformité avec le RGPD.

À cela s’ajoute la cartographie des contrats de sous-traitance, qu’il faudra, le cas échéant, renégocier. Le cas du groupe Teleperformance d’Olivier Rigaudy illustre bien l’ampleur de la tâche :

Il a fallu beaucoup de temps pour procéder à la cartographie des flux de données car Teleperformance est implanté dans 77 pays. Nous devons nous assurer que toutes les personnes au sein de l’entreprise comprennent la politique de confidentialité des données du groupe (agents, équipe commerciale, RH, management, etc.). Or Teleperformance emploie plus de 210 000 personnes dans le monde entier. Tous les pays n’assurent pas le même niveau de protection (certains d’entre eux prévoient un niveau assez bas), et nous devrons donc veiller à ce que même les filiales situées dans ces pays soient conformes d’ici mai 2018.

Le RGPD impose donc aux entreprises des obligations qui peuvent se révéler aussi chronophages (l’élaboration d’un registre des traitements) que coûteuses (les moyens, informatiques en particulier, pour réaliser ce registre). Pour autant, la plupart de ces obligations existaient déjà. Le RGPD se bornerait-il à les formaliser ? L’apport réel du RGPD résiderait-il ailleurs, dans la prise de conscience des enjeux liés aux traitements des données personnelles et la nécessité d’apporter des réponses uniformes à ces problèmes transnationaux ? Sur ces points, les avis du management et de la gouvernance sont souvent partagés.

La version originale de cet article a été publiée sur The Conversation.