Cette fois on y est. Enfin serait-on tenté de dire. Dans les tuyaux depuis deux ans - mais entrant officiellement en vigueur seulement ce 25 mai 2018 - le règlement général sur la protection des données personnelles (RGPD) contraint toutes les entreprises et organismes qui détiennent, manipulent, traitent ou échangent des données de citoyens européens permettant de les identifier, de s'y conformer. Le loup est-il maintenant dans la bergerie ? Rien n'est moins sûr.
« Le 25 mai n'est pas une surprise, et on est nombreux à penser que cette date est un peu comme celle du passage à l'an 2000, autrement dit qu'elle fait au final beaucoup de bruit pour rien », souffle Marianne Georgelin, directrice juridique et de la compliance de l'Afnic, l'autorité française du nommage des sites Internet. Un postulat partagé par le co-fondateur du club des experts de la sécurité de l'information et du numérique (CESIN) : « A en croire de (trop) nombreux papiers, une majorité de nos entreprises vont être contraintes de retourner à une sorte d’âge de pierre du numérique où il ne sera plus possible d’utiliser les données de leurs clients ou prospects. Finis les panels ciblés, le marketing direct. Certains prédisent même que de nombreuses promesses du Big Data seront à jeter aux orties et que l’Europe, au travers de la mise en conformité au règlement, perdra toute capacité d’innovation dans ce domaine et donc un avantage concurrentiel important », a expliqué Jean-François Louâpre dans sa dernière chronique pour LMI.
Les groupements de citoyens à la manoeuvre
Bien sûr, les entreprises et organismes concernés par l'émanation puissance 10 de la Loi Informatique et Libertés de 1978, qui ont décidé - ou décideraient après cette date couperet - de ne rien faire, s'exposent naturellement à des sanctions. Qui, rappelons-le, peuvent s'élever jusqu'à 4% du chiffre d'affaires global de l'entreprise jusqu'à un montant maximal de 20 millions d'euros. Un risque qui pourrait bien s'apparenter à un suicide pour les petites entreprises collectant des données personnelles et décidant de faire comme si de rien n'était, alors que les grandes sont loin de risquer la banqueroute mais plutôt d'être montré du doigt en place publique. Reste à savoir si la CNIL sera à la manoeuvre - on sait qu'elle a musclé ses équipes dernièrement pour absorber le « choc de vérification » lié à GDPR - et en première ligne pour courir après les sociétés qui ne s'y seront pas conformées. « On ne sait pas encore la manière dont cela va se passer », tempère Marianne Georgelin. « Il est probable que des groupements de citoyens se forment pour évaluer la manière dont les données personnelles sont traitées et saisissent la CNIL. »
Le rôle de la CNIL est central dans la mise en application du RGDP - et pour le faire respecter - mais elle ne devrait pas avoir, dans un premier temps du moins, un rôle de cerbère. « Dans notre cas, la CNIL s'est montrée rassurante car c'est la manière de se mettre en conformité qui prime. La CNIL n'attend pas une parfaite mise en conformité avec le texte mais que l'on ait pris la mesure de ce que cela implique en termes d'informations et de transparence d'accès aux données », précise Marianne Georgelin. S'il ne fallait à ce titre ne retenir qu'un seul mot à propos du RGPD, ce serait sans aucun doute celui d'accountability, consistant pour une entreprise à être capable de présenter sur demande aux autorités compétentes un plan d'action RGPD. « La CNIL sera vigilante sur la manière dont ce plan sera mis en oeuvre et son action sera de toute façon guidée par les plaintes de citoyens européens », prévient Marianne Georgelin.
Voir le RGPD comme une opportunité et non une contrainte
Pour les entreprises traitant des données personnelles de citoyens européens qui ne seraient toujours pas en conformité RGPD après le 25 mai, le risque d'être en infraction est réel. Et si en cas de plainte la Cnil se rend compte qu'aucune disposition pour se conformer n'a encore été prise et constate l'absence de tout plan d'action, le risque d'amende l'est tout autant. Il faut donc agir en appliquant plusieurs conseils comme identifier les traitements à risque et baliser le recours à un DPO interne ou externe. Il existe à cet égard une autre façon d'appréhender RGPD, non pas sous l'angle de la contrainte mais de l'opportunité. « L’objectif poursuivi par le RGPD étant tout à fait légitime, ne pourrait-il pas constituer une opportunité business ? Une opportunité de renforcer un des piliers de toute relation client au travers de la confiance envers les entreprises auxquelles nous achetons des produits et des services ? Et si les clients potentiels de mon entreprise partageaient ma vision individuelle de citoyen et privilégiaient les entreprises qui leur assurent un traitement de leurs données personnelles conforme au RGPD, c’est-à-dire respectueux de leur liberté ? Le projet purement réglementaire de mise en conformité qui ne motive personne pourrait donc devenir « le » projet business permettant d’attirer de nouveaux clients grâce à un argumentaire jamais utilisé jusqu’ici », veut croire Jean-François Louâpre.
Commentaire