Le RGPD, révolution ou évolution ?

Le 25 mai dernier, le règlement général sur la protection des données (RGPD) entrait en vigueur pour 513 millions de citoyens européens. Une étape cruciale et nécessaire pour l’émergence d’un véritable droit des données personnelles, mais aussi une source d’inquiétude pour de nombreuses entreprises.

Attendu par certains et redouté par d’autres, c’est avec grand bruit que le RGPD est entré en vigueur le 25 mai dernier. Le règlement constitue dorénavant le cadre juridique dans lequel les sociétés, qu’elles soient européennes ou non, devront traiter les données personnelles qu’elles stockent sur leurs employés, leurs clients ou encore leurs fournisseurs. Une responsabilisation nécessaire à l’heure du big data et de la croissance exponentielle des données relatives à nos moindres faits et gestes et habitudes de consommation. Dans les grandes lignes, le RGPD demande aux responsables de traitements de nos données de garantir un certain nombre de droits aux utilisateurs : consultation des données, transparence sur leurs usages, protection et droit à leur modification ou suppression. C’est aussi un geste fort d’une évolution du droit européen vers une application extraterritoriale, une réponse au développement de flux transfrontaliers. Les géants américains du numérique sont bien évidemment directement concernés, l’avocat autrichien militant de la protection des données Max Schrems a d’ailleurs lancé une procédure à l’encontre de Facebook et Google quelques heures seulement après la mise en application du règlement. Avec à la clé des amendes jusqu’à 4 % de leur chiffre d’affaires (soit 1,3 milliards d’euros pour Facebook et 3,7 milliards pour Google)!

Mais loin de cette bataille juridique qui s’annonce aussi longue qu’incertaine, les entreprises et PME françaises ont également dû se conformer au nouveau règlement. En son titre d’administrateur de l’AFCDP (Association française des correspondants à la protection des données à caractère personnel), Patrick Blum a suivi le dossier du RGPD depuis son lancement par la Commission européenne en 2012. Pour les Petites Affiches, il a accepté de répondre à quelques questions pour mieux comprendre les enjeux de ce texte.

Les Petites Affiches

Le RGPD est entré en application le 25 mai, quelles nouveautés apporte ce texte  ?

Patrick Blum 

Il n’est pas simple d’isoler quelques points, car le règlement compte tout de même 99 articles et 173 considérants sur plus de 88 pages… Le règlement européen sur la protection des données est un texte important, il est donc intéressant de constater qu’il reprend en grande partie notre loi informatique et libertés de 1978. Quelques passages sont même écrits de manière très similaire. Mais le RGPD apporte évidemment son lot d’évolutions majeures, on peut souligner par exemple l’obligation de conduire une analyse de risques (aussi appelée analyse d’impact) dès que l’on met en place un traitement susceptible de faire courir un risque pour les données personnelles, telles que les données de santé par exemple. Cette information doit aussi être transmise à la Cnil en charge d’apporter des recommandations.

Le deuxième point très important du règlement est la responsabilisation des sous-traitants, on entend ici un sous-traitant comme un organisme qui traite des données pour notre compte. Jusqu’à présent, un sous-traitant n’avait pas d’obligations en matière de protection des données et l’entreprise restait seule responsable d’éventuelles erreurs de sa part. La situation était particulièrement inconfortable puisque le sous-traitant refusait souvent de donner les informations en justifiant le secret commercial. De manière ubuesque, l’entreprise était donc responsable de traitements sur lesquels elle n’avait aucune emprise. Les contrats de sous-traitance comporteront désormais un nombre d’obligations qui résout ce problème. Le sous-traitant doit aussi aider à l’analyse de risques, garantir que les données soient traitées dans de bonnes conditions et signaler à l’entreprise lorsqu’il y a une violation de données.

Cela me renvoie à une troisième innovation de ce texte : l’obligation pour le responsable de traitement de déclarer les violations de données auprès de la Cnil. Pour prendre un exemple pratique, si je découvre qu’un collaborateur s’est fait voler un ordinateur qui contenait un fichier de 100 000 clients, il y a potentiellement un risque et il faut signaler celui-ci. La Cnil va mener une enquête et si elle estime qu’un risque est encouru pour la protection des données des personnes concernées, elle peut m’obliger à prévenir individuellement les 100 000 clients.

LPA

Quelles sont les conséquences immédiates du règlement pour les entreprises  ?

P. B.

J’ai tendance à dire que le RGPD n’est pas une révolution fondamentale — comme on a pu l’entendre dire —, mais plutôt une évolution des textes juridiques. En réalité, il ne s’est rien passé de spécial le 25 mai 2018, car cela fait maintenant 40 ans que nous avons une loi informatique et libertés. Si l’on respectait celle-ci, les quelques évolutions qu’apporte le règlement ne devraient pas causer de crainte. Cependant, il est vrai que pour les gens qui ignoraient la loi informatique et libertés (soit parce qu’ils n’en ont jamais entendu parler, soit parce qu’ils considéraient que les sanctions étaient assez faibles pour prendre des risques) cela a en effet pu générer une certaine anxiété. Il y a aussi eu un effet marketing de la peur liée à certains prestataires, un phénomène que l’on rencontre régulièrement. On se souvient du passage à l’an 2000 et du fameux « bug » qui allait provoquer des catastrophes en série.

Ici, ce sont les sanctions potentielles extrêmement fortes (les fameux 4 % de chiffre d’affaires d’amende) qui font peur, mais je pense qu’il faut prendre du recul et rester rationnel. La Cnil ne va pas imposer des amendes à 4 % dès la première semaine, elle va continuer à appliquer ses méthodes : contrôle, demande de mise en conformité et sanctions éventuelles lorsque ce n’est pas suivi d’effet ou qu’il y a mauvaise foi. La Cnil reste une autorité qui a toujours préféré se placer du côté de la pédagogie plutôt que de celui de la sévérité.

LPA

Ce texte représente aussi un défi majeur pour les PME, qui ont logiquement moins de moyens que les multinationales pour se mettre en conformité. Ne risquent-elles pas d’être débordées par celui-ci  ?

P. B.

Sur ce sujet, il faut prendre en compte deux paramètres : certes, les PME ont moins de moyens, mais elles ont aussi beaucoup moins de données à traiter. Pour les petites et moyennes entreprises, l’objectif est surtout de prendre en compte un sujet qui a le plus souvent été éludé et donc de se mettre en conformité assez rapidement. Ce qui n’est d’ailleurs pas forcément si compliqué. Les entreprises de taille moyenne ont des traitements assez similaires : système RH, une gestion de clients, etc. Cela peut être réglé en tenant un registre (même rudimentaire) et en vérifiant que chaque traitement est fait dans de bonnes conditions. À partir du moment où l’entreprise trouve une personne qui peut être en charge et peut piloter ces questions, les choses vont assez vite.

Pour les PME qui manipulent de grosses masses de données malgré leur petite taille (les start-ups du numérique par exemple), il est vrai que la question peut être plus complexe. D’autant que dès que l’on a un certain volume de données, l’obligation d’avoir un délégué à la protection des données (DPD) (ou Data Protection Officer (DPO), NDLR) s’impose. Et ce DPD ne peut pas être n’importe qui, il ne peut être le patron de l’entreprise ou le directeur technique par exemple. Il faut donc parfois effectuer un recrutement ou avoir recours à un prestataire externe.

LPA

On a beaucoup parlé de big bang ou de révolution juridique, qu’en est-il des conséquences sur le long terme  ?

P. B.

Je mets de côté les cas particuliers de Google, Facebook et des très grandes firmes américaines qui auront probablement rapidement des ennuis. Le gigantisme de ces entreprises et leurs volontés d’être en dehors des lois locales les placent dans une catégorie particulière.

Pour les entreprises françaises, cela va évidemment changer la manière de travailler sur le moyen et le long terme. Mais peut-être moins à cause du contexte juridique que de la prise de conscience du grand public sur ces questions. Les clients, prospects, utilisateurs (selon le nom qu’on veut leur donner) sont devenus très sensibles à l’usage de leurs données et s’en enquiert de façon croissante. À mon sens, c’est cette volonté des individus de voir leurs données privées traitées de façon respectueuse qui change la donne, plus encore que le règlement. Ce dernier inscrit cependant l’obligation de développer des traitements de données qui soient respectueux de la vie privée dans la loi. Cela signifie être capable de faire le tri dans les données qu’on collecte, ne pas conserver les données au-delà d’une durée raisonnable, s’assurer de leur sécurité.

LPA

Concrètement, qu’est-ce que cela va changer pour les citoyens dans leurs quotidiens  ?

P. B. 

Il y a un premier effet que vous avez déjà pu constater : une avalanche d’emails un peu stupides de la part d’un très grand nombre d’entreprises. La plupart n’ont rien compris au règlement et font comme les autres en demandant le consentement pour être tranquilles. En effet, dans le cas où le traitement est lié à un consentement, il faut maintenant garder la trace de celui-ci. Une pratique qui n’était pas obligatoire auparavant, d’où ces nombreux emails. Mais on voit aussi certaines entreprises demander le consentement alors qu’elles n’en ont pas besoin, c’est un peu similaire au comportement des automobilistes qui vont ralentir et rouler 10 km/h sous la limite dès qu’ils voient un radar. Dans tous les cas, le consentement n’est qu’un tout petit bout de la mise en conformité d’un traitement. Si je n’ai pas enregistré mon traitement, si je collecte des données non pertinentes, que je ne sécurise pas et ne permets pas aux gens de récupérer leurs données quand ils le souhaitent, le fait d’envoyer un email pour demander le consentement ne règle rien.

LPA

On peut aussi imaginer que la situation va créer des opportunités d’emplois, notamment en matière de délégué́ à la protection des données.

P. B. 

En effet, il y a des besoins énormes en termes de postes et ceux-ci vont encore augmenter. Avec l’AFCDP nous avons d’ailleurs créé une place de marché qui a une forte activité. Selon la Cnil, la France aurait besoin d’environ 80 000 délégués à la protection des données (DPD). Il s’agit du nombre d’organismes qui nécessite un DPD et en réalité ce chiffre se réduit avec les mutualisations. Cela reste néanmoins un problème, car la demande excède largement l’offre et le nombre de formations reste insuffisant : on a quelques diplômes universitaires, des formations longues comme celle du CNAM, mais rien qui ne permette de créer des milliers de DPD chaque année. C’est en revanche une bonne nouvelle pour les personnes avec ce type de compétence qui savent se vendre, car elles peuvent prétendre à des salaires relativement élevés.