RGPD : un premier bilan
Outre la frénésie de courriels envoyés par les entreprises et organismes dans les premiers temps, quel bilan peut-on déjà tirer 9 mois après l’entrée en vigueur du RGPD, règlement général sur la protection des données ?
Le 21 janvier, la formation restreinte de la Cnil (Commission nationale de l’informatique et des libertés) prononçait une sanction de 50 millions d’euros à l’encontre de Google pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ». Une amende record rendue possible par la plainte collective déposée par les associations La Quadrature du Net et None Of Your Business, le 25 mai dernier, jour de l’entrée en vigueur du RGPD. Si certains plaignants se disent déçus par le montant de l’amende au regard des 4 % de chiffre d’affaires de pénalité que le règlement permet théoriquement d’infliger aux entreprises (soit 4,4 milliards de dollars pour Google !), cela reste une victoire pour les défenseurs d’un droit aux données personnelles plus strict et mieux encadrée. Quelques semaines plus tôt, la Cnil avait également sanctionné Bouygues Telecom à 250 000 euros d’amende pour « manquement à la sécurité des données clients ». Deux décisions coup sur coup qui sont une première étape dans le respect des droits des utilisateurs en matière de données personnelles et de vie privée. Un des objectifs principaux du RGPD.
Un engouement pour le texte : neuf mois après son entrée en vigueur, force est de constater que la réception du texte est plutôt positive pour la majorité des acteurs concernés. La Cnil a pu constater que de nombreuses entreprises se sont appropriées le texte et ont nommé un délégué à la protection des données (DPO) pour gérer la gouvernance de leurs données. Dans un sondage commandé en novembre dernier, l’autorité administrative constatait également que 65 % des Français avaient entendu parler du RGPD et qu’une fois informés 73 % considèrent qu’il est efficace pour mieux protéger les données personnelles. Un enthousiasme que l’AFCDP (Association française des correspondants à la protection des données à caractère personnel) a elle aussi pu constater lors de sa 13e université tenue le 16 janvier à la Maison de la chimie. L’événement qui a accueilli plus de 800 DPO a permis de dresser un premier bilan de l’application du RGPD et de parcourir les nombreux enjeux à venir au travers de 5 conférences et 20 ateliers. Patrick Blum, vice-président de l’AFCDP, a accepté de répondre à nos questions à cette occasion.
Les Petites Affiches
Neuf mois après l’entrée en application du RGPD, peut-on déjà faire un premier point d’étape sur ses conséquences ?
Patrick Blum
On peut en tout cas commencer par noter qu’il n’y a pas eu de catastrophe et que la révolution annoncée n’en était pas une ! Ce qui ne constitue pas une grande surprise : ce règlement était avant tout une évolution de ce qui existait auparavant. Pour autant, il a permis de faire bouger les choses et de sensibiliser largement le grand public à la problématique de la protection des données. Il est certain que la loi informatique et libertés ne suscitait pas autant de débats et le RGPD a donc eu comme première vertu d’amener le sujet sur la place publique. Et si les individus en ont autant entendu parler, c’est aussi parce que les organismes et entreprises ont fait le nécessaire, visiblement motivés par la crainte des sanctions. C’est là aussi une bonne nouvelle : le montant impressionnant des sanctions prévues a fait peur à tout le monde et a poussé les entreprises à se préoccuper de la protection des données. Concernant les DPO (délégué à la protection des données), ils ont une activité plutôt intense, car ils s’aperçoivent souvent que les structures ne sont pas aussi conformes que ce que l’on pouvait penser. Pour prendre un exemple à titre personnel, j’étais CIL (correspondant informatique et libertés, c’est-à-dire en charge du respect de la loi correspondante au sein d’une entreprise) avant l’entrée en application du règlement et sensé être au courant des traitements en place et de leur conformité. Je me suis rapidement aperçu qu’il y avait des traitements que je ne connaissais pas et que la conformité pouvait être améliorée. L’agitation créée par le règlement a poussé les métiers avec lesquels je collabore à avoir une meilleure compréhension des enjeux et à me faire remonter des informations cruciales. Cela permet d’effectuer un complément à la conformité de l’entreprise.
Enfin, on a pu observer que de nombreuses organisations se préoccupent d’avoir un DPO. C’est malheureusement parfois compliqué, car le marché du travail est plus que tendu et que le règlement pose certaines contraintes concernant la désignation de la personne qui prend ce rôle. En réponse à ce constat, on a vu une croissance importante des prestataires proposant des services de DPO externe. Mais il faut faire attention, car on continue de voir certains organismes proposer des choses malhonnêtes, la Cnil a d’ailleurs alerté sur ce sujet. Lorsque vous tombez sur des offres du type : « audit RGPD en quelques jours et garantie de tranquillité en cas de contrôle de la Cnil », ce sont le plus souvent des arnaques. Une personne qui connait un minimum le sujet se rendra rapidement compte de la supercherie, mais une petite PME qui n’est pas forcément très au courant risque de payer une prestation inutile !
LPA
Quelles ont été les difficultés rencontrées par les entreprises ? Étaient-elles assez préparées ?
P. B.
Je pense que la plus grande partie des moyennes et grandes entreprises avaient fait le nécessaire pour être prêtes, c’est-à-dire réaliser un inventaire correct de leur traitement et appliquer un minimum de conformité. Les PME et TPE ont eu autrement plus de difficultés, soit parce qu’elles n’ont pas compris qu’elles étaient concernées, soit parce qu’elles n’en avaient tout simplement pas les moyens. Une start-up qui traite un très gros volume de données aura du mal à mettre en place les actions nécessaires pour se mettre entièrement en conformité. S’il n’y a que deux personnes dans la structure, cela sera aussi compliqué, d’autant qu’il est juridiquement impossible pour le patron d’être le DPO de sa propre entreprise. L’alternative est de faire appel à un prestataire, ce qui représente un coût supplémentaire. Bien sûr toutes les entreprises ne sont pas concernées de la même manière : l’entreprise de BTP ou l’artisan n’aura pas forcément ce problème, mais dès que l’on commence à avoir des clients et à faire de la prospection il y a des traitements qui vont demander une mise en conformité.
LPA
Pouvez-vous nous parler du CEPD (Comité européen de la protection des données), la nouvelle autorité européenne mise en place par le RGPD ?
P. B.
Le CEPD est l’équivalent à peu de choses près du G29. C’est-à-dire un comité composé des représentants de chaque autorité de contrôle européenne, ainsi que du représentant de la Commission européenne. Son objectif principal est de coordonner l’activité des autorités de contrôles à travers l’Europe. Il a, à ce titre, une lourde responsabilité puisqu’il est chargé de l’harmonisation des pratiques. Une des missions primordiales du G29 était de publier les lignes directrices : des documents d’analyse qui représentent la doctrine en vigueur sur des questions précises. On peut citer l’anonymisation ou la portabilité des données, ou encore les caractéristiques qui définissent ce qu’est un DPO par exemple. Le CEPD a affirmé dès le début qu’il endossait les lignes directrices préexistantes du G29 (un recueil en a d’ailleurs été publié il y a quelques semaines), mais aussi qu’il va continuer à en créer de nouvelles. Un travail est notamment réalisé en ce moment sur la notion de champ territorial tel qu’il est prévu dans le règlement. Ces lignes directrices sont un outil de travail presque aussi important que le règlement lui-même, il est primordial pour les DPO d’en avoir connaissance. Nous avons d’ailleurs publié un recueil de ces lignes directrices qui est accessible pour nos membres. Récemment, le CEPD a également travaillé sur la liste des traitements pour lesquelles une analyse d’impact sur la protection des données est nécessaire. Il était important d’y voir clair sur ce point du règlement pour savoir où ces principes doivent être appliqués.
LPA
Il y a quelques mois, vous évoquiez les opportunités d’emplois provoqués par le règlement, avez-vous pu le constater a posteriori ?
P. B.
Nous avions créé un observatoire du recrutement à l’AFCDP et en effet, nous avons pu constater une forte croissance de la demande en DPO ainsi que d’adhésion à notre association. Que ce soit au niveau français ou européen, le nombre de personnes tenant ce rôle a largement augmenté, ce qui se confirme aussi dans les chiffres de la Cnil. Le marché est dynamique, mais la « pénurie » de DPO disponible pose aussi quelques problèmes aux entreprises. On a parfois des personnes qui prennent ce rôle en interne en évoluant depuis leur poste précédent, la formation continue doit aussi se développer. L’écosystème est en pleine évolution et le marché du DPO externe prend une importance croissante. En décembre la Cnil avait enregistré un total de 35 000 organismes qui ont désigné un délégué à la protection des données, soit 15 500 DPO parmi lesquelles on compte 800 personnes morales. L’alternative du DPO externe est une bonne chose pour les petites structures qui peuvent faire appel à un cabinet d’avocat ou des consultants spécialisés.
LPA
Êtes-vous satisfait de la mise en place du RGPD ou considérez-vous que des ajustements sont encore nécessaires ?
P. B.
Il reste encore beaucoup de travail, de l’avis général le texte est complexe et difficile à mettre en œuvre. Il y a aussi des sujets qui restent à clarifier tels que les problématiques de certification, le texte prévoit tout un tas de compléments qui devraient être proposés dans l’avenir et que nous attendons. Cela dit, je trouve que la mise en œuvre de ce règlement est très positive et a pu permettre au public de s’emparer du sujet. Cela signifie aussi qu’il y aura de plus en plus de demandes de la part des citoyens, un point positif, mais qui peut avoir un impact sur l’activité des entreprises. La Cnil voit le nombre de plaintes augmenter, et les entreprises reçoivent de plus en plus de demandes de droit d’accès et de droit d’opposition.
LPA
Quel est votre avis sur la réécriture de la loi informatique et libertés ?
P. B.
Avec l’ordonnance qui a été prise le 12 décembre, nous aurons en effet bientôt la quatrième version de la loi informatique et libertés. Elle réécrit complètement cette loi avec 128 nouveaux articles pour remplacer les précédents. On aura une entrée en vigueur au plus tard le 1er juin, ce qui laisse quelques mois aux juristes pour digérer ce nouveau corpus de règles et apprendre à changer les numéros d’article. C’était cependant une nécessité, car le règlement avait créé des incohérences avec la loi informatique et libertés. Elle ne peut désormais plus empiéter sur le règlement, mais doit uniquement le compléter.