Frein à l’innovation marketing et commerciale ou cadre garantissant une juste compétition entre les acteurs ? La directrice de la Conformité à la Cnil, Sophie Nerbonne, et Thierry Petit, cofondateur du site de ventes privées Showroomprivé, donnent leur point de vue concernant la réglementation sur la protection des données personnelles, à l’approche du nouveau règlement européen, qui entrera en vigueur en mai 2018.

Alliancy, le mag – Dans le récent Baromètre de l’Acsel*, parmi les freins qui font obstacle à la transition numérique des processus marketing de votre entreprise, les patrons citent en troisième position «les risques liés au respect des données personnelles des clients ». Cela ne traduit-il pas une certaine peur de la réglementation?

Sophie Nerbonne. Hésiter à se lancer dans le traitement des données par peur d’une sanction, revient à avoir une vision passéiste de la Cnil ! Depuis l’arrivée d’Isabelle Falque-Pierrotin à la tête de la commission, nous avons initié la co-élaboration du droit avec les acteurs publics et privés. C’est l’objet des packs de conformité**. Concrètement, on s’assoit autour d’une table avec les professionnels d’un secteur afin de faire coïncider les principes de la loi avec la réalité de leur activité. Ce n’est pas un contrat, mais la co construction d’outils spécifiques qui prennent la forme de normes simplifiées et d’autorisations uniques. Je citerais les compteurs connectés Linky pour lesquels nous avons construit un pack avec les spécialistes de la domotique.

La loi sur la République numérique modifie-t-elle les attributions de la Cnil ?

Sophie Nerbonne. Elle conforte et élargit nos compétences. Nous sommes, par exemple, chargés de la certification de la conformité des processus d’anonymisation des données personnelles destinées à être réutilisées. Notre pouvoir de sanction financière est également relevé. Nous pouvons infliger des amendes de 3 millions d’euros au lieu de 150 000 euros précédemment, en attendant l’entrée en application, le 25 mai 2018, du nouveau règlement européen*** sur la protection des données personnelles. Ce dernier permettra d’instaurer des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise fautive.

Est-ce un frein ou un encouragement pour les affaires selon vous ?

Sophie Nerbonne. Un encouragement ! Prenez Un encouragement ! Prenez l’exemple des données publiques. Avec la loi, on passe d’un temps où il fallait demander les données pour y avoir accès à une logique de l’offre.

« A la Cnil, nous avons initié la co-élaboration du droit avec les acteurs publics et privés.. »

Quels autres changements ce futur règlement va-t-il introduire ?

Sophie Nerbonne. Outre le relèvement des sanctions, il va aligner les entreprises, européennes ou non, sur les mêmes règles à respecter où qu’elles se trouvent dans le monde dès lors que leur activité s’adresse à des citoyens vivant dans un pays de l’Union. C’est la garantie qu’il n’y aura plus de distorsion de concurrence. Le règlement instaure aussi le principe du «one stop shop ». Jusqu’à présent une entreprise traitait avec les autorités de contrôle des différents pays où elle était établie. À partir de mai 2018, elle n’aura affaire qu’à celle du pays où se trouve son siège social pour les traitements transnationaux.

La nomination d’un délégué à la protection des données ou data protection officer y est aussi inscrite. Quelle différence avec le correspondant informatique et libertés ?

Sophie Nerbonne. Le secteur public et les entreprises traitant des données sensibles ou à grande échelle de suivi systématique de leurs clients devront obligatoirement nommer un délégué à la protection des données (DPD). Ce dernier aura des responsabilités plus diverses que le correspond informatique et
libertés (CIL), mais aussi plus lourdes car il pilotera la conformité en matière de protection des données. A la différence du CIL, les coordonnées du DPD seront publiées, et il rapportera au responsable le plus élevé du traitement, soit souvent le comité de direction.

Où en est-on de la construction du G29, l’équivalent d’une Cnil européenne ?

Sophie Nerbonne. Le G29 travaille d’arrache-pied pour être prêt le 25 mai 2018. Le plan d’action 2016 arrive à son terme et, en décembre, sera adopté celui concernant 2017.

Alliancy, le mag. Quel regard portez-vous sur la protection des données personnelles en France ?

Thierry Petit. Je la trouve protectrice pour le consommateur. C’est sain pour lui. Mais, parfois, on exagère un peu. Certaines dispositions de la loi sur la République numérique n’ont pas de sens ou sont techniquement inapplicables. Je pense notamment à certains volets relatifs à la portabilité des données et des commandes. En principe, un cadre doit définir les bonnes pratiques et créer la confiance. Or, la réglementation penche plus du côté de l’interdit que de celui de l’opportunité.

Avez-vous déjà eu affaire à la Cnil ?

Thierry Petit. Plusieurs fois ! La Cnil est toujours aussi rigoureuse, mais se montre plus compréhensive. Je me souviens d’un temps où une entreprise avait constitué une liste noire de clients fraudeurs, comme beaucoup de sites marchands le font, et ne l’avait pas déclarée. La Cnil lui en avait fait le reproche. Aujourd’hui, la commission fait des efforts d’adaptation. Or, ça va très vite avec la révolution numérique, les objets connectés, les datas sont au coeur de l’activité des entreprises.

Sur Showroomprivé, avez-vous instauré des règles de gestion des données particulières ?

Thierry Petit. Oui, nous en avons créé sur les sujets de la fraude et de la cybersécurité notamment quand nous sommes entrés en Bourse, mais leur nature reste confidentielle. En mai 2018, un nouveau règlement européen sera applicable.

En connaissez-vous la teneur ?

Thierry Petit. Moi, clairement non ; mon équipe de juristes, bien sûr. Chez Showroomprivé, nous avons considérablement progressé sur le sujet pour répondre aux exigences de la cotation en Bourse*. Mais, pour investir dans de nombreuses start-up, je peux vous dire que 70 % des acteurs connaissent très mal la réglementation.

« L’évolution législative est positive, si elle remet tout le monde à égalité. »

Pensez-vous que ce règlement contribuera à fluidifier vos affaires ?

Thierry Petit. Par expérience, l’Europe me fait un peu peur. Prenez l’exemple des retours de produits en vente à distance. Sur le sujet, l’Allemagne offrait des conditions générales de vente très favorables aux consommateurs, ce qui provoquait des taux de retours produits extrêmement élevés. Avec l’uniformisation, l’Europe s’est alignée sur la réglementation la mieux disante. Tant mieux pour le consommateur, mais pour les entreprises, c’est autre chose… L’évolution législative est positive si elle remet tout le monde à égalité et, notamment, les entreprises européennes et les Gafa. Mais, là encore, j’attends de voir.

Ce règlement impose notamment aux entreprises qui « traitent » des données de nommer un délégué aux données personnelles. En avez-vous déjà un ?

Thierry Petit. Une personne en interne se charge déjà des questions de « compliance » au sens large [observance des règles, Ndlr] auxquelles nous sommes soumis en tant qu’entreprise cotée en Bourse. Il y a de fortes chances qu’elle récupère également cette mission.  

Commercialement, une entreprise a-t-elle intérêt à aller au-delà des exigences de la réglementation pour se distinguer ?

Thierry Petit. Cela reviendrait à faire du zèle ! Respecter la réglementation est déjà bien, d’autant plus que cela exige beaucoup de moyens.

*Le Baromètre Croissance & Digital Acsel-Opinionway. Étude réalisée auprès d’un échantillon de 701 entreprises de 10 à 4 999 salariés, du 2 au 30 mai 2016.
**Les secteurs de l’assurance, des compteurs communicants, de l’action sociale, de la banque, du véhicule connecté, de l’open data ont leur pack, ou il est en cours d’élaboration.
*** Il succède à la directive européenne sur la protection des données qui datait de plus de 20 ans.

Cet article est extrait du magazine Alliancy n°16 à commander sur le site.