Dossiers
Chroniques
Guides et carnets
Évènements
Podcast
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Alliancy Studio
Alliancy Le Mag
Alliancy Les Cercles
Dossiers
Chroniques
Guides et carnets
Les entreprises en pleine transformation numérique mènent un travail urgent sur leurs stratégies data, afin de faire émerger de nouveaux business models et de mieux répondre aux attentes de leurs clients. Ce chantier se heurte à une tout aussi pressante réalité réglementaire avec le RGPD. Mais plus que le règlement lui-même, c’est bien la persistance des mythes autour de ses dispositions qui devrait faire craindre des impairs aux organisations. Récapitulatif.
La confusion règne encore sur certains aspects du RGPD
1- « Il reste encore du temps pour se mettre en conformité »
Tout le monde à la date fatidique en tête : le 25 mai 2018, le RGPD entre en vigueur. La prise de conscience tardive de certaines entreprises a pu créer des réactions précipitées, jusqu’à ce que certains prennent connaissance de quelques lignes indiquant « Les traitements déjà en cours à la date d’application du présent règlement devraient être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur ». De quoi se dire que son organisation la mise en conformité de son organisation pourrait s’effectuer jusqu’en 2020. Vraiment ?
« C’est une confusion autour des termes : l’entrée en vigueur du RGPD a eu lieu en 2016 ; c’est bien la mise en application et donc la fin du délai qui arrive le 25 mai 2018 ! », souligne Me François Coupez, du cabinet Atipic Avocat, qui s’est spécialisé depuis de nombreuses années sur le sujet du RGPD. Invité lors d’un débat organisé par le chapitre français de l’ISSA France, c’est d’ailleurs un des tous premiers points qu’il a souhaité clarifier.
#RGPD - Ne pas confondre : Entrée en vigueur : 2016 / Mise en application : 25 mai 2018 ! Cliquez pour tweeter2- « L’important c’est que tout soit prêt pour le 25 mai 2018 »
Cette première incompréhension connait naturellement un pendant tout aussi faux : l’idée qu’une fois en conformité au 25 mai 2018, l’essentiel a été fait. On ne niera pas la nécessité de mener ce travail, mais c’est méconnaitre l’esprit du RGPD que de s’en tenir là. En effet, celui-ci va être amené à « vivre avec le temps » et ses dispositions, dans le cadre de leurs applications au niveau national par les autorités, comme la Cnil en France, vont pouvoir changer. Autrement dit, l’important est moins la date du 25 mai, que la capacité à mettre en place un suivi et des processus nécessaires pour assurer ces évolutions au fil des mois. Sans compter que d’autres réglementations structurantes pour les stratégies data des entreprises vont entrer en application sous peu : la directive NIS et le projet de règlement e-privacy sur lequel beaucoup de questions se posent encore.
3- « La bonne connaissance des 99 articles du texte est une priorité »
Bien entendu, personne ne peut dire que prendre connaissance d’un texte qui essaye de changer en profondeur le paradigme mondial autour de l’utilisation des données personnelles et de leur caractère confidentiel, est une mauvaise idée. « Mais si vous n’avez que peu de temps, l’important est plutôt de lire les « vraies bibles » : les guidelines édictées par le G29 (le regroupement des Cnil européennes, ndlr) qui est le gardien du temple de l’interprétation du RGPD », conseille Me François Coupez. A y regarder de plus près, 57 des 99 articles du texte renvoient en effet au droit national. La rédaction d’Alliancy a réalisé une sélection des textes et outils utiles pour les entreprises face au RGPD.
4- « La priorité est de nommer un DPO pour qu’ils mettent toutes les opérations en œuvre »
La nomination du DPO peut présenter une vraie difficulté pour une entreprise, car il a le profil d’un « mutant » sur le marché de l’emploi et en interne. Mais au-delà de la nomination, il faut être au clair sur ce qu’impliquent ses missions. La feuille de poste est moins évidente que ce que beaucoup pensent et renvoie dos à dos ceux qui pensent que le RGPD est avant tout un sujet juridique et ceux qui insistent sur les outils techniques. De plus, le texte du RGPD conçoit le DPO avant tout comme un garant du contrôle de la conformité : autrement dit, ce n’est pas à lui de « faire » et de mener le projet data de l’entreprise. Ceci dit, le G29 en général et la Cnil en particulier estiment pour leur part que le DPO peut être acteur de la transformation dans une certaine mesure. La priorité est donc de mettre à plat la mission exacte du DPO à l’échelle de l’entreprise – y compris dans ses aspects les plus opérationnels.
5- « On ne verra pas de vraies amendes tomber »
Il faudra bien sûr attendre de le voir pour le croire, alors que l’on entend tout et son contraire sur le sujet. « Ce préconçu vient du fait que des sanctions rares et de faibles montants sur le sujet l’ont complètement disqualifié auprès des décideurs depuis 40 ans. Il est donc facile de croire qu’il en sera de même avec le RGPD », reconnaît Me François Coupez. Deux considérations sont tout de même à prendre en compte. « Concernant les fameux 2 et 4% du chiffre d’affaires mondial prévu par le RGPD, il faut bien se rendre compte que certains régulateurs comme la Cnil sont récemment allés au-delà, dans la limite des plafonds qu’ils devaient respecter. Des PME se sont vus infliger des amendent approchant les 4% du CA mais pour des cas où le RGPD ne prévoit, lui, qu’une sanction à 2% ! Rien ne laisse donc à croire que la Cnil va se limiter en la matière », détaille Me François Coupez.
6- « Les grands groupes ne sentiront pas la différence »
Le coût de mise en conformité pour une société du CAC40 a été évalué à 30 millions d’euros par le cabinet SIA Partners. Un montant assez proche des 35 millions estimés par le cabinet Wavestone pour les grandes entreprises internationales. Plus généralement, à la potentielle sévérité des amendes sur le chiffre d’affaires, il faut dorénavant ajouter les velléités du législateur : celui-ci a en effet introduit dans le projet de loi relatif à la protection des données à caractère personnel (qui transpose le RGPD en France) la notion d’indemnisation des préjudices pour les clients en cas d’atteinte à leurs données. Des actions groupées pourraient donc faire complètement changer d’échelle les sanctions réelles. Par ailleurs, si l’amende en elle-même peut être d’un montant supportable pour l’entreprise, il faut également prendre en compte les limitations « business » qui vont s’imposer in-extenso : à l’heure où les entreprises s’abreuvent de données pour créer de la valeur, que se passera-t-il pour leur activité quand elles ne pourront plus utiliser ou vendre leurs données dans la prolongation d’une sanction ?
7- « Le RGPD est une opportunité révolutionnaire » ou « Le RGPD est un frein majeur au business »
Dans le cadre d’une enquête mené avec l’éditeur français Saaswedo, la rédaction d’Alliancy s’est intéressée à la communication menée par les entreprises sur le RGPD auprès de leurs collaborateurs – et notamment de leurs équipes techniques. Parmi les enseignements relevés par ce questionnaire, il a fallu noter que seuls 27% des répondants identifiaient le nouveau règlement comme un frein au business, une nette majorité y voyant une opportunité, malgré sa complexité. Toutefois, croire en une révolution est prématuré. Les principes abordés par le RGPD existent en effet depuis 1978 avec la Loi Informatique et Liberté. Les entreprises ont donc déjà eu 40 ans pour capitaliser sur la dite opportunité – sans que des changements notables soient visibles dans leurs pratiques.
« Plutôt qu’une révolution avérée, le RGPD interroge l’équilibre que nous voulons trouver en Europe entre une appétence au risque et à l’innovation et les garanties apportées par le contrôle et la précaution, face aux usages américains et chinois notamment. Cet équilibre ne sera vraiment atteint que si est réglée la question de la portabilité des données », analyse Nicolas Miailhe, président de The Future Society, un « think & do tank » incubé à Harvard Kennedy School of Governement. Concernant l’opportunité que représente le règlement pour les entreprises, il temporise également : « C’est un défi extraordinaire adressé aux entreprises, pour se réinventer autour de l’innovation, mais celui-ci est loin d’être gagné. Tout simplement parce que depuis des années maintenant, le consommateur a été prêt à sacrifier beaucoup à la facilité d’usage. Y voir une opportunité est donc avant tout un pari sur le changement de comportement – payant – des consommateurs… », complète-t-il.
Quant à ceux qui estiment qu’il faudrait introduire un amendement permettant de faciliter la vente de leurs données par les individus, il est essentiel de rappeler que dans le Droit européen, contrairement aux Etats-Unis, les citoyens ne sont pas « propriétaires » de leurs données : celles-ci dépendent – comme le corps lui-même – du droit de la personnalité et non du droit de la propriété. Autrement dit : impossible de s’en déposséder.
8- « Il est aujourd’hui facile de trouver un expert pour aider mon entreprise »
Plus que tout autre, on serait tenté de croire à cette bonne nouvelle de la disponibilité de l’expertise – ne serait-ce que pour mettre un terme rapide aux différents mythes déjà évoqués. En contrepoint de la médiatisation extrême du RGPD et aux communiqués de presse reçus de toute part sur le sujet, la réalité est malheureusement beaucoup plus sombre.
https://twitter.com/CNIL/status/953628619426942976
Avec le hashtag #StopArnaque et #RGPD la Cnil s’est d’ailleurs mobilisée sur Twitter pour attirer l’attention sur l’effet d’aubaine et l’opportunisme énorme que représentait la prise de conscience des entreprises de la mise en application prochaine du RGPD. « Des Big Four jusqu’aux petits prestataires, tout le monde propose des nouvelles du front RGPD… et un bon nombre prétendent avoir des réponses simples à un sujet qui ne l’est pas pour l’entreprise. Dans certains cas, on n’est pas loin des célèbres promesses de « retour de l’être aimé » de certains charlatans », épingle Me François Coupez. Avec un sponsor au niveau Comex et une approche cohérente de gestion de projets, une organisation peut rapidement se prendre en main sur le RGPD. Mais elle devra plus que jamais veiller dans cette dernière ligne droite à la réputation des entreprises avec lesquelles elle travaille.
