Ce mois-ci, ni coup de gueule, ni coup de chapeau… mais un constat assez mitigé et des déceptions, sur le RGPD.

Je ne remets pas en cause le bien-fondé du texte. Il est clair que le RGPD est une avancée considérable en matière de droit des données à caractère personnel. Il oblige les entreprises et les acteurs publics à plus de « transparence » sur la manière dont les données sont traitées. Il confère aux gens de nouveaux droits et une manière un peu plus facile de les exercer. Il impose aux entreprises de « penser données personnelles » en amont des projets… c’est ce que l’on appelle le « data protection by design ». Il impose aussi une meilleure sécurisation des données. Le tout dans une démarche dite d’accountability itérative. C’est à l’entreprise de démontrer sa conformité et non à l’autorité de contrôle de démontrer le contraire d’une part ; et c’est à elle de contrôler régulièrement cette même conformité.

Toutes les entreprises et les acteurs publics devraient donc disposer de leur « politique RGPD » a communiquer à la Cnil à première demande.

« Si j’en crois le cours d’économie de ma fille (première ES), le monde se divise en 5 catégories… »

C’est la manière dont le texte est appliqué (ou pas) qui me pose question… 

Si j’en juge par les entreprises que je rencontre au quotidien, la mise en œuvre du RGPD est pour le moins contrastée… pour ne pas dire erratique…

Si j’en crois le cours d’économie de ma fille (première ES) le monde se divise en 5 catégories : les grandes entreprises, les ETI, les PME et les petites entreprises auxquels il faut ajouter les « acteurs publics ».

Si j’examine la situation voici ce que nous avons :

Toutes les grandes entreprises sont passées au RGPD… désignation d’un DPO monde, de DPO locaux, de relais locaux, etc. Politique ceci ou politique cela, démarches et process dans tous les sens… Mais 3 problèmes majeurs : l’international (quasiment impossible à gérer même avec des BCR, l’intra groupe ou les données se baladent allègrement et les données non structurées qui pullulent… Résultat, même avec une super démarche RGPD ces entreprises sont structurellement en danger ;

Les ETI se divisent en 2 catégories : le BtoC et le BtoB et ici nous observons une première « légende urbaine »… le RGPD c’est fait pour le BtoC ! Erreur 404 juridique ! S’il est vrai que les entreprises en BtoC sont plus exposées que les autres, les ETI du BtoB regorgent de données à commencer par celles de leurs… salariés. Or ces données sont particulièrement sensibles : données professionnelles, données personnelles, parfois données de santé et toujours données financières. Ici encore le risque est donc maximal.

Quant aux PME et aux petites entreprises je peux les ranger dans la même catégorie bercée d’une double illusion : « le RGPD c’est fait pour les grandes boites » et « la Cnil a autre chose à faire que de s’occuper des petits comme nous ». Dans cette catégorie il n’y a guère que les ESN (entreprises de services du numérique) qui, en leur qualité de « sous-traitantes » se sont emparées du problème (et encore une petite partie d’entre eux). Là ce n’est plus un « risque » mais un « sursis juridique ».

Reste les acteurs publics qui ne cessent de m’intriguer… ils sont, de par le RGPD, tenus de désigner un DPO et donc se doivent d’être les bons élèves de la classe et nombre d’entre eux lancent encore, 6 mois après le 25 mai des appels d’offres pour se mettre en conformité ! Je ne parle plus là de « sursis juridique » mais de « suicide juridique ». Je vous laisse en effet imaginer la criticité des données traitées par nos Mairies, nos départements ou nos régions.

« Les entreprises 100% conforme au RGPD sont-elles celles qui ont le plus de problèmes ? »

Pourtant en pratique, le RGPD n’est pas une démarche si compliquée et contrairement aux idées reçues les entreprises ont bien plus à y gagner qu’à y perdre.

Il suffit de répondre à 3 obligations :

• l’obligation d’information – il suffit pour se faire de rédiger des « politiques de protection de données », adaptées (clients/prospects, salariés, candidats, fournisseurs, citoyens…) ;

• une démarche organisationnelle appropriée : désignation ou non d’un DPO ou d’un responsable, adoption de quelques règles de gouvernance de la data ou encore d’un code de bonne conduite pour éviter aux salariés de faire tout et n’importe quoi avec les données de l’entreprise ;

• des mesures techniques adaptées : sécurité, audit, outils de détection, procédure d’urgence.

Le tout devant évidemment être décliné en fonction de la taille de l’entreprise, ses moyens, son activité et la criticité des données traitées.

Mais ma deuxième déception est plus grande encore… Car oui j’ai croisé des entreprises 100% ou presque conforme au RGPD (au moins mes clients) et au final ce sont elles qui ont le plus de problèmes ! Ceux qui vivent cachés du RGPD semblent heureux ; ceux qui vivent le RGPD vivent un véritable cauchemar…

Ceux qui vivent le RGPD ont adopté une « politique de données client », ils ont généralement crée une adresse mel spécifique pour que les gens exercent leurs droit donnees-personnelles@truc.fr ou dpo@machin.eu et que constatent-ils : une frénésie du droit d’accès et/ou de la suppression.

« Est-ce que traiter des données est devenue une faute ? »

Moi qui ai été désigné DPO externe pour plus de 30 entreprises et acteurs publics je reçois chaque jour des tonnes de demandes… de droit de ceci ou de droit de cela. La légalité de ces demandes n’est pas contestable, la quantité pose question, mais le plus inquiétant, c’est la manière dont les gens exercent leurs droits.

Pas de « bonjour » ni de « au revoir », passons… pas de « merci d’avance » ou de « s’il vous plait » passe encore, mais pourquoi tant d’agressivité dans les demandes exprimées. Dans 99,99% des cas, les messages sont inutilement agressifs, les exigences en terme de réactivité disproportionnées et contraire au droit (au mieux 24 /48h au pire « IMMEDIAT » (écrit en gros et en gras), et comportent la menace d’une saisine de Cnil.

Comme si traiter des données était devenu une faute…

Je pense qu’il est urgent que la Cnil propose des labels et autres formes de certification post RGPD pour que celles des entreprises qui sont aujourd’hui conformes au RGPD ne le vivent pas comme une « punition » mais comme une satisfaction, voir une plus-value.