« Le RGPD redonne au citoyen davantage d'information et de contrôle sur ses données »

Propos recueillis par la rédaction questions de transformation - 03 avril 2018

0
0
Le règlement général sur la protection des données (RGPD), qui entre en vigueur le 25 mai, va redonner du pouvoir au citoyen sur l'utilisation de ses données personnelles. Le cadre juridique sera désormais plus en phase avec les usages numériques des particuliers et des professionnels. Pour se mettre en conformité avec cette nouvelle réglementation, les entreprises doivent adapter et clarifier leur politique de collecte, de gestion et de conservation des données clients, fournisseurs, partenaires et collaborateurs.

Quels enjeux ont motivé l'adoption du règlement général sur la protection des données (RGPD) ?

Fabrice Naftalski – Le RGPD vise à pallier le manque de cohérence des règles européennes en matière de gestion des données. La directive de 1995 a été transposée par les États membres avec des différences importantes, ce qui a entraîné une fragmentation des réglementations applicables au sein de l'espace communautaire. Qui plus est, cette directive était en grande partie devenue obsolète car elle avait été prise avant l'émergence des réseaux sociaux, du Big Data, du Cloud Computing... On constatait par ailleurs que beaucoup de principes de fond concernant la gestion des données personnelles étaient mal perçus ou pas toujours bien appliqués. Les dispositions en vigueur relatives aux durées de conservation des données ou aux conditions de leur transfert hors de l'Union européenne étaient moins pilotées ou respectées par les organisations. Face à la perte de contrôle des citoyens sur leurs données, il était donc utile de redonner davantage d'information et de contrôle sur les données qui les concernent personnellement. Avec le RGPD, qui est directement applicable dans tous les États membres, les droits fondamentaux des citoyens bénéficieront du même niveau de protection. Les sanctions, qui peuvent aller jusqu'à 4 % du chiffre d'affaires d'un responsable de traitement ou d'un sous-traitant, voire d'un groupe dans certains cas, seront harmonisées et atteindront des montants presque similaires à ceux du droit de la concurrence.

Comment les entreprises ont-elles le plus souvent abordé leur mise en conformité ?

F. N. – Le principal effet de cette réglementation est de pérenniser des principes qui existaient déjà. Ce qui change, c'est que l'on demande aux entreprises de piloter la manière de se mettre en conformité. Sur ce sujet juridique, transversal et très opérationnel, qui se nourrit de cinquante ans de pratique, de doctrine et de jurisprudence, on voit un certain nombre d'éditeurs ou de SSII se mobiliser sans avoir de vision globale. Or, ni le juriste ni l'informaticien ne peuvent avancer sans avoir compris ce que les métiers de leur entreprise font de la donnée. C'est pourtant en fonction de l'utilisation des données que l'on déterminera les catégories de données qui peuvent être traitées, combien de temps on les conserve, le consentement qu'il faudra demander... À quelques semaines de l'entrée en vigueur du RGPD, l'enjeu consiste à avoir entamé les actions prioritaires pour être au plus près de la conformité. Cela implique de procéder à une analyse d'écart entre le dispositif de protection des données en place dans chaque organisation et les exigences du RGPD. Les entreprises et les organisations les plus avancées ont déjà mis en place le registre des traitements qui deviendra obligatoire et va nourrir les notices d'information. Elles ont aussi échangé avec les directions des ressources humaines sur les données « employés » et avec les directions marketing sur les données clients... Une autre priorité consiste à sensibiliser et à former l'ensemble des collaborateurs pour que chacun comprenne bien les enjeux.

Quelles sont les conséquences sur le management, en interne, de la donnée clients, fournisseurs ou collaborateurs ?

F. N. – Il faut justement former le management pour qu'il soit sponsor de cette mobilisation des ressources internes et externes. La connaissance de ces enjeux permet de dégager des budgets de formation et de conseil sur ces questions. Il est aussi nécessaire de désigner dans chaque direction des relais pour que les acteurs clés de la conformité puissent avoir un contact et intervenir rapidement en cas de besoin. Le Data Privacy Officer ou Data Protection Officer a vocation à coacher les métiers et assure le suivi avec les opérationnels et l'audit interne.

Comment interpréter les messages de la Commission nationale de l'informatique et des libertés (CNIL) sur la vérification de la conformité au RGPD ?

F. N. – La CNIL sera nécessairement pragmatique. Ses moyens sont limités et elle ne pourra pas changer du tout au tout sa posture, qui a toujours été fondée sur le partenariat avec les entreprises de bonne foi. Pour les aspects réglementaires nouveaux comme les études d'impact, sur ce qui touche au Privacy by Design ou au droit à la portabilité, la CNIL a indiqué qu'elle sera dans une posture d'accompagnement et d'explication. Les organisations devront démontrer qu'elles ont mis en place de bonne foi les mesures pour se rapprocher de la conformité au RGPD. Quand il s'agira de contrôler les principes qui existent depuis quarante ans, elle restera dans une vraie posture de contrôle. Sur ce point, rien ne change. Demain, comme aujourd'hui, les contrôles seront motivés pour un tiers par son plan de contrôle annuel, pour un autre tiers par les plaintes qui lui sont soumises et, pour le troisième, par les informations sur les abus qui remontent via les médias. Les nouveaux mécanismes de coopération entre les autorités de contrôle nationales permettront toutefois d'intervenir plus facilement. Puisque les traitements de données sont de plus en plus mondiaux, il est important que les autorités de régulation nationales puissent avoir des approches plus transversales. Quand chaque autorité applique ses propres règles de contrôle, cela augmente les risques de « forum shopping », qui fait qu'une organisation choisit le pays de son implantation en fonction de son attractivité fiscale ou juridique. Avec le RGPD, les États ont moins de marge d'interprétation et la norme communautaire est moins fragilisée par les adaptations nationales.

Faut-il attendre des conséquences juridiques et business de la confrontation entre une norme européenne ambitieuse et celles d'autres pays moins soucieux de la protection des données personnelles ou qui pratiquent l'autocontrôle ?

F. N. – C'est de moins en moins vrai et c'est une bonne nouvelle pour l'Europe, qui a en quelque sorte défini le benchmark sur la protection des données personnelles. Il y a encore des pays moins-disants, mais cela crée une émulation sur le sujet. Certains pays d'Amérique latine, mais aussi le Canada, la Nouvelle-Zélande et Israël, ont modifié leur propre réglementation pour s'aligner sur le RGPD. L'Asie prend le même chemin, notamment au Japon et en Corée du Sud. Les mécanismes sont différents en Europe, où la protection des données personnelles est considérée comme un droit fondamental, de l'approche des États-Unis, où les acteurs ont défini des lois sectorielles d'autocontrôle. Toutes les réglementations ne visent pas directement la protection des données personnelles. La Federal Trade Commission (FTC) américaine sanctionne les entreprises qui n'ont pas respecté la parole donnée au consommateur et ont eu recours à des « manœuvres trompeuses et déceptives ». Depuis plus d'un an, la Chine a mis en place des lois de cybersécurité plus orientées sur la protection des données stratégiques du pays. Il y a donc aussi un corpus de règles de protection des données personnelles en Chine, même si elles sont moins orientées sur la protection des droits fondamentaux du citoyen.

Quelle est la compatibilité d'une technologie comme la Blockchain ? Quelles sont les autres zones grises par rapport au RGPD ?

F. N. – La Blockchain soulève en effet un certain nombre de questions quant à sa compatibilité avec le RGPD. Le règlement européen stipule qu'il faut déterminer le responsable du traitement de la donnée. Avec la Blockchain, soit on ne le connaît pas car il y a énormément de contributeurs, soit ils sont nombreux quand il s'agit d'un consortium. Dans les Blockchains publiques, il y a une autre question autour du manque de lisibilité sur ce que l'on fait de la donnée. Le principe de l'immuabilité de la transaction est difficilement conciliable avec le droit à l'oubli... Il y a donc un certain nombre de problèmes d'articulation avec le RGPD sur la transparence, l'encadrement des transferts ou sur la responsabilité. Certains disent que la Blockchain peut au contraire se mettre au service du RGPD. Comme la trace des transactions est immuable, on aura un registre parfait ! Il reste encore beaucoup de zones d'ombre, mais le RGPD et la Blockchain vont probablement coexister. L'Internet des objets (IoT) fait aussi partie des technologies où la mise en conformité n'est pas toujours évidente, notamment parce que beaucoup d'acteurs internes et externes interviennent dans le traitement de la donnée. Dans ce domaine, les études d'impact sont toujours nécessaires.

Comment le RGPD va-t-il s'articuler avec d'autres réglementations, notamment le futur règlement européen sur l'e-privacy, annoncé pour 2019 ?

F. N. – Avec la proposition de règlement e-privacy, l'Union européenne adopte la même approche en trilogue que celle qui a abouti au vote du RGPD, en associant le Parlement européen, le Conseil des ministres et la Commission. Cela permet de s'accorder sur un texte commun d'application directe et d'éviter les écueils de transpositions nationales qui en limiteraient la portée. De ce point de vue, le règlement est une véritable avancée pour avoir une approche juridique commune au sein de l'espace communautaire. Chaque fois que le RGPD se sera prononcé sur une règle ou notion d'e-privacy, le règlement européen renverra au RGPD. Ce sera notamment le cas sur la définition du consentement pour les communications commerciales non sollicitées par voie numérique. Le règlement e-privacy abordera pour sa part la question des cookies. Sur de nombreux sujets, il n'y aura pas de problème d'articulation entre les deux textes. Ce sera plus difficile avec certaines règles sectorielles, notamment sur tout ce qui touche aux règles anti-blanchiment ou aux politiques Know Your Customer (KYC)... Il faudra trouver le bon équilibre entre ces réglementations.
{POPUP_CONTENT}