Le nouveau règlement européen sur les données personnelles sera officiellement applicable en mai 2018. Venant compléter et renforcer une directive européenne datant de 1995, il garantit des droits inédits aux citoyens, dont le droit à l’oubli, à la portabilité des données, à être informé des failles de sécurité en cas d’atteinte à leurs données personnelles… Mais pour que ce dispositif soit effectif, il faudra que les entreprises du secteur de la donnée soient au diapason. Or elles n’ont que peu de temps pour se mettre en conformité avec la nouvelle législation qui implique pour la plupart d’entre elles d’opérer des changements radicaux dans leur organisation. Faute de quoi, elles prendront le risque de s’exposer à de lourdes sanctions.
C’est avec une répercussion médiatique très limitée que l’Union européenne adoptait, le 27 avril 2016, le nouveau Règlement Général sur la Protection des Données, RGPD, (GDPR, de l’anglais General Data Protection Regulation). Pourtant, le texte massif aux 99 articles a de quoi susciter l’intérêt des citoyens européens. Car dès le 25 mai 2018, moment où il sera officiellement applicable dans les États membres, ce sont de nouveaux droits qui seront attribués aux utilisateurs des services numériques : droit à l’oubli sous la forme d’un droit au déférencement, meilleure prise en compte de leur consentement à l’utilisation ou non de leurs données personnelles, augmentation de la transparence sur l’utilisation de celles-ci… Et si le délai entre l’adoption du texte et son application est de deux ans, c’est pour laisser le temps aux entreprises de s’adapter à ces nouvelles contraintes.
Seulement voilà, malgré cette temporisation, « deux ans, c’est très court » assure Claire Levallois-Barth, coordinatrice de la chaire Valeurs et politiques des informations personnelles (VPIP) de l’IMT. Un constat que cette chercheuse en Droit tire de ses travaux menés auprès des entreprises qu’elle a interviewées. Comme beaucoup d’acteurs du numérique, ces dernières se retrouvent face à des notions nouvelles apportées par le GRGPD. Elles devront notamment assurer dès 2018 le droit à la portabilité des données de leurs clients. Concrètement, chaque utilisateur d’un service numérique aura la possibilité d’emmener ses données personnelles chez un concurrent, et inversement.
Deux années ne semblent pas de trop pour mettre en place les rouages qui permettront aux clients d’exercer ce droit à la portabilité. Car si le règlement entend garantir cette possibilité, il n’en fixe pas les modalités concrètes : « Il faut donc d’abord comprendre ce que cela signifie sur le plan pratique pour l’entreprise d’assurer la portabilité des données à ses clients, puis définir les changements à opérer non seulement sur les plans techniques, mais aussi organisationnels, à savoir revoir les procédures actuelles, voire en créer de nouvelles » détaille Claire Levallois-Barth.
Le concept de privacy by design, fer de lance du RGPD et symbole de la nouvelle façon de concevoir la protection des données personnelles en Europe, est tout aussi contraignant pour les organisations. Il impose d’intégrer l’ensemble des principes régissant l’utilisation des données personnelles (principe de finalité, de proportionnalité, de durée de conservation, de transparence…) en amont, dès la phase de conception d’un produit ou d’un service. En outre, la régulation se base désormais sur le principe de responsabilité qui implique que l’entreprise elle-même soit en mesure de démontrer qu’elle respecte la législation en tenant à jour des preuves de cette conformité. Les phases de conception des produits et services, mais aussi de production et d’utilisation, doivent donc être repensées afin de mettre en place une véritable gouvernance interne des données personnelles. « Pour les entreprises les plus vertueuses, la présentation des premiers éléments de cette nouvelle gouvernance s’est faite avant l’été 2016 devant le comité exécutif » selon Claire Levallois-Barth.
Être informé avant d’être prêt
Si certaines entreprises sont ainsi engagées dans une course contre la montre, d’autres font face à des difficultés plus difficiles à surmonter. Lors de la journée de la chaire VPIP consacrée en novembre 2016 à l’Internet des objets, Yann Padova, ancien Commissaire spécialisé dans la protection des données personnelles à la Commission de régulation de l’énergie (CRE) et désormais Partner du département Technologies de l’Information et de la Communication (TIC) du cabinet d’avocats d’affaires Baker McKenzie, avertissait que « certaines entreprises ne savent pas encore comment mettre en pratique les nouvelles règlementations du RGPD ». Toutes n’ont pas en effet la capacité de s’entourer des compétences nécessaires permettant de cibler les leviers organisationnels à mettre en place.
Le RGPD mentionne par exemple l’obligation, dans certains cas, pour une entreprise collectant ou traitant les données des utilisateurs, de nommer un délégué de la protection des données (DPO de l’anglais Data Protection Officer). Cet expert aura notamment pour mission de conseiller le responsable de traitement des données — autrement dit l’entreprise — afin que celle-ci respecte la nouvelle régulation européenne. Mais selon l’organisation des grands groupes, certaines PME n’assureront qu’un rôle de sous-traitance de la donnée : doivent-elles déjà se préparer à nommer un DPO ? Les entreprises se retrouvent ainsi à devoir répondre rapidement à de nombreuses questions dont les réponses ne sont pas évidentes. Et plus problématique encore : certaines d’entre elles ne sont pas du tout informées du contenu du RGPD.
LIRE AUSSI DANS UP’ : Data Privacy Officer, un nouveau métier qui va avoir le vent en poupe
Yann Padova pointe qu’avant d’être prêt, il faut déjà être conscient des challenges. Or il reconnaît qu’il « ne voit pas trop d’actions du gouvernement en France sur l’explication des régulations à venir ». À ses côtés en 2016 pour discuter du sujet, Maître Denise Lebeau-Marianna — chargée des affaires liées à la protection des données personnelles au cabinet d’avocat Baker & McKenzie — confirmait ce manque d’information, et pas seulement en France. Elle citait notamment une étude sur la préparation des entreprises au RGPD menée par Dimensional Research et parue en septembre 2016. Sur 821 ingénieurs informatiques ou directeurs d’entreprises du secteur de la donnée, 31 % ont entendu parler du RGPD mais ne connaissent pas son contenu, et 18 % n’en ont même jamais entendu parler.
Faute de préparation, il faudra gérer les risques… et les sanctions
Pour Claire Levallois-Barth, il apparaît évident que toutes ces limites font que les entreprises ne seront pas toutes conformes dès 2018 à l’ensemble des points du GDPR. Que se passera-t-il alors ? « Le RGPD encourage les entreprises à mettre en œuvre des mesures de protection correspondant au niveau de risque présenté par leurs activités de traitement de données personnelles. Il appartient alors à l’entreprise de quantifier et d’évaluer le risque. Il s’agit ensuite de supprimer, ou à tout le moins de diminuer les risques sur certains points, sachant que le nombre de traitements se chiffre par dizaine, voire par centaines dans certaines entreprises » explique-t-elle. Quels seront ces points ? Cela dépendra de chaque entreprise, de ce qu’elle propose à ses utilisateurs et de sa capacité à se transformer en deux ans.
Et si ces entreprises ne parviennent pas à se mettre à temps en conformité, elles s’exposeront à des sanctions potentielles. L’un des grands axes du RGPD est en effet la montée en échelle des amendes pour les acteurs du numérique qui ne respecteraient pas leurs obligations, notamment les droits des utilisateurs. En France, la Cnil avait la possibilité d’imposer une sanction maximale de 150 000 € avant que la loi pour une République numérique n’augmente ce montant à 3 millions d’euros. Mais le GRGPD, règlement européen d’application directe, abrogera dès mai 2018 cette partie de la réglementation française pour imposer des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel des entreprises.
C’est le nouveau Comité européen de protection des données — actuellement nommé G29 — qui aura pour mission de mettre en musique le règlement. Cet organisme, qui réunit l’ensemble des Cnils de l’Union européenne, vient de publier ses trois premiers avis sur les points de la régulation qui demandent des précisions, dont la portabilité et le DPO. Cela devrait permettre de lever certaines incertitudes, dont la plus grande reste encore celle de l’efficacité réelle du RGPD à terme.
Car si en théorie, la régulation proposée par l’UE vise à permettre une meilleure protection des données personnelles des utilisateurs dans notre environnement numérique et une simplification administrative, les choses semblent actuellement floues sur biens des points. « Tant que le règlement n’est pas entré en vigueur et que la Commission européenne n’a pas publié les actes d’exécution le déclinant, il est très difficile de dire si la protection sera effectivement renforcée pour les citoyens » conclut Claire Levallois-Barth.
L’original de cet article est paru dans I’MTech
