A 8 mois de l’échéance, est-il déjà trop tard ? En tout cas, pour être au rendez-vous du RGPD – le règlement européen sur la protection des données personnelles -, le 25 mai prochain, les entreprises doivent s’activer. Et mener plusieurs chantiers en parallèle.
« Lorsque l’on s’expose à une amende pouvant s’élever à 4 % du chiffre d’affaires mondial, on ne plaisante plus avec le droit ». C’est ainsi qu’Alain Bensoussan, avocat à la Cour d’appel de Paris et spécialiste du droit des technologies avancées, résume l’impact de l’arrivée du RGPD, le Règlement Général pour la Protection des Données (GDPR en anglais), qui entrera en vigueur le 25 mai prochain.
Pour l’avocat, la mise en conformité des entreprises avec le texte, qui va donc alourdir significativement les sanctions infligées aux organisations non conformes *, se traduit en réalité par trois projets en un : « Tout d’abord, les obligations découlant des textes actuels (loi informatique et libertés et directive 95/46) ne sont le plus souvent pas respectées. On peut estimer qu’environ 80 % des entreprises doivent commencer par se mettre à niveau au regard de ces textes avant même de s’attaquer aux exigences du RGPD. Ensuite, c’est toute la politique de conservation des données personnelles qui doit être repensée : jusqu’à présent, la plupart des entreprises et organisations préféraient tout conserver du fait des coûts très bas de stockage. Avec le nouveau Règlement, cette approche n’est plus tenable. Enfin, reste la mise en application des trois principes clefs du RGPD : privacy by design, security by default et accountability ».
A l’entreprise de prouver sa conformité
Attardons-nous quelques instants sur ces trois principes phares du texte. La notion de « privacy by design » nécessite que la prise en compte du meilleur degré de protection des données à caractère personnel se fasse dès la conception des outils de l’entreprise. Et ce sur l’ensemble du cycle de vie des données, de leur collecte à leur suppression. Le principe de « security by default » pousse les obligations de l’entreprise un cran plus loin : les données à caractère personnel doivent, à tout moment de leur traitement, être gérées avec le plus haut niveau de sécurité possible. « Le SI doit garantir que les données utilisées seront limitées au système qui les met en oeuvre », résume Alain Bensoussan.
Enfin, la notion « d’accountability », qui oblige l’entreprise à documenter l’ensemble des actions menées dans le cadre de ces deux obligations particulières, revient à renverser la charge de la preuve. « A l’entreprise de démontrer qu’elle est bien conforme avec le règlement », martèle l’avocat. Contrairement à la situation actuelle, où c’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui doit démontrer l’illégalité de tel ou tel traitement. Ce renversement de la charge de la preuve impose aux organisations un lourd travail de documentation. Si la déclaration préalable de mise en place d’un traitement de données à la CNIL disparaît, les entreprises doivent en effet être en mesure de démontrer à tout moment la conformité au RGPD des traitements de données personnelles qu’elles mettent en œuvre. Ce qui passe par la tenue d’un registre permettant de cartographier l’ensemble de ces manipulations d’information.
Nommer un DPO : une étape clef
On voit ici se dessiner le rôle central qu’est appelé à jouer le DPO (Data Protection Officer), qui figure au coeur de la réforme du RGPD. Evolution du CIL (Correspondant Informatique & Libertés), ce responsable des traitements de données personnelles voit ses pouvoirs élargis avec le règlement européen. Là où le CIL est un simple garant du respect de la loi Informatique et libertés, le DPO contrôle les règles internes de protection des données et vérifie l’exécution des procédures. Alain Bensoussan fait d’ailleurs de la nomination du DPO une des toutes premières étapes du parcours de mise en conformité au RGPD, qui en compte selon lui pas moins de 20.
Pour l’avocat, deux facteurs en particulier complexifient la mise à niveau des entreprises, d’autant qu’ils se conjuguent souvent. La reprise de l’existant d’abord. Amener les traitements actuels au niveau attendu par le RGPD et purger les données amassées par les entreprises – par exemple dans le cadre de leurs projets Big Data – s’annonce ardu. S’y ajoute le fait que le RGPD s’étend à l’ensemble de la chaîne de responsabilité, donc aux éditeurs de solutions logicielles ou sous-traitants des entreprises mettant en place des traitements de données personnelles pour leur compte. La fin de l’immunité de ces derniers, qui deviennent co-responsables aux yeux du nouveau Règlement, impose aux donneurs d’ordre de revoir leurs contrats et de se placer dans une logique d’audit régulier de leurs prestataires. Le texte du RGPD enjoint en effet aux responsables de traitement de faire « uniquement » appel à des sous-traitants présentant « des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées ».
2018 pour s’ajuster
Si on prend en compte l’ensemble de ses contours, le chantier du RGPD apparaît donc titanesque. D’autant qu’il touche de nombreux départements de l’entreprise (développement, exploitation, marketing, juridique, achats…). Les analystes estiment d’ailleurs que nombre d’organisations ne seront pas prêtes le 25 mai prochain. Pour le cabinet d’études Gartner, une entreprise sur deux ne respectera pas le RGPD à la fin 2018. Selon Alain Bensoussan, cela devrait se traduire par une période d’ajustement, au cours de laquelle les autorités de régulation -la CNIL en France – devraient faire preuve d’une certaine mansuétude. Mais en aucun cas de laxisme. « Je pense que les autorités de régulation vont se montrer sévères avec les entreprises très en retard, en particulier avec celles qui ne respectent même pas les législations antérieures au règlement européen », estime l’avocat. Les récentes décisions de la CNIL, en particulier la condamnation à 40 000 euros d’amende de la société Hertz, semblent illustrer, déjà, le tour de vis auquel doivent s’attendre DSI et directions générales.
Le règlement européen (2016/679)
http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
La délibération de la CNIL concernant Hertz France
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000035276047&fastReqId=623604798&fastPos=1
* Le RGPD prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise concernée ou 20 millions d’euros. A comparer aux 3 millions d’euros maximum qu’autorise la loi pour une République numérique (qui a déjà renforcé le pouvoir de sanction de la CNIL, auparavant limité à 150 000 euros d’amende).
