RGPD, une protection tous azimuts
En France, le RGPD ne noircit pas une page blanche. Grâce à la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978, actualisée une première fois en 2004, puis une seconde en 2016, les données étaient déjà protégées. Elle accordait certains droits aux citoyens : d’être au fait du traitement de leurs données, de les rectifier, de s’opposer à leur utilisation et de les consulter. Une maîtrise de ce qu’ils souhaitaient partager leur était donc garantie.
En Europe, la directive 95/46/CE du 24 octobre 1995 donnait naissance à un premier régime de protection des données, mais il était imparfait et devait progresser à mesure de l’évolution technologique et de la mondialisation des réseaux. « En 1995, Internet existait déjà, mais pas la toile à l’échelle mondiale », témoigne Wojciech Wiewiórowski, contrôleur européen adjoint des données. Le scandale de Facebook, distribuant les données récoltées à d’autres multinationales, fut révélateur de la rapidité et de la facilité avec lesquelles les informations sont partagées tout autour du Globe, et du fait que leur protection était primordiale. « Nous leur confions nos données qu’ils nous revendent ensuite », ironisait un expert du secteur. Le RGPD, qui remplace le régime de 1995 en Europe et complète la loi française de 1978, est donc une bataille de gagnée dans le combat pour la protection
des données.
Nouveaux droits, nouvelles obligations
La nouvelle régulation apporte des droits supplémentaires aux internautes. Ils peuvent à présent invoquer l’effacement de leurs données tout comme leur portabilité (les faire transférer d’une société à une autre). Deux facultés qui, si elles paraissent essentielles, étaient jusqu’ici laissées au bon vouloir des responsables de traitement des données qui doivent désormais revoir leur système de fonctionnement et se responsabiliser. Autrement dit, la déclaration systématique des fichiers auprès de la Cnil (une obligation qui était prévue si les entreprises n’avaient pas de correspondant informatique et libertés, le CIL, en leur sein) est supprimée, et désormais, ce sont les organismes publics et privés qui doivent garantir eux-mêmes la protection des données qu’ils détiennent. Comment ? Par la tenue d’un registre des activités de traitement effectuées que les autorités de contrôle peuvent demander à consulter à tout moment. Les sous-traitants (qui traitent des données à caractère personnel pour le compte d’un responsable de traitement) sont logés à la même enseigne. Eux aussi responsables, ils sont contraints d’élaborer des mécanismes pour sécuriser les données et de prévenir l’entreprise pour laquelle ils travaillent en cas de violation du RGPD. La nouvelle réglementation ne s’arrête pas là : les entreprises doivent justifier la nécessité pour elles de récolter et de conserver toute donnée personnelle.
Selon la Cnil, 80 000 à 100 000 DPO seraient nécessaires en France, autrement dit un nombre considérable
Assumer ces nouvelles obligations demande du temps et des moyens humains. Il est ainsi conseillé aux sociétés de s’équiper en s’accompagnant d’un DPO, un data protection officer, interne ou externe, qui s’assurera du respect du RGPD. Néanmoins, celles qui en ont un sont encore trop peu nombreuses (lire pages suivantes, Surmonter les obstacles). Selon la Cnil, 80 000 à 100 000 DPO seraient nécessaires en France, autrement dit un nombre considérable. C’est la raison pour laquelle naissent des cabinets de conseil spécialistes de la matière, qui proposent des experts en service ponctuel au sein des entreprises, des consultants externes en somme. Et pour les managers d’entreprise qui endosseraient ce rôle, des indications très précises relatives au respect du RGPD et aux compétences nécessaires sont disponibles sur le site de la Cnil.
Tous concernés
Comment est-on arrivé à une réglementation aussi contraignante et d’application aussi large ? À l’origine, seuls les Gafa étaient dans le viseur de Bruxelles, une partie non négligeable du business des géants du Net reposant sur l’utilisation et la commercialisation de la data. Pourtant, tous les organismes, publics et privés et quelle que soit leur taille, sont désormais concernés par la réglementation. Pourquoi ce changement de cible ? Parce que l’Union européenne a voulu envoyer un message clair : le RGPD n’a pas été créé uniquement pour le gros gibier. C’est la protection des données des Européens qui était en jeu. Francesca Serio, consultante en gestion de crise et en protection des données personnelles chez Provadys, confirme : « À partir du moment où une entreprise qui manipule des données à caractère personnel est située sur le territoire de l’Union européenne ou offre un service à une personne située en Union européenne, elle est concernée par le RGPD. » Quelles données ? « Toute information se rapportant à une personne physique identifiée ou identifiable », précise l’article 5 du RGPD. Autrement dit, pas besoin d’être Google ou Facebook pour traiter des données personnelles et sensibles, les petites structures, elles aussi, gèrent ce genre d’informations. Médecins et pharmaciens par exemple manipulent des données extrêmement délicates.
« 1 % des 1 % »
Pour aider les entreprises à se mettre en conformité, la Cnil a mis à leur disposition sur son site internet des livrets explicatifs et des aides pratiques. Les entreprises petites sont particulièrement soignées. Cela dit, d’après un expert interrogé, « on a parfois l’impression que la Cnil elle-même apprend en avançant à tâtons ». Le créateur de la start-up Diginsight dédiée à l’accompagnement des PME dans la mise en place du RGPD, Jérôme Cail, trouve, lui aussi, de nombreuses pistes pour améliorer les mises en demeure prononcées par le régulateur français. Guy Birenbaum, qui dirige Smart Global Privacy, juge quant à lui la Cnil trop frileuse. « Le régulateur devrait disposer de ressources nettement plus importantes et communiquer intensivement auprès des entreprises de toute taille, des professions libérales, des associations et du secteur public en leur rappelant l’importance de se mettre en conformité et leur responsabilité vis-à-vis des consommateurs. », lance le fondateur de la solution logicielle recommandée par Microsoft dans le monde au travers de son réseau de partenaires. Une manière de dire que les organismes, quels qu’ils soient, sont encore loin d’avoir mis en place les outils de protection de la data imposés par Bruxelles. « Selon moi, 1 % des entreprises pensent être conformes au RGPD et parmi elles, seul 1 % l’est vraiment », regrette-t-il.», poursuit-il, sur un ton provocateur.
Pas besoin d’être Google ou Facebook pour traiter des données personnelles et sensibles, les petites structures, elles aussi, gèrent ce genre d’informations
Et ce, d’autant plus que le RGPD ne s’arrête pas aux frontières de l’Union européenne, le nombre d’entreprises soumises à la régulation augmentant de façon mécanique. La cause ? « Cela n’avait plus de sens de lier l’application de la loi européenne à la localisation des données : il suffisait de traiter les données ou de les stocker, par exemple dans un cloud, en dehors de l’Union européenne pour qu’elles échappent à la protection de cette loi », explique l’avocate Noëlle Lenoir et ancienne ministre des Affaires européennes dans les colonnes de L’Express. Bruxelles a donc choisi de protéger les données de ses citoyens quel que soit le lieu de leur collecte ou de leur traitement. « C’est la première fois que l’Europe applique une réglementation extraterritoriale », remarque Guy Birenbaum, faisant ainsi allusion aux multiples législations américaines qui s’appliquent hors des États-Unis (les embargos, la lutte anti-corruption, anti-blanchiment, etc.). De là à ce que les régulateurs européens aient les moyens de contrôler, de poursuivre et de condamner hors de leurs frontières…
Marine Noehser (@Mnsh57) et Pascale D'Amore (@PascaleDAmore)