Le RGPD est bien parti pour manquer sa cible : quelles seront ses vraies victimes ?

A l'approche de la mise en application du RGPD en mai 2018, beaucoup s'interrogent encore sur qui seront les véritables victimes de cette nouvelle réglementation : les GAFA ou les champions européens du secteur de la Data ? Explications.

Le 25 mai 2018 entrera en vigueur le règlement général sur la protection des données (RGPD). Derrière ce sigle abscons se profile une profonde révolution pour le secteur de la gestion des données personnelles en Europe. Ce nouveau « Règlement général sur la protection des données » adopté par Bruxelles et qui sera directement applicable dans l'ensemble des Etats membres de l'Union européenne apporte d’incontestables avancées pour les consommateurs en replaçant la donnée personnelle et sa gestion au centre du débat. Il va permettre d’abord d’informer le consommateur sur les données qui sont collectées, par qui elles sont exploitées et pour quelles finalités, ce dont il n’est pas forcément au courant aujourd’hui. Ce nouveau règlement, qui oblige les entreprises à prévenir de façon individuelle le consommateur quand ses données auront été volées, va également lui donner un certain nombre de droits sur ses propres données (mise à disposition, opposition, suppression et rectification). Quant à la portabilité des données, elle va permettre à chacun de transférer ses données d’un service à un autre. Enfin, ce nouveau texte tend vers une expérience utilisateur simplifiée.

Toutefois, ces incontestables progrès ne doivent pas masquer les bouleversements qu’ils vont provoquer sur le marché de la data. Seule une parfaite connaissance du dossier, une grande agilité et une capacité à anticiper peuvent faire la différence. De toute évidence, à voir l’impréparation de nombre d’entreprises, tout le monde ne semble pas se rendre compte des implications de ce nouveau règlement. Compte tenu de l’étendue du chantier, les sociétés, notamment les plus grandes, qui n’ont pas déjà bien avancé sur le sujet auront beaucoup de mal à être en conformité en mai 2018. La complexité du dossier à laquelle Fidzup s’est attaqué, pour sa part méthodiquement depuis l’été 2017, témoigne de l’engagement en amont que cela nécessite pour être effectivement prêt le jour J. Miser sur les moyens de contrôle limités de la CNIL (Commission nationale de l’informatique et des libertés), autorité garante de l’application du texte en France, ou espérer des aménagements du règlement seraient hypothétiques et in fine à très hauts risques.

La fin du Big Data pour les entreprises européennes

Or, il va falloir faire face à des questions complexes et parfois même bloquantes comme ont pu l’identifier les experts de Fidzup. N’oublions pas que dans le cadre des principes de « protection des données dès la conception » et de « sécurité par défaut » instaurés par le RGPD, les entreprises auront désormais l’obligation d’identifier et d’analyser chaque risque lié à une opération effectuée sur les données personnelles et proposer des solutions pour y remédier Privacy Impact Analysis »). Compte tenu des délais de validation des autorités de contrôle (8 semaines prolongeables 6 semaines), elles seront inévitablement freinées dans leurs traitements de données. Une contrainte qui bloque la capacité du marché à effectuer de nouveaux traitements, à innover et à faire évoluer son offre. C’est la fin des croisements de données et donc du Big Data pour les sociétés européennes. 

Les lourdes amendes qui ont été prévues, jusqu’à 4% du chiffre d’affaires mondial, l’ont été pour contenir l’essor des géants du web, à commencer par les Gafa, afin de protéger les champions européens du secteur. Mais dans les faits - triste effet pervers de ce texte - le RGPD risque fort d’aller à l’encontre de son objectif initial.

Ajuster le tir après les premiers mois d’application

De par leur force de frappe et leurs gigantesques moyens, les Gafa n’auront pas de problème pour se mettre en conformité, ils le sont d’ailleurs déjà à 80%. Et avec leurs armées de juristes, il est fort à parier qu’ils sauront de toute façon passer à travers les mailles du filet. Sans compter qu’ils peuvent réaliser aux Etats-Unis, sans aucune contrainte, du moins pas celles du nouveau règlement européen, tous les tests algorithmiques qu’ils souhaitent afin d’ajuster leurs traitements de données avant de les exploiter en Europe.

Dès lors, à quoi risque-t-on d’assister ? A la migration de nos champions européens vers les Etats-Unis qui n’auront d’autres choix que d’aller y tester leurs propres produits. Quant aux start-up du vieux continent, point de salut pour celles qui n’auront pas su anticiper. Les autres, les plus agiles, les plus innovantes, se sont d’ores et déjà adaptées pour apporter à leurs clients des solutions ad hoc.

Il faut espérer que les premiers mois d’application du RGPD seront l’occasion d’ajuster le tir en fonction des enseignements qui en seront tirés. Compte-tenu des enjeux économiques et technologiques, un allègement des procédures les plus lourdes (registre de traitement, PIA...) semble prioritaire et éviterait de freiner la croissance de nos entreprises sur des marchés où nous avons un certain poids.