RGPD, un an après : une avancée majeure pour l’Europe

Après quatre ans d’atermoiements et de discussions, le 25 mai 2018 le Règlement Général sur la Protection des Données, dit RGPD, est entré en vigueur au sein de l’Union Européenne. Une première pour ce texte de référence en matière de protection des données. Près d’un an après son entrée en vigueur, l’heure du premier bilan est arrivée du côté des entreprises.

Mise en conformité, amende, renforcement des équipes de sécurité… retour sur la mise en place d’une législation avant-gardiste qui a replacé l’Europe au cœur de la scène mondiale numérique.

Mise en conformité : priorité aux investissements  

La mise en conformité demandée implique de lourds investissements du côté des entreprises. Vouloir être en conformité et rédiger une charte interne est une chose mais la mise en application en est une autre, souvent beaucoup plus compliquée qu’il n’y paraît. De fait, aujourd’hui, peu nombreuses sont les entreprises à pouvoir dire qu’elles sont en conformité ; les investissements et les projets de mise en conformité étant toujours en cours. Mais loin d’être une volonté de ne pas se plier à loi, la mise en conformité exige une implication et un engagement total de la part des entreprises et pas seulement d’un point de vue financier.

Les investissements se sont également faits sur le plan humain avec l’ajout de ressources supplémentaires tant du côté de la protection des données, que du côté de la sécurité des données. Les entreprises ont notamment dû se doter d’un Data Privacy Officer, le chef d’orchestre de la mise en œuvre et le gardien de la protection des données au sein de l’entreprise. Un poste avec de nouvelles responsabilités directement liées au RGPD et qui fait défaut à certaines grosses entreprises qui ont du mal à recruter. Aujourd’hui en France, seulement 13 000 DPO sont déclarés à la CNIL. Un nombre insuffisant eu égard au nombre d’entreprises assujetties à cette obligation en France.       

Ainsi, un an après, seulement 30% des entreprises disent être en conformité avec le RGPD et 10% disent qu’elles ne le seront jamais. D’autres n’ont même pas encore réalisé l’importance et l’ampleur de l’effort de mise en conformité requis par le Règlement. Ce sont bien souvent de plus petites entreprises qui n’ont pas nécessairement le même niveau d’informations, de compétences et de moyens. Le RGPD étant entré en vigueur le 25 mai 2018, les entreprises auraient dû être en conformité à cette date. Or la mise en œuvre du RGPD constitue encore pour bon nombre d’entreprises un défi que beaucoup n’avaient pas anticipé malgré un calendrier de préparation de deux ans. Les autorités de protection des données avaient prédit que cela serait difficile, et ainsi accepté de laisser un temps d’adaptation, mais les autorités de régulation des différents pays membres de l’Union Européenne ont prévenu que cette période de grâce toucherait à sa fin. La mise en conformité d’une entreprise avec le RGPD est une entreprise complexe, car au sein d’une même organisation, les besoins et les obligations ne s’interprètent pas et ne s’appliquent pas de la même manière selon qu’il s’agit du département des ressources humaines, du marketing ou du service client…

Le RGPD présente un autre défi de taille, celui de son respect dans le temps une fois l’effort de mise en conformité achevé. Le maintien de la conformité d’une entreprise au RGPD requiert une vigilance et des efforts constants. La technologie évoluant sans cesse, les différentes avancées technologiques peuvent venir remettre en cause une mise en conformité qu’une entreprise pouvait penser acquise. C’est donc à un changement de mentalité radical qu’il faut procéder, les entreprises devant dorénavant constamment avoir à l’esprit la protection des données et l’assurance que les politiques et procédures mises en place restent en conformité avec le RGPD sur la durée. Seules les entreprises ayant intégré cette démarche conserveront leur avantage compétitif. C’est là, tout le rôle d’évangélisation du Data Privacy Officer. Une entreprise qui se plie à cette discipline et l’intègre à ses procédures internes au sein de chaque département, s’octroie un avantage concurrentiel indéniable sur son marché et pérennise ses activités. Qui plus est, si elle exerce dans un secteur où les données traitées sont sensibles (laboratoires pharmaceutiques, banques…). 

Une meilleure protection des données ?

Les agences de protection des données ont vu une augmentation significative du nombre de plaintes et de déclarations de failles de données. Les chiffres de la Commission Européenne parlent d’eux même. Entre mai 2018 et janvier 2019 les agences de protection des données locales ont comptabilisé 95 180 plaintes et 41 502 failles de sécurité. C’est dire l’impact du RGPD. Pour les consommateurs, par exemple, au-delà des nombreux messages électroniques reçus visant à obtenir leur consentement, c’est un nouveau droit qui s’est ouvert : celui de pouvoir accéder facilement à leurs données et à en demander leur modification ou suppression immédiate, sans justification.

Avec ces nouveaux droits, de nouvelles obligations se sont imposées aux entreprises. Et celles qui n’ont pas su, ou pas voulu, les remplir en paient déjà lourdement le prix. En janvier 2019, Google a été condamné en France à une amende de 50 millions d’euros pour manquement à son obligation de transparence et de clarté dans le contexte de création d’un compte Google. (absence d’obtention du consentement du consommateur de voir ses données utilisées pour des publicités personnalisées). Ou encore en Italie où Facebook a été condamné à une amende de 10 millions d’euros pour tromperie, ou au Royaume-Uni contre Uber pour un montant de 1,2 millions de dollars en raison de l’existence de failles de sécurité. Et d’autres condamnations sont attendues.

Enfin, la question de la sécurité est également en jeu avec le RGPD. Si aucun outil n’est véritablement infaillible, il permet néanmoins de ralentir la tâche d’un hacker lors d’une attaque. Faire en sorte d’être plus dissuasif. Dans la grande majorité des cas de fuites de données, le problème n’est pas lié à un problème de sécurité mais à une erreur humaine. C’est ici que le RGPD prend tout son sens car il oblige les entreprises à mettre en place des processus et des règles qui limitent ce risque, en éduquant et en formant les employés sur l’existence de ce risque et sur les comportements à adopter… Le RGPD est là pour prévenir l’erreur humaine.

L’Europe, figure de proue mondiale

Si le RGPD représente un accélérateur de croissance pour les entreprises en sécurisant les consommateurs sur l’utilisation de leurs données, ce Règlement a surtout permis de mettre l’Europe au centre du débat de la protection des données dans un monde qui se digitalise. En faisant la promotion des valeurs de protection, d’information et de transparence - valeurs chères aux citoyens européens - l’Europe s’est positionnée à l’avant-garde d’un débat devenu planétaire. Pour s’en convaincre, il n’y a qu’à regarder les législations sorties depuis, tant au Mexique, qu’à Singapour et même en Chine. Aux Etats-Unis, certaines sociétés ont décidé d’appliquer les dispositions du RGPD pour ne pas perdre leurs clients localisés en Europe … En réponse, le gouvernement américain travaille actuellement à l’élaboration d’une loi fédérale en concertation directe avec la Commission Européenne pour les accompagner dans leur processus de réflexion. L’Europe a donc joué un rôle de leader en la matière et représente une force d’inspiration pour le reste du monde.

Le RGPD ne représente d’ailleurs qu’une étape dans la construction d’un marché unique européen de la donnée pour faire face à la concurrence venue des autres régions du monde. La Directive sur la circulation des métadonnées ou le Cybersecurity Act en cours de discussion au Parlement Européen sont autant d’outils complémentaires visant à développer et assurer une circulation libre et sécurisée de la donnée au sein de l’Union Européenne.

Hier, l’Europe instaurait la libre circulation des marchandises, des services et des hommes au sein de l’Union Européenne, aujourd’hui elle instaure celle de la donnée.