[AVIS D’EXPERT] En ce début d’année 2019, Eliott Mourier, GDPR & Data Privacy Manager chez Micropole, nous livre un bilan de la mise en oeuvre du règlement général pour la protection des données (RGPD) par les entreprises françaises.
Les débuts d’années sont toujours propices aux bilans. Celui de la mise en œuvre du RGPD par les entreprises françaises, près de 8 mois après son entrée en vigueur, est instructif à plus d’un titre et donne le ton pour une année 2019 qui sera, elle aussi, sous le signe de la protection des données et des communications personnelles.
Il convient tout d’abord de souligner, sur cette année 2018, la prise de conscience inédite – tant de la population que des entreprises – des enjeux de la protection des données personnelles et ce, non seulement en France mais plus largement dans le monde entier. Cette vague est bien évidemment liée à l’important retentissement médiatique du RGPD, mais aussi à la série de scandales qui ont émaillé l’année 2018 et dont Facebook a sans nul doute été le principal protagoniste (Cambridge Analytica au printemps, un bug en juin qui rendit public 14 millions de publications privées, une faille de sécurité en septembre sur 30 millions de comptes utilisateurs et, tout récemment, la mise à disposition par erreur de millions de photos en mode « brouillon » à des milliers de partenaires). Un récent baromètre CNIL/IFOP indique ainsi que 66% de la population française se dit aujourd’hui plus sensible au sujet qu’avant l’arrivée du RGPD.
LES PRIORITES RGPD DES ENTREPRISES EN 2018
Du côté des entreprises, le RGPD aura clairement été l’un des sujets de l’année. Et ce, aussi bien pour les mastodontes du CAC 40 que pour les PME/TPE, dans la mesures où toutes auront eu à passer en revue leurs traitements de données clients, prospects, fournisseurs ou, bien sûr, collaborateurs. Dans l’ensemble, nous avons pu constater que la plupart des entreprises ont initié leur mise en conformité au RGPD à travers les 5 chantiers suivants :
1 – La mise à jour documentaire et contractuelle : Beaucoup ont en effet procédé à une révision des politiques de confidentialité, des mentions légales et notices d’informations notamment sur les sites corporate. Mais aussi à la mise à jour contrats fournisseurs, de sous-traitance ou de partenariat, en insérant de nouvelles clauses « données personnelles », annexes RGPD, Non-disclosure Agreements (NDA) ou autres Data Protection Agreements (DPA). L’inondation de nos boîtes mails par des notifications de mises à jour autour du 25 mai a bien témoigné de cet effort généralisé. Toutefois, si les « gros » contrats ont souvent été mis à jour en priorité, il est important d’aller jusqu’au bout de la démarche et de s’atteler aux « petits » contrats qui présentent en réalité parfois plus de risques, car passés avec des partenaires moins structurés et moins armés pour faire face à certaines problématiques de sécurité notamment.
2 – La mise en place d’une gouvernance sur le sujet : Avant le RGPD, disons-le franchement, très peu d’entreprises avaient mis sur pied une véritable gouvernance autour de la protection des données personnelles. Celle-ci était souvent confiée au département juridique ou à la sécurité informatique et le correspondant informatique et libertés (CIL), quand il était désigné, cumulait généralement cette fonction avec bien d’autres. Force est de constater que les choses sont en train d’évoluer de manière significative sur ce plan. D’après le dernier rapport annuel IAPP-EY, environ 50% des entreprises ont désormais mis en place une organisation dédiée et les effectifs en charge du sujet ont doublé. La CNIL dénombre elle désormais 15 000 data protection officers (DPO) contre 5 000 CIL avant le RGPD.
3 – L’initialisation du registre des traitements : Si peu d’entreprises avaient pour habitude de référencer leurs traitements de données, elles sont désormais, pour la plupart, en bonne voie dans l’élaboration du fameux « registre des activités traitements », imposé par l’article 30 du RGPD. Le travail de recensement induit a souvent été l’occasion, notamment pour les plus petites structures, de formaliser certains de leurs processus et parfois même de procéder à toilettage bienvenu. Attention toutefois à ne pas se contenter d’une alimentation initiale, puisque ce registre devra être mis à jour de façon continuelle.
4 – La rédaction d’une procédure de notification des violations de données : L’obligation nouvelle de déclarer à la CNIL, dans les 72 heures suivant sa détection, toute violation de données personnelles susceptible d’engendrer un risque pour les individus, a forcé les entreprises qui n’en avait pas à rédiger une procédure ou à construire un plan de crise dédié. Mais si la CNIL a déjà reçu plus de 1000 notifications depuis le 25 mai, un flou subsiste encore sur les seuils, quantitatifs notamment, à partir desquels une entreprise devrait notifier à la CNIL, mais aussi directement aux personnes concernées, lorsque le risque consécutif pour leur vie privée apparaît élevé. La question des moyens à mettre en œuvre, notamment pour les TPE/PME, pour être en capacité de détecter ces violations reste également posée.
5 – La formation et la sensibilisation des collaborateurs : Vous en avez certainement été témoin au sein de votre structure, les actions de formation, ou au moins de sensibilisation, à la protection des données personnelles, que ce soit via des formations en présentiel, des modules e-learning ou différentes campagnes de communication interne ont été légion dans nos entreprises. Ces actions « coup de poing » ont sans nul doute été bénéfiques, mais là encore, il conviendra de les inscrire dans la durée pour parvenir à inculquer une véritable « privacy culture » au sein de nos organisations et plus largement de nos sociétés, comme le vise le RGPD.
UNE APPROCHE SOUVENT MINIMALISTE ET COURT-TERMISTE DE LA CONFORMITE RGPD
Si la plupart des entreprises ont donc, de façon plus ou moins contrainte, pris un certain nombre de mesures significatives pour initier leur conformité au RGPD, force est de constater que, dans beaucoup de cas, les organisations se sont contentées de ce que l’on pourrait qualifier de « conformité de façade ». Elles ne sont pas rares les structures qui se sont limitées à mettre à jour leur politique de confidentialité et à créer une adresse-mail DPO générique, en se disant qu’elles n’investiront plus qu’une fois les premières amendes significatives tombées. D’autres, un peu plus consciencieuses, ont bien lancé la plupart des chantiers attendus, mais ont opté pour des mesures court-termistes ou de pure cosmétique, sans revoir en profondeur leur organisation, leurs process, leurs méthodes, et donc sans remettre en question leur approche globale de la protection des données personnelles. La diminution significative des prévisions budgétaires des programmes RGPD 2019 (estimée en moyenne par IAPP/EY à 1,8 millions de dollars alors que le triple ou le quadruple avaient été évoqués précédemment) constitue un révélateur fort du fait que, pour beaucoup, le plus gros du travail a déjà été accompli.
QUELLE ROADMAP RGPD POUR 2019 ?
Pourtant, d’autres chantiers moins « visibles » mais particulièrement complexes à mettre en œuvre et finalement indispensables, non seulement pour viser une conformité à long-terme mais aussi pour espérer tirer d’autres retours sur investissements, restent à travailler et devraient figurer sur toutes les roadmaps RGPD en 2019. Citons-en notamment trois qui nous semblent incontournables :
1 – La gestion des consentements : ou comment s’assurer sur le plan technico-fonctionnel que l’ensemble de vos systèmes tiennent bien compte du consentement ou de l’opposition des clients à certains traitements de leurs données ? Comment également présenter ses consentements au client pour qu’il puisse les gérer aisément et se sentir, par conséquent, plus confiant au moment de vous l’octroyer ? Enfin, la problématique de la traçabilité et de l’historisation des consentements dans le temps doit également être envisagée. Autant de sujets que le futur règlement E-privacy risque de rendre plus urgents encore à l’horizon 2020.
2 – La mise en conformité des patrimoines applicatifs : Si les programmes RGPD se sont souvent concentrés sur les projets en cours ou à venir, il faudra bien tôt ou tard s’atteler à l’existant, notamment en termes d’effacement des données personnelles engrangées au fil des ans, ce qui, notamment au sein de grandes structures complexes, peut représenter un travail colossal et de longue haleine.
3 – La définition d’une véritable méthodologie « Privacy by Design and by Default » : Véritable leitmotiv du règlement, le « Privacy by Design », ou la prise en compte dès la conception des projets et produits des exigences RGPD, exige d’adapter les méthodologies de travail et d’instaurer des pôles d’expertise et de contrôle. Un travail essentiel pour garantir une conformité et une minimisation des risques dans le temps.
CONCLUSION
Comme souvent lorsqu’il s’agit de mise en conformité réglementaire, les organisations se sont efforcées de viser un « niveau minimal acceptable » de conformité et ce à moindre coût. Comment leur en vouloir alors que le mille-feuilles réglementaire ne cesse de s’épaissir année après année ? Mais avec le RGPD, l’approche doit être différente. Ce texte et le nouveau paradigme qu’il instaure doivent amener les entreprises à repenser de façon plus large leur stratégie, leurs services et leur culture du traitement des données personnelles. À bien y regarder, le règlement ouvre même la voie à de nouvelles possibilités de création de valeur autour des données personnelles que les entreprises auraient tort de minimiser. Mais cela ne sera possible que pour les organisations qui, bien au-delà de viser une « conformité de façade », s’engageront pleinement dans une stratégie positive et pro-active de mise sous bonne gouvernance de leurs données, à même d’accroître la confiance de leurs clients et, par ricochet, la valeur de leurs données personnelles.
