Protection des données : nouvelle contrainte avec le règlement européen RGPD ?
C’est la question à laquelle répond dans une interview à la Tribune, la présidente de la Commission nationale de l’informatique et des libertés Isabelle Falque-Pierrotin. On sait que l’enjeu est considérable. Pour faire simple, il s’agit de réguler pour empêcher la mise en sous-traitance de l’économie européenne par les GAFA, le trafic de données notamment à des fins politiques et pour protéger les consommateurs et les citoyens.
- Pourquoi considérez-vous que le RGPD est indispensable ?
ISABELLE FALQUE-PIERROTIN - Le RGPD est une grande avancée pour plusieurs raisons. Tout d’abord, il crée un marché européen de la donnée en unifiant les législations par un règlement unique. Jusqu’à présent, il fallait composer avec des textes nationaux pas forcément raccords les uns avec les autres. Deuxièmement, le RGPD remet enfin les acteurs européens et internationaux à égalité de concurrence. La disposition relative au ciblage, qui permet d’appliquer le règlement aux groupes étrangers qui traitent les données de citoyens européens, force les géants du Net américains et chinois à ne plus s’affranchir des règles de l’UE. Le troisième avantage du RGPD est qu’il renforce la capacité de dialogue de l’Europe face à ces acteurs. Google, par exemple, ne dialoguera plus séparément avec la Cnil française puis son équivalente allemande, mais avec l’autorité chef de file qui représente toutes les Cnil européennes. Enfin, le RGPD répond à la volonté de plus en plus marquée des citoyens européens de mieux maîtriser leur vie numérique. Les droits des personnes sont considérablement renforcés. Certes, la mise en conformité s’accompagne d’un investissement et d’une réorganisation interne pour les entreprises et les collectivités, mais le RGPD est une chance pour l’Europe.
Les acteurs soumis au RGPD ont eu deux ans pour s’y préparer, mais à moins de soixante-dix jours de son entrée en vigueur, le 25 mai prochain, très peu sont prêts. Comment expliquez-vous ce retard ?
Beaucoup d’entreprises n’étaient pas conformes à la directive sur la protection des données de 1995 révisée en 2004, qui a modifié la loi de 1978. Elles partent donc de très loin, il y a un effet de rattrapage. En dépit de nos efforts de communication, la culture de la protection de la donnée peine à s’installer en France. Historiquement, la gestion des données a été cantonnée aux directions juridiques des entreprises. Elle n’a jamais été investie par les directions générales ou au niveau du comex [comité exécutif, ndlr]. Une prise de conscience est nécessaire pour que l’enjeu monte dans la hiérarchie des structures et devienne stratégique. Le RGPD pousse justement à cette prise de conscience parce que les sanctions qui résultent du non-respect du règlement sont très dissuasives. Aujourd’hui, les entreprises sont vraiment au pied du mur.
L’arme des sanctions, qui peuvent atteindre 4% du chiffre d’affaires mondial, force les entreprises à enfin se préoccuper de leur gestion des données. La menace est-elle le seul moyen efficace ?
L’ampleur inédite des sanctions est une bonne arme de dissuasion. Cette crainte nous permet de faire entrer le sujet de la protection des données dans les entreprises. Mais maintenant que nous avons leur attention, notre but est surtout de pousser un autre message, celui que la conformité au RGPD n’est pas seulement une contrainte réglementaire mais peut aussi apporter un bénéfice opérationnel. Respecter la vie privée de ses clients et collaborateurs est un facteur de différenciation concurrentielle et répond à une demande sociétale forte depuis l’affaire Snowden. Dans les secteurs qui utilisent énormément les données, comme les startups du numérique, les mentalités changent. Des fonds d’investissement commencent à se dire qu’ils ne veulent pas investir dans une startup qui ne pratique pas le « privacy by design ». La conformité est aussi un outil marketing : elle rassure les consommateurs. On l’a bien vu au CES de Las Vegas, où de plus en plus de startups françaises ont mis en avant leur éthique des données. Le RGPD est une opportunité de business.
Beaucoup d’entreprises restent complètement dans le flou, notamment les PME-TPE. Comment les aider à se mettre en conformité ?
Il est vrai que les grands groupes ont les moyens de s’adapter et sont en train d’investir. Les PME en revanche sont plus démunies face à la complexité du texte. En tant que régulateur, il est de notre responsabilité de les aider. Nous avons mis en place beaucoup d’outils. D’abord, les « six étapes » du RGPD, une information de base très pédagogique sur ce qu’est le RGPD et comment s’en emparer. Nous proposons aussi des outils plus opérationnels, par exemple un tutoriel pour aider à réaliser une étude d’impact. Pour les PME et les ETI tous secteurs confondus, nous travaillons avec Bpifrance à la réalisation d’un kit pratique qui sera disponible d’ici à la fin du mois de mars. Nous menons aussi une réflexion plus macro qui consiste à réutiliser les packs de conformité que nous avons développés ces dernières années. Le but est de créer un référentiel sectoriel qui permettrait d’éviter quelques démarches aux entreprises qui y adhèrent. Ainsi, les entreprises sauront exactement ce que le régulateur attend en termes de conformité dans leur secteur, en fonction des usages.
Les « guidelines », les guides de bonnes pratiques publiés par le G29 [l'organisme qui fédère les Cnil européennes, présidé par Isabelle Falque-Pierrotin jusqu'en février 2018] pour aider les entreprises à interpréter le texte, ne sont pas toutes sorties. De fait, beaucoup de sociétés se plaignent de ne pas pouvoir se mettre en conformité car elles n’ont pas les outils nécessaires…
Je rappelle que le G29 n’avait aucune obligation de sortir des guidelines. Normalement, un règlement est applicable dès qu’il est voté. Or, l’UE a laissé un délai de deux ans. Nous avons pris l’initiative de rédiger des guidelines sur les sujets clés car nous craignions que la complexité du texte amène à des interprétations différentes de la part des autorités nationales. Ces guidelines ont été élaborées en coconstruction avec les fédérations professionnelles. Leur but est d’être souples, utiles, et de coller aux usages du terrain. Elles arrivent tard car elles ont demandé un travail monstrueux de dialogue avec les acteurs. Les entreprises peuvent déjà se féliciter de les avoir.
Allez-vous commencer votre travail de contrôle et de sanction dès le 25 mai, tout en sachant que la plupart des entreprises ne sont pas en situation de conformité ?
Le RGPD ne part pas d’une feuille blanche. Un certain nombre de principes liés à la gouvernance des données existaient déjà, comme la finalité du traitement des données par exemple. Nous les contrôlerons donc comme avant, car les entreprises sont déjà censées les avoir intégrés. La méthode sera la même : soit nous réagirons à des plaintes – nous en recevons 8.000 par an -, soit nous diligenterons nous-mêmes des contrôles, qui peuvent déboucher sur des sanctions.
En revanche, nous souhaitons faire preuve de pragmatisme et de bienveillance pour les principes nouveaux du règlement, comme le droit à la portabilité ou l’obligation de mettre en place un registre, car il faut laisser aux entreprises le temps de se les approprier. Le but d’un régulateur n’est pas d’afficher un tableau de chasse de sanctions. Dans un premier temps, nous privilégierons l’accompagnement et l’explication.
Aurez-vous une tolérance plus forte envers les PME qu’envers les grands groupes et les géants du Net, par exemple ?
Nous raisonnons au cas par cas. Une PME suscite bien sûr une certaine réserve, mais cela ne veut pas dire qu’on laissera passer n’importe quoi. Imaginez une PME dans l’économie des données de santé qui laisse passer une faille de sécurité considérable. Dans un tel cas, nous serions forcés de réagir vite. Il ne faut pas tomber dans des automatismes.
Le RGPD oblige les structures qui utilisent des données à grande échelle à recruter un Data Protection Officer (DPO). Mais il n’y a pas assez de DPO… Comment faire ?
J’entends cette difficulté, mais je crois aussi que les DPO vont « se faire » sur le terrain. Ce nouveau métier, central, nécessite des compétences transversales. Des formations se mettent en place dans tous les pays européens. Mais les entreprises peuvent aussi faire évoluer un profil existant. Le DPO peut être un juriste, un technicien, un CIL (correspondant informatique et libertés)… Son positionnement doit à la fois être proche des métiers et branché sur la chaîne de décision pour qu’il ne soit pas un personnage de paille et que ses recommandations soient suivies.
Avec le RGPD, le marché de la conformité explose. Vous avez d’ailleurs mis en garde contre la multiplication des arnaques…
Ce marché n’est pas nouveau mais il prend de l’ampleur. De nouveaux outils et programmes de conformité émergent à partir des règlements européens. À certains égards, je m’en réjouis car il n’y avait pas suffisamment d’acteurs investis dans l’opérationnalisation des principes européens. Cette activité peut être complémentaire de celle des régulateurs. Depuis quatre ans, nous émettons des labels qui prennent la forme de référentiels en fonction des secteurs. À présent, nous voulons progressivement passer des labels à une véritable certification, en s’appuyant sur des certificateurs privés. Cela permettra de mieux encadrer ce marché et de réduire les arnaques. Il est vrai que certains pratiquent un grossier marketing de la peur en accentuant les difficultés du RGPD pour vendre des prestations parfois inutiles à un prix exorbitant. Face à cela, nous rappelons que tout n’est pas nouveau : si vous êtes en conformité avec les réglementations précédentes, le RGPD ne nécessite qu’un travail de toilettage. Les entreprises doivent rester vigilantes, vérifier la crédibilité de leur interlocuteur et utiliser nos outils sur notre site pour identifier leurs besoins de conformité.
Vous insistez sur les nouveaux droits que le RGPD offre aux citoyens pour mieux contrôler leur vie numérique. Mais les usages révèlent une attitude paradoxale : d’un côté les citoyens se méfient des acteurs qui « aspirent » leurs données de manière non transparente, de l’autre ils continuent d’utiliser en masse ces services…
Le « privacy paradox » est une réalité mais je crois que le RGPD arrive à point nommé pour appuyer un changement de culture vis-à-vis des données personnelles. Il y a de plus en plus de bloqueurs de publicité. De plus en plus de profils Facebook ferment, ce qui n’était pas le cas il y a quelques années. On sent bien que les services qui se présentent comme plus respectueux des données recueillent de plus en plus d’intérêt. Il est vrai que beaucoup de droits existants, comme le droit d’accès ou le droit de rectification, sont peu utilisés, en grande partie car ils restent peu connus. Mais le droit à l’oubli sur les moteurs de recherche est un vrai succès en France et en Europe. Je suis également persuadée que le nouveau droit à la portabilité des données, ainsi que la possibilité de recours collectifs face aux acteurs qui ne respectent pas leurs obligations, vont être plébiscités. Le RGPD va accélérer cette prise de conscience, qui est pour l’heure marginale. C’est un vrai choix politique de la part de l’Union européenne.
Dans quel sens ?
Avec le RGPD, nous affirmons une certaine vision de l’innovation. Contrairement à ce qui peut être dit, le règlement ne freinera pas l’innovation, bien au contraire. Commercialement et stratégiquement, l’idée de l’Europe est de bâtir une innovation robuste parce qu’elle est construite sur le respect des droits, qui sont pris en compte en amont. Bien sûr, il y aura toujours des paradis de la donnée. Mais est-ce le modèle que l’Europe veut construire ? Non. Le RGPD incarne un modèle d’innovation durable.