Grand entretien – RGPD, deux ans après où en est-on ?

Le 25 mai 2018 entrait en application le règlement général pour la protection des données (RGPD). Qu’en est-il deux ans après ? Quels sont les impacts sur le quotidien des entreprises ? Pour en savoir plus, nous avons interrogé Philippe Debry et Édouard Lemoalle du cabinet FIDAL.

Avec le recul, qu’est-ce que le RGPD a changé pour les entreprises ?

Philippe Debry. Tout. Depuis deux ans, tout a changé. Avant 2018, il suffisait de faire une déclaration, puis de classer le dossier. Aujourd’hui, les entreprises doivent continuellement démontrer que toutes les fonctions de l’entreprise (Marketing, Achats, Communication, DSI, etc.) exercent leur métier conformément à la réglementation. Et cela change tout. Notamment pour l’ancien métier de CIL (correspondant Informatique et Libertés), devenu Délégué à la protection des données (DPO) avec le RGPD. On ne s’en est pas rendu compte immédiatement, mais il est clair, deux ans après, que le DPO est devenu une fonction à part entière de l’entreprise. Les Directions générales commencent en tout cas à avoir pleinement conscience de son rôle pivot dans les organisations. On pourrait presque parler du DPO comme un « Commissaire à la donnée » finalement.

———————————————-

« Désormais, le RGPD fait partie du temps

des négociations commerciales, au même titre

que les tarifs ou les délais de livraison. »

———————————————-

Édouard Lemoalle. Le métier de DPO est effectivement devenu un métier à temps plein. Et j’avoue que c’est une surprise. Comme beaucoup, je pensais qu’il y aurait une vague RGPD qui passerait au bout d’un ou deux ans. Mais aujourd’hui, on sait qu’il n’en est rien. Le DPO est devenu une véritable spécialité pour les avocats, comme certains font du droit fiscal ou du droit social. Pourquoi ? Parce que le RGPD intéresse TOUTE l’entreprise, de l’opérationnel à la Direction générale. Dans l’ancien régime de 1978, il suffisait d’inscrire la clause de protection des données dans les contrats, au même titre que la clause de force majeure, et cela suffisait. Désormais, le RGPD fait partie du temps des négociations commerciales. On négocie les clauses de protection des données bien en amont, comme on négocierait les tarifs ou les délais de livraison.

Comment expliquez-vous ce changement de paradigme ?

Philippe Debry. Avec le recul, on remarque différentes phases dans le RGPD. Le changement ne s’est pas opéré immédiatement. Il y a eu d’abord le temps de la cartographie, l’étude de l’existant, pour savoir où se trouvaient les données dans l’entreprise et comment elles étaient exploitées. Ce travail s’est étalé sur les années 2018 et 2019. Maintenant, je dirais que nous sortons de cette première phase avec une nouvelle maturité sur la question de la donnée. Tous ceux qui ont entamé la démarche avec sérieux savent de quoi ils parlent. Mais nous entrons dans quelque chose de beaucoup plus délicat à gérer, qui est la mise à jour continuelle de la conformité.

Édouard Lemoalle. Le montant des sanctions de la CNIL aide sans doute aussi à faire évoluer les entreprises en matière de gestion des données personnelles. Cependant, je ressens davantage une évolution sociologique du droit que juridique en tant que telle. Les consommateurs, les clients, sont beaucoup plus attachés à la question de l’utilisation de leurs données aujourd’hui qu’ils ne l’étaient avant 2018. Le risque du contrôle CNIL ajoute un aspect psychologique important de réputation.  Avant, une entreprise qui se faisait contrôler par la CNIL, c’était un peu comme un contrôle URSSAF. Aujourd’hui, la CNIL n’hésite plus à faire du « name shaming », à dénoncer publiquement ceux qui ne respectent pas le RGPD. Cela peut mettre en péril l’activité d’une entreprise, en l’atteignant dans son capital image, dans son capital éthique.

———————————————-

« Données de santé, géolocalisation

et cookies/traceurs seront les trois

thématiques ciblées par la CNIL en 2020. »

———————————————-

Philippe Debry. Sans oublier le fait que la plupart des entreprises ont entamé leur transformation digitale. Elles utilisent de plus en plus de solutions informatiques puissantes, intrusives et développent des offres de services qui s’appuient sur les données personnelles. Le DPO est donc de fait beaucoup plus sollicité. Et comme on ne peut plus jouer avec les données personnelles sans prendre le risque majeur d’une sanction CNIL, ni se permettre d’avoir une fuite de données ou d’être victime de cyberattaque, il faut passer du temps avec les opérationnels chargés de mettre en place les nouvelles solutions, avec la Direction marketing et avec la direction des différents sites de production. Cela diffuse peu à peu dans les organisations une nouvelle culture d’entreprise, centrée data, avec de nouvelles relations entre le juridique, le management et la technique.

Quels sont les chantiers en cours ou les prochains défis à relever selon vous ?

Édouard Lemoalle. Les orientations de contrôles de la CNIL donnent une assez bonne idée du paysage actuel des chantiers à mener1. Les trois thématiques prioritaires pour la CNIL en 2020 sont les données de santé, la géolocalisation pour les services de proximité, ainsi que les cookies et traceurs de navigation utilisés pour le ciblage publicitaire. Après la sécurité informatique, qui avait fait l’objet de la majorité des contrôles en 2018 et 2019, c’est au tour du marketing d’être particulièrement scruté, avec ce point central du recueil du consentement des clients.

Évolution des sanctions de la CNIL depuis 2011

Source CNIL / AFP

Philippe Debry. Je suis d’accord, la problématique du consentement est le gros chantier du moment. En dehors de son rôle de gendarme, la CNIL a tenté d’être plus explicite avec un certain nombre de sujets, au départ très flous. Et par voie de conséquence, la CNIL demande aux entreprises d’être plus explicites vis-à-vis de leurs utilisateurs sur la manière dont sont gérées leurs données personnelles. Toute la question est de savoir comment obtenir le consentement clair des parties prenantes et, d’autre part, comment être certain qu’en interne l’utilisation de ces données est bien conforme à ce qui est affiché. Cela demande un énorme travail de coopération entre le DPO, l’opérationnel en charge des solutions et les différents partenaires projets, si l’entreprise est allée chercher des ressources à l’extérieur.

L’autre élément sur lequel je voulais insister, c’est l’aspect transfrontalier de la protection de la donnée. Et ce chantier-là, il est plutôt devant nous. Depuis 2018, nous avons beaucoup raisonné CNIL, mais nous le savons tous, il va falloir arriver à une position homogène en Europe. Car beaucoup de pays peuvent être impactés par la gestion des données d’une seule entreprise. L’exemple de Google est un cas d’école, mais il n’est pas le seul à plus petite échelle. Selon moi, le gros chantier de demain, c’est l’uniformisation, la mise en cohérence du marché de la donnée.

Édouard Lemoalle. Sinon, côté « métier », la tendance pour les DPO est de s’équiper en outils de pilotage spécifiques. Il y a deux ans, on pensait pouvoir tout gérer avec un tableau Excel, mais l’expérience montre que la complexité des sujets autour du RGPD, combinée aux risques majeurs pour l’activité en cas de non-conformité, impose de nouveaux outils métiers. Face à la volumétrie des données, le DPO peut vite être asphyxié. Le fait d’avoir un outil de suivi performant démontre la rigueur de l’entreprise, la solidité de la conformité mise en place en cas de contrôle, et allège considérablement le quotidien du DPO.