RGPD : que s’est-il passé depuis le 25 mai ?

Depuis le 25 mai 2018, les entreprises ont l’obligation de se conformer au Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais). Deux mois après, faisons le point ! Quel a été l’impact sur les organisations ? Quelles sont les perspectives ?

Le RGPD est une réglementation européenne qui vise à redonner aux citoyens le contrôle sur l’usage de leurs données personnelles. Adoptées par le Parlement européen le 14 avril 2016, en remplacement de la directive de 1995 devenue obsolète avec l’avènement du Big Data, les dispositions contenues dans le RGPD sont entrées en vigueur dans tous les États membres de l’UE le 25 mai 2018.

Du jour au lendemain, tout devait donc changer pour les entreprises. Pourtant, force est de constater que deux mois après certaines organisations sont encore en train de s’adapter tant bien que mal aux nouvelles dispositions du RGPD. Et le manque d’anticipation n’est pas la seule explication à la cacophonie ambiante.

• Des notions soumises à interprétation

Le RGPD est un texte éminemment complexe qui comporte de nombreuses notions pouvant donner lieu à de multiples interprétations. Il y a par exemple une grande diversité d’appréciation entre les entreprises et leurs sous-traitants sur leur niveau de responsabilité ou de co-responsabilité dans le traitement des données. Cela entraine d’âpres négociations entre les différents acteurs d’un même écosystème, ce qui ralentit du même coup la mise en application du RGPD pour certaines entreprises. Certaines entreprises vont même jusqu’à mettre en avant certaines interprétations du RGPD de façon à rejeter l’ensemble de la responsabilité auprès de leurs sous-traitants. Hors, s’agissant de « règlementation » les choses devraient être claires et ne pas donner lieu à négociation.

• Des dispositions juridiques difficilement applicables en pratique

La problématique qui pèse sur les entreprises, c’est d’essayer d’obtenir le consentement de toutes les personnes dont elles détiennent des données personnelles, et de s’assurer que toute la chaine de sous-traitants et prestataires auxquels elles font appel, ont bien mis en place un dispositif répondant aux exigences du RGPD le. Pour les plus grandes entreprises, dont le nombre de clients et de fournisseurs peut être très important, la quantité de démarches dont elles font l’objet ou qu’elles doivent elle-même effectuer est faramineuse ! Le suivi de ces mêmes démarches afin de répondre aux sollicitations ou récupérer les avenants ou autres documents qu’elles ont envoyés l’est tout autant.

L’autre difficulté est l’harmonisation des pratiques de mises en conformité. Dans le cas d’un fournisseur qui travaille pour différentes entreprises, si chacune lui impose une façon différente de fonctionner, cela devient humainement et techniquement ingérable.

• Des conseils et accompagnements souvent approximatifs

L’inquiétude autour de l’entrée en vigueur du RGPD, nourrie par la complexité apparente des textes, a créé un effet d’aubaine dans le secteur du conseil et des services aux entreprises. De nombreuses structures se sont vues ainsi mal accompagnées pour préparer le passage au RGPD et doivent aujourd’hui rectifier le tir. Exemple : une société dans le domaine du marketing s’est vue conseiller de demander massivement le jour J leur consentement à toutes les personnes physiques dont elle disposait de données personnelles. Qu’est-ce qu’il s’est passé ? Pratiquement personne n’a répondu, car tout le monde a été submergé de demandes. Résultat : D’un point de vue RGPD, la société ne peut plus utiliser sa base de données, pilier de son activité.

De nouvelles perspectives en matière de gouvernance de la donnée

À partir du 25 mai 2018, les organismes publics et les sociétés qui traitent de larges volumes de données sont dans l’obligation de nommer un Délégué à la Protection des Données (DPO). Pour les autres entreprises, même si ce n’est pas obligatoire, la nomination d’un DPO est fortement recommandée.

Cette nouvelle fonction de DPO est extrêmement impactante pour l’entreprise. Grâce à sa vision juridico-technique, le DPO apporte une nouvelle maturité dans la gestion des données. Il amène les différents départements de l’entreprise à repenser les processus, à faire évoluer la sécurisation des systèmes d’information et à adapter les outils métier qui ne prévoient pas tous la suppression fine des données. Il s’agit là d’un point important. Les systèmes d’informations, les logiciels, notamment ceux intégrés dans les différents équipements d’un réseau de télécommunication, n’ont pas été créés avec un dispositif permettant de répondre aux besoins du RGPD. L’effacement échelonnée de données ayant chacune une durée de conservation différente est un vrai casse-tête. Il va falloir attendre les mises à jour, si tant est que cela soit possible, ou changer d’équipement, ce qui peut engendrer des coûts substantiels pour l’entreprise.

Un conseil : se rapprocher de la CNIL !

J’invite les entreprises rencontrant des difficultés dans la mise en application des dispositions du RGPD à prendre attache avec la CNIL, consulter les fiches pratiques et  utiliser ou s’inspirer des outils qu’elle met à disposition sur son site. L’avantage est de bénéficier de la vision pragmatique d’une autorité qui a fait ses preuves depuis longtemps sur le sujet des données personnelles.