En ce moment, c’est incessant : les e-mails qui réclament l’approbation de nouvelles conditions d’utilisation pleuvent. Boutiques en ligne, administrations, services publics, musées, agences de voyage, banques, applications… Les expéditeurs sont divers mais tous sont animés par le même dessein : se mettre en conformité avec les nouvelles dispositions européennes imposées par le règlement général sur la protection des données (RGPD), qui entre en application ce vendredi 25 mai.
Or l’exercice n’est pas aisé, tant le texte vient changer la donne en matière de protection des données. Au théâtre TJP de Strasbourg par exemple, Christian Nicolas, responsable de la communication et des relations presse de l’établissement, l’admet :
« On découvre un peu ce truc… C’est clair qu’on dépassera la date d’entrée en application, c’est impossible pour des petites structures comme la nôtre de la respecter ! Nous avons une formation prévue au sujet du RGPD. Du côté de la billetterie notamment, on le sait déjà : c’est un gros, gros travail qui nous attend. »
L’ARSEA, l’association régionale spécialisée d’action sociale d’éducation et d’animation, n’en mène pas beaucoup plus large. Un membre de sa direction explique que si la mise en conformité est bel et bien lancée, le processus est encore loin d’être achevé, malgré les appels répétés de l’exécutif européen à accélérer le mouvement :
« L’association s’est saisie de la question en lien avec les fournisseurs des logiciels métiers, les prestataires informatiques… La mise en conformité est prise en compte dans le cadre de la modernisation de notre système d’information, actuellement en chantier. »
Nombreuses sont les structures en Alsace dans la même situation, à en croire le nombre d’interviews (plus d’une douzaine) refusées au sujet du RGPD – au motif que « c’est trop tôt » ou « trop sensible. » En réalité, beaucoup d’entreprises, d’associations ou d’institutions ne sont tout simplement pas prêts, parce qu’ils découvrent un peu tard l’ampleur des données personnelles en leur possession.
« Tous nus dans un aquarium »
Si le RGPD fait si peur, c’est d’une part car il impose bon nombre de nouvelles obligations, parfois coûteuses et complexes, à mettre en place pour les différents acteurs, et d’autre part, car les amendes qui risquent de tomber en cas de non-respect de ces règles sont importantes. Elles peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial (le montant le plus élevé est retenu).
L’Union européenne invoque la défense de l’intérêt général et la commissaire en charge du dossier, Vera Jourova, responsable de la Justice et de la Protection des consommateurs, d’assurer :
« Les données personnelles sont l’or du XXIe siècle. À chacun de nos pas, nous laissons des données personnelles derrière nous. Au bout du chemin, les gens se retrouvent nus dans un aquarium. Alors, aucun doute : nous allons dans la bonne direction. Avec le RGPD, nous faisons ce qui est bon pour l’Europe. Ce texte redonne le contrôle de leurs données aux Européens. »
Concrètement, cette nouvelle réglementation européenne s’applique à toutes les entreprises et organisations présentes dans l’UE, mais aussi à toutes celles qui traitent des données de résidents de l’Union. C’est-à-dire toute information qui se rapporte à une personne physique identifiable, comme le nom, l’adresse e-mail, le téléphone, le numéro de sécurité sociale, l’appartenance religieuse, etc. L’Union européenne étant le marché de consommateurs le plus riche du globe, ce règlement s’étend de fait à toute la planète.
Le RGPD vient remplacer une directive de 1995, dont les dispositions sont transposées en France dans la loi dite « informatique et libertés », déjà modifiée à plusieurs reprises. Le RGPD donne plus de droits aux citoyens européens, comme celui à la portabilité des données (le droit de transmettre ses données d’une plateforme vers une autre) ou à l’oubli (le droit de faire effacer une information d’un site ou d’un moteur de recherche).
Côté entreprises, l’important est maintenant de pouvoir démontrer à tout moment la conformité des traitements de données effectués. En d’autres termes, elles doivent être en mesure de prouver à chaque instant que chaque donnée détenue a été cédée de manière consentie par celui qu’elle concerne et pour un usage préalablement défini. C’est la notion de « consentement éclairé, » centrale dans le texte, comme l’explique Ralph Roggenbuck, juriste au sein de la branche française du Centre européen des consommateurs :
« Il faut dans tous les cas recueillir le consentement des utilisateurs / consommateurs, quitte à le redemander. Il doit être libre, spécifique et informé. Si le consentement n’est pas conforme au RGPD ou s’il ne peut être prouvé, les données doivent être effacées. Il n’y a pas d’autre option. »
« Le RGPD réveille les esprits »
Face à ces nouvelles obligations, beaucoup d’organismes font appel à des entreprises qui se sont spécialisées dans la mise en conformité avec le RGPD. À Schweighouse-sur-Moder, à côté d’Haguenau, ActeCil se revendique « l’expert conformité au RGPD ». L’entreprise, qui travaille avec des clients aux profils variés (aussi bien des multinationales que des bailleurs sociaux, des mairies que des artisans) dessine dans un premier temps une « cartographie des données » de ses clients, qui fait office d’état des lieux, avant d’aider à la mise en place d’un registre de traitements des données, qui devient obligatoire dans une grande majorité de cas.
Elle se charge aussi de sensibiliser les équipes sur place à la problématique de la protection des données personnelles ainsi que d’adapter la protection des systèmes utilisés. Maxime Salaun, juriste consultant chez ActeCil, explique :
« Cette mise en conformité avec le RGPD peut être vue comme un boulet procédural, mais on peut aussi louer sa vocation structurante au sein des entreprises. Rares sont celles qui, à l’heure actuelle, sont capables de dire exactement ce qu’il advient des données qu’elles traitent. Le RGPD réveille les esprits. Et quand on voit le dévoiement des données opéré par exemple par Facebook, cette tentative de retrouver une traçabilité est bienvenue. C’est aussi important que de savoir d’où vient la viande ou les légumes que l’on mange ! »
« C’est 10 000€ la conformité »
Pour un état des lieux et une mise en conformité globale au sein d’une petite ou d’une moyenne entreprise (PME), ActeCil demande environ 10 000 euros, pas moins. Une somme non négligeable. D’autant que comme en témoigne le juriste Ralph Roggenbuck, les enjeux liés à la protection des données ne sont souvent pas en haut de l’agenda – ni des budgets – des structures concernées par le RGPD :
« Beaucoup d’entre elles ont tellement d’autres problématiques à gérer que jusqu’ici, la mise en conformité avec le RGPD ne leur est pas apparue comme une priorité. Certains ont repoussé l’échéance jusqu’au dernier moment. Soudain, on se rend compte de ce qu’est une donnée personnelle, beaucoup découvrent totalement ce genre de notion… »
Qui plus est, la mise en conformité avec le texte peut engendrer des dérapages, comme l’évoquait la commissaire européenne Vera Jourova dans une interview accordée au magazine Le Point :
« S’agissant des entreprises, des peurs circulent sur le fait que des PME pourraient faire face à des amendes substantielles si elles ne sont pas prêtes le 25 mai. Ces peurs ne sont pas fondées et sont majoritairement alimentées par des consultants ou avocats spécialisés qui souhaitent vendre leurs services. Les entreprises honnêtes, et dont le cœur de métier n’est pas d’analyser à grande échelle des données personnelles, n’ont aucune raison de s’inquiéter. »
À Strasbourg, l’avocate Caroline Zorn s’emploie elle aussi à faciliter la mise en conformité de ses interlocuteurs avec le règlement. L’auteure d’une thèse intitulée « Données de santé et secrets partagés » a évoqué l’épineux sujet du RGPD avec la totalité de ses clients professionnels. Les premières discussions remontent à plus d’un an. Elle se défend de jouer les oiseaux de mauvais augure auprès de ceux qui ne se sont pas encore conformés au nouveau texte :
« Moi, je leur dis que ce n’est pas grave, le principal, c’est de lancer la machine. Il faut convoquer une assemblée générale avec un point RGPD à l’ordre de jour, établir une feuille de route pour aller vers la mise en conformité. Bien sûr, c’est une surcharge de travail, mais cela permet d’avoir une trace. Si on peut prouver sa bonne foi à la CNIL, elle n’ira pas plus loin, du moins dans un premier temps. »
Une « démarche d’accompagnement »… avant les amendes
La CNIL, l’autorité de protection des données en France, comme la Commission européenne, expliquent être, pour l’heure, dans une démarche « d’accompagnement ». Comprendre : des avertissements précéderont les amendes administratives. Mais quelles que soient les méthodes utilisées pour parvenir à la mise en conformité, cette dernière donne du fil à retordre aux professionnels. À la Compagnie des transports strasbourgeois (CTS) par exemple, on ne cache pas que le chemin vers la légalité a été semé d’embûches :
« Cela a été compliqué au sens où le sujet a demandé un très gros travail dont l’ampleur n’a été connue qu’à mesure que les textes se sont précisés. Le temps imparti a donc été une contrainte forte eu égard au travail à fournir. Le RGPD a supposé de passer au crible tous les fichiers, petits et grands, quel que soit le type d’outils dans lesquels les données personnelles figurent, et cela représente mécaniquement beaucoup de travail… »
Même son de cloche chez Hager, groupe spécialisé dans les pièces électriques qui emploie pas moins de 2 600 personnes en Alsace, sur ses sites d’Obernai, de Saverne et de Bischwiller, où Cécile Mora, responsable de la communication, explique :
« Pour un grand groupe comme le nôtre, le processus de mise en conformité est très lourd. Chez nous, on a commencé à y travailler dès janvier 2017. Nous avons pris conscience très tôt de l’importance de se mettre en ordre de bataille. On a pris la chose au sérieux. »
Un sérieux de mise alors que même l’Union européenne n’en a pas fini de légiférer en matière de meilleure protection des données personnelles. Au prochain épisode : un règlement dit « e-privacy », visant à renforcer le respect de la vie privée dans les communications électroniques comme WhatsApp, Facebook Messenger, Skype ou iMessage…
Chargement des commentaires…