Le 12 et 13 mars derniers a eu lieu la 7ème édition du Salon Big Data au Palais des Congrès à Paris. Le Digital Corner était au rendez-vous et a déjà rédigé cet article pour vous rendre compte des thématiques abordées. Parmi ces dernières, le Règlement Général sur la Protection des Données (RGPD) était un sujet récurrent des conférences, tables rondes et ateliers. En effet, le 25 mai 2018 est l’échéance fixée par les autorités européennes pour l’applicabilité du règlement.
Mais d’abord, en quoi consiste le RGPD ?
Cette règlementation est le fruit de quatre années de négociation au sein de la commission des libertés civiles du Parlement Européen. La version actuelle du RGPD a été publiée en 2016, un délai de deux ans a été retenu pour son application afin de permettre aux entreprises de prendre les mesures et les directives nécessaires pour être conformes. Le texte s’inscrit dans une démarche de modernisation et d’uniformisation des lois sur la protection de données personnelles dans les différents pays membres de l’Union Européenne.
Ainsi, le RGPD vise à garantir un certain nombre de protections aux citoyens européens. Par exemple, le droit à l’oubli permet à un individu d’exiger l’effacement de ses données par une entreprise dans les meilleurs délais. Autre exemple, le droit à la portabilité qui facilite le changement de société gestionnaire de données. Le règlement impose également aux entreprises d’instaurer une sécurité par défaut et de prendre en compte les risques liés à la sécurité des données personnelles dès la conception de leurs produits et/ou services. Lorsqu’elle compte plus de 250 employés, l’entreprise se doit de nommer un Data Protection Officer (DPO), en français, un délégué à la protection des données et se doit de notifier les autorités et les utilisateurs en cas d’une atteinte aux données qu’elle manipule suite à une attaque extérieure. Ces règles s’appliquent à toute entité privée ou publique impliquée dans la gestion de données personnelles de citoyens européens, quel que soit le pays de provenance de l’entité.
En implémentant le RGPD, l’Europe tient une position pionnière en matière de protection des données. En effet, le RGPD représente la première initiative de grande envergure s’inscrivant dans une démarche globale et pérenne de protection des données. Lorsque l’on compare à l’outre-Atlantique, la différence d’approche vis-à-vis de la gestion des données personnelles est culturelle. En Europe, et en France en particulier, les citoyens sont particulièrement sensibles à la protection de leurs données. Ces dernières sont considérées comme relevant de la propriété privée d’une personne. Et c’est justement dans l’optique de rendre aux utilisateurs le contrôle sur leurs données qu’a été élaboré le RGPD. Aux Etats-Unis, quelques dispositifs fédéraux punissent les violations des données relatives aux enfants et les pratiques déloyales et frauduleuses, y compris celles relatives aux données personnelles. Mais les régulations y sont disparates, vagues, complexes, et peuvent différer d’un état à un autre. Quant à l’Asie, les problématiques de protections de données commencent à faire l’objet de régulations strictes à l’image des initiatives européennes.
Au-delà de la contrainte, les opportunités ?
L’environnement mondialisé dans lequel évoluent les entreprises et l’implacabilité du RGPD sur la sécurité digitale des citoyens européens sont deux raisons qui rendent très probable l’adoption du RGPD par les autorités de régulations d’autres pays non européens. De manière évidente, cela produit des contraintes pour les entreprises. On pourrait même être amené à penser que le RGPD peut constituer un frein à l’innovation.
En effet, les entreprises sont tenues de répertorier l’ensemble des données personnelles en leur possession, leurs sous-traitants et leurs processus de gestion des données. Si cela représente une certaine charge de travail pour l’entreprise, c’est également une occasion pour certaines entités de mettre en valeur les données qu’elles possèdent, et d’établir une relation de confiance avec les utilisateurs.
Lors du discours d’ouverture du salon Big Data Paris, le Secrétaire d’Etat chargé du numérique Mounir Mahjoubi a déclaré rêver que « chacun devienne un data hacker de ses propres données ». Le RGPD présente une opportunité pour les entités aussi bien privées que publiques d’adopter une approche Data-centrée, et d’utiliser la donnée pour mieux comprendre ses utilisateurs, ses clients ou ses employés. C’est une occasion de remettre en question le fonctionnement des entreprises afin de proposer des solutions/services innovants, optimiser l’expérience utilisateur, voire même repenser son business model.
Comme l’a expliqué Cédric Villani aux mardis de l’ESSEC, Le RGPD établit également les socles de sécurité et de confiance nécessaires pour décomplexer les relations entre les institutions et leurs utilisateurs. En effet, la sécurité de ces derniers est garantie par la loi. L’obligation de transparence avec le consentement positif permet aux individus d’être informés de l’utilisation qui sera faite de leurs données. Cet exercice de transparence a beaucoup d’importance aux yeux du public dans la mesure où l’omniprésence des algorithmes d’analyses de données et leur surexploitation mènent bien souvent à des démarches intrusives auprès des clients de la part des entreprises. En effet, selon une enquête conjointe de la MAIF et de l’agence de communication Reputation Squad, « 87 % des Français redoutent des abus de la part des entreprises collectant leurs données personnelles ».
Mais alors où en sont les entreprises ?
Si une bonne partie des entreprises perçoivent ces opportunités, 30 % des dirigeants d’entreprises françaises considèrent que le RGPD a un impact minimal sur leurs activités, d’après un sondage réalisé par le Cabinet Baker McKenzie et l’Association Internationale des Professionnels de la Privacy (IAPP).
A quelques semaines de la date butoir, cela constitue un chiffre élevé d’autant plus que 99% des entreprises sont concernées par cette réglementation et que les sanctions en cas non-conformité sont sévères. En effet, Les risques encourus vont peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaire mondial de l’entreprise qui serait jugée non conforme. C’est donc tout naturellement que la question de la préparation des entreprises se pose. Le cabinet Baker Mckenzie estime qu’entre 15 et 30 % des entreprises françaises seraient conformes au RGPD le 25 mai 2018. Selon Yann Padova, Partner chez Baker Mckenzie, de nombreux facteurs expliquent ce faible taux : le manque de pédagogie de la part des autorités qui n’accompagnent pas suffisamment les entreprises dans cette transformation, le coût de cette transformation ou encore un cadre légal peu clair, puisque la loi n’a pas encore été adoptée au sénat bien qu’elle ait déjà été adoptée à l’assemblée nationale.
Les différentes interventions lors du Salon Big Data ont permis de constater que le sujet est bien mieux maîtrisé par les grandes entreprises, puisque celles-ci ont plus de moyens et peuvent mener des actions à large échelle. Gérôme Billois, directeur de la practice Cybersecurity and Digital Trust chez Wavestone, estime que le RGPD nécessite entre trois et quelques dizaines d’employés à temps plein, en fonction de la taille de l’entreprise, de son domaine d’activité et de la quantité de données personnelles qu’elle manipule. Quant aux coûts de la mise conformité, ils peuvent varier entre 15 et 50 millions pour les grandes entreprises. Par exemple, Wavestone accompagne un acteur de l’énergie dans la mise en conformité d’une de ses divisions. A l’occasion, onze consultants à temps plein ont été mobilisés pour une durée de neuf mois afin d’accompagner la division dans la réévaluation de ses processus projets, d’instaurer systématiquement une évaluation des risques liés à la vie privée des utilisateurs et d’intégrer les principes du RGPD à chaque étape de projet.
Quant aux PME, Sophie Nerbonne, juge de conformité à la CNIL, souligne qu’il est important de les accompagner tout au long du processus de mise en conformité. Le RGPD reprenant les principes de protection des données de la loi Informatique et Libertés de 1978, La juge de conformité affirme que certaines PME accusent un retard de 40 ans sur la protection des données de leurs utilisateurs. En outre, Il est intéressant de constater que les entreprises font preuve d’un certain sens de recul vis-à-vis du RGPD. En effet, tous conçoivent bien que le 25 mai 2018 n’est pas une échéance mais une étape de la mise en conformité. La CNIL affirme qu’il n’y aura pas de sanctions les premiers mois en cas de manquements au RGPD, mais il faudra faire preuve de bonne foi en ayant engagé une démarche et une roadmap de mise en conformité.
Par ailleurs, la CNIL elle-même ne sera pas prête pour le 25 mai puisqu’elle ne dispose que de 22 contrôleurs et 200 fonctionnaires pour plus de quatre millions d’entreprises françaises. Mais si elle affirme qu’elle sera indulgente au début, les entreprises se trouvent malgré tout exposées à de nouveaux risques liés à la gestion qu’elles font des données de leur clients, puisque des individus ou des associations pourront engager des poursuites judiciaires soutenues par un cadre légal clair. Et au-delà de la dimension légal, la conformité au RGPD pourrait s’imposer comme un facteur de confiance économique, comme on a pu l’observer avec Facebook qui a perdu 93 milliard de dollars de valeur boursière en quelques semaines, suite au scandale d’utilisation de données personnelles par l’entreprise britannique Cambridge Analytica.