Chaque seconde, 29.000 gigaoctets d'information sont publiés dans le monde : Moteur d'une nouvelle révolution industrielle, les données sont souvent considérées comme le « new gold » ou le « new oil ». Si les données sont effectivement vectrices de richesses - le seul marché du big data en France est évalué à 2,5 milliards d'euros pour 2018 -, elles supplantent l'or ou le pétrole par bien des aspects : il s'agit d'une ressource infinie et qui peut être partagée sans dépossession.

Face à l'évolution des technologies permettant, tant aux entreprises qu'aux pouvoirs publics, d'amasser et traiter des données personnelles d'une variété et d'un volume jusqu'à présent inconnu, l'Union européenne a adopté une réglementation innovante pour répondre aux nouveaux enjeux de protection des données personnelles. Plus grande évolution juridique dans le domaine depuis une génération, le règlement général sur la protection des données personnelles ou RGPD (Règlement général de la protection des données), adopté le 27 avril 2016, est applicable depuis le 25 mai 2018.

Un niveau de sanction qui inquiète les directions générales

Comme peu de textes réglementaires, le RGPD suscite crainte et anxiété au sein des directions générales des entreprises.

Jouant de la peur des sanctions, jusqu'à 4% du chiffre d'affaires mondial ou 20 millions d'euros (la valeur la plus importante étant retenue), et de l'échéance du 25 mai 2018, les consultants juridiques ou IT, souvent de qualité, parfois improvisés ont fait - et font - florès auprès des DSI, directions juridiques ou directions de la conformité.

Si le niveau des sanctions est un puissant teaser pour capter l'attention des entreprises, la consécration par le RGPD du principe d'accountability(*) constitue également une révolution.

Internalisation des outils de la conformité

Alors que le système français se fondait sur un principe d'autorisations ou de déclarations Ex Ante, désormais, la protection des données personnelles repose sur une logique de contrôle Ex Post par la CNIL facilitée par les obligations de transparence, au premier rang desquelles figure le registre des activités de traitement.

Le règlement impose ainsi aux entreprises d'internaliser les outils de la conformité et d'être, à tout moment, en mesure de démontrer celle-ci.

Plus une évolution qu'une révolution

Alors, pourquoi, face à l'ampleur du changement, à la gravité des peines promises, n'est-il pas trop tard pour se préparer au RGPD alors que l'échéance du 25 mai est dépassée?

Tout d'abord, sur le fond et s'agissant des droits des personnes dont les données sont traitées, le RGPD constitue plus une évolution qu'une révolution : le règlement renforce certains droits (consentement, droit à l'oubli) et en crée quelques nouveaux (portabilité des données).

Dès lors, les entreprises qui étaient conformes au droit de l'ancien n'auront pas de difficultés à se conformer au nouveau cadre du RGPD. Cependant, comme le soulignait récemment Madame Isabelle Falque-Pierrotin, présidente de la CNIL, beaucoup sont ceux qui ont ignoré le droit alors applicable, ne consacrant qu'un oeil distrait aux obligations en matière de protection des données personnelles.

La date du 25 mai 2018 ne constitue pas un couperet

Ensuite, la CNIL a répété que le 25 mai 2018 ne constituait pas un couperet. Elle a affirmé à plusieurs reprises qu'elle souhaitait s'inscrire dans une démarche de coopération avec les entreprises. Son objectif n'est pas de sanctionner mais de faire en sorte que les droits liés à la protection des données personnelles soient effectivement pris en compte et protégés. En ce sens, la CNIL a publié de nombreux outils pour accompagner les entreprises et notamment les PME dans la mise en oeuvre du RGPD.

Enfin, avec le RGPD, il ne s'agit pas tant d'être compliant au 25 mai 2018 mais de le demeurer au-delà dans un processus d'amélioration continu consistant à planifier, mettre en oeuvre, vérifier, ajuster et... recommencer. Jamais aucun acteur ne sera parfaitement conforme aux exigences du RGPD, la perfection étant un cap non une finalité. En revanche, ce que le règlement exige des acteurs c'est de prendre en compte ab initio la protection des données personnelles dans les traitements qu'ils mettent en oeuvre.

Le registre, pièce incontournable du dispositif

Mettant l'accent sur une approche fondée sur les risques, le RGPD repose sur les principes de privacy by default et privacy by design selon lesquels les entreprises responsables de traitement doivent s'assurer, tant au moment de la détermination des moyens du traitement que lors du traitement lui-même, que les moyens mis en oeuvre permettent d'assurer la protection des données personnelles et que les entreprises ne traitent que les données personnelles nécessaires à la finalité poursuivie.

Pour cela, responsables de traitement et sous-traitant peuvent (ou doivent) s'appuyer sur un registre, recensant les traitements et leurs principales modalités. Cet outil de base de la gestion opérationnelle de la conformité permet d'apporter la preuve de sa conformité auprès de la CNIL en cas de contrôle. Ce registre est également un excellent canevas pour se poser les questions indispensables dans la phase préalable d'audit et d'implémentation du RGPD : quel fondement, quelle finalité au traitement mis en oeuvre, quelle durée de conservation des données, etc.

L'opportunité de regagner la confiance des citoyens

Enfin, si le RGPD représente une contrainte, il s'agit également d'une opportunité pour les entreprises. En effet, alors que la confiance dans le numérique des Français est orientée à la baisse, la conformité au RGPD constitue un moyen pour les acteurs économiques reconstruire les liens avec leurs clients, de se distinguer de leurs concurrents et de gagner des parts de marché.

___

(*) L'accountability désigne l'obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données. (Source : Cnil)