LA TRIBUNE - Rarement un règlement européen a autant déchaîné les passions que le RGPD, qui était abordé soit avec un grand enthousiasme, soit avec énormément de craintes, lorsqu'il est entré en application il y a cinq ans. Quel bilan en tirez-vous ?
Marie-Laure DENIS - Pour moi, il est extrêmement positif. Avant l'entrée en vigueur du RGPD, l'enjeu des données personnelles -leur protection, leur valeur, leur utilisation par les nombreux organismes et entreprises qui les traitent- n'était pas une préoccupation pour les entreprises et les décideurs. Pourtant, la loi Informatique et Libertés, qui a donné lieu à la création de la Cnil, date de 1978 et imposait déjà la plupart des obligations du RGPD, sauf que la loi était moins connue et moins appliquée.
Le RGPD a changé le paradigme car il a harmonisé toutes les régulations nationales et généralisé de nouveaux droits comme la portabilité des données ou le droit à l'oubli. Surtout, il a amplifié les sanctions contre ceux qui ne respecteraient pas ses principes, jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial d'une entreprise.
L'enjeu des données personnelles a donc changé d'échelle. Le RGPD a permis de responsabiliser tous les acteurs qui traitent des données, qu'il s'agisse d'entreprises, d'administrations et aussi les individus. L'un de ses principaux apports est qu'il impose non seulement de veiller à avoir une certaine hygiène des systèmes d'information, mais aussi de veiller à leur sécurité. Le RGPD est donc l'un des socles de la prise de conscience générale autour des enjeux cyber. C'est le premier texte européen qui a demandé des analyses d'impact pour le traitement des données les plus sensibles ou encore la tenue de registres en matière d'incidents de sécurité impliquant des données. L'explosion des cyberattaques ces dernières années, et leurs conséquences parfois dramatiques notamment quand celles-ci touchent des hôpitaux ou acculent des entreprises à la faillite, souligne à quel point le RGPD est important.