[Papier publié le 29 mars 2018, mis à jour le 25 mai]
Panique à bord ! Alors que le RGPD entre en vigueur ce vendredi 25 mai 2018, c'est le branle-bas de combat dans les entreprises françaises. Voté par Bruxelles en mai 2016, applicable dans les 28 pays membres de l'Union européenne, le RGPD n'est ni plus ni moins que la nouvelle bible régissant dans le détail l'utilisation des données personnelles en Europe. Sa portée est très large, puisque le règlement s'impose à toute structure utilisant à grande échelle des informations de citoyens européens. Cela concerne donc à la fois le public (hôpitaux, enseignement, administrations, collectivités locales...) et, bien sûr, une grande partie du secteur privé, des startups aux PME, jusqu'aux grands groupes.
Dans l'entreprise, il faut installer toute une série de garde-fous pour protéger la vie privée des clients et des salariés. Les changements peuvent être drastiques : les notions de "privacy by design" [intégrer la protection de la vie privée dès la conception des outils, ndlr] et de "consentement explicite", ainsi que l'obligation de créer un registre de la conformité à mettre à jour en permanence, imposent parfois de repenser l'organisation du sol au plafond. De fait, le RGPD influe sur le fonctionnement de chaque département, des ressources humaines au service informatique, en passant par le marketing, les ventes, la sécurité ou encore le service client. Si bien que de nombreux experts n'hésitent pas à parler de « révolution » réglementaire. Il faut dire que cette fois, une arme atomique menace les récalcitrants : les sanctions encourues en cas de violation du RGPD peuvent s'élever jusqu'à 4% du chiffre d'affaires mondial d'une entreprise...
Bérézina dans les entreprises
Face à l'enjeu, les entreprises sont-elles prêtes ? Pas du tout. Elles avaient pourtant, à compter de l'adoption du règlement en 2016, deux ans pour se mettre en conformité. D'après une étude du cabinet Forrester, seules 26% des sociétés européennes étaient, en janvier, conformes au nouveau texte. Cela paraît peu... et pourtant tous les experts contactés par La Tribune s'accordent pour trouver cette estimation largement surestimée, du moins pour la France.
« 26 % ? Ce serait le paradis. Il m'arrive encore tous les jours de rencontrer des PME et des TPE, qui n'ont aucune idée de ce qu'est le RGPD ou qui sont totalement perdues et ne savent pas par où commencer », confiait Emmanuelle Cornet-Ricquebourg, la Ppg et cofondatrice de Datae, une startup qui fournit un logiciel d'accompagnement des démarches de conformité spécialement adapté au RGPD, en mars à La Tribune.
Alexandra André, directrice du développement et de la communication du fonds français de capital-risque Serena Capital, ajoute :
« Dans notre portefeuille, aucune de nos startups n'était prête en mars. On fait des workshops [des ateliers de travail], mais globalement c'est la panique. »
Les grands groupes, qui disposent pourtant de moyens humains et financiers confortables, sont aussi en retard, en raison de la complexité du chantier et de leur manque de souplesse interne - un écueil qui touche aussi les organismes publics.
À qui la faute ? Un peu à tout le monde. À commencer par les régulateurs. Le Groupe de l'article 29 (G29), l'instance qui fédère l'ensemble des commissions nationales de l'informatique et des libertés (Cnil) européennes, n'a toujours pas publié l'ensemble des guidelines sectorielles, ces feuilles de route qui aident les entreprises à interpréter les subtilités du texte. Autre problème, parmi les guidelines disponibles, certaines ne sont pas encore traduites en français. Enfin, la loi relative à la protection des données personnelles, qui doit adapter le droit français à l'arrivée du RGPD, n'a été votée par l'Assemblée nationale qu'en février et amendé par le Sénat dans la nuit du 21 au 22 mars.
Une certaine incertitude plane aussi autour de la future directive européenne ePrivacy, qui aurait dû arriver en même temps que le RGPD mais qui a pris du retard. Un consensus se dégage pour dire que la première version de la directive, consacrée à la protection de la confidentialité des messages dans les communications électroniques, n'est pas assez harmonisée avec le RGPD.
Cigales, fourmis, caméléons... et autruches
Ainsi, les entreprises sont dans le flou. « Beaucoup font l'autruche et se disent : "Puisqu'on m'a donné les éléments d'interprétation au dernier moment, on ne pourra pas me reprocher de ne pas être à jour" », décrit Thierry Dor, avocat associé chargé des nouvelles technologies et des data au cabinet Gide.
Mais les régulateurs refusent de porter le chapeau.
« Normalement, un règlement s'applique dès qu'il est voté, or nous avons laissé un délai de deux ans », rappelle fermement Isabelle Falque-Pierrotin, la présidente de la CNIL et ancienne présidente du G29, jusqu'en février dernier.
Avant d'ajouter, dans un entretien exclusif à La Tribune :
« Le G29 n'avait aucune obligation de rédiger des guidelines. Les entreprises devraient plutôt se féliciter de leur existence ! »
Pour l'avocat spécialisé Thierry Dor, les entreprises se divisent en trois catégories face au RGPD. La première est celle des « fourmis » , les bons élèves qui sont prêts ou presque. Elle comprend surtout des « grands groupes, PME ou startups dans des secteurs très régulés comme la banque et l'assurance, qui se sont préparés dès 2016-2017 ». Parmi les retardataires se trouve ce qu'il appelle les « cigales », une catégorie comprenant notamment « des sociétés industrielles, des entreprises dans le "B to B", des PME étrangères exerçant en Europe » qui « se sentent à tort éloignées du sujet et se réveillent au dernier moment ». Enfin, il y a les « caméléons », c'est-à-dire des entreprises qui sont familières avec leurs obligations RGPD, mais traînent volontairement les pieds.
« Réticentes à engager les coûts nécessaires » à la mise en conformité, elles préfèrent « attendre de voir dans quel sens tourne le vent » et comptent sur une certaine tolérance des régulateurs, débordés.
Un handicap culturel ?
Fin connaisseur de la conformité depuis le début des années 2000, Xavier Leclerc, le Pdg du cabinet de conseil DPMS et fondateur-président de l'Union des Data Protection Officers (UDPO), estime que le manque d'enthousiasme général des entreprises françaises est culturel.
« La plupart des sociétés, surtout les PME, vivent le RGPD comme une énorme contrainte, car la question des données personnelles est abordée sous le prisme de la sanction. La philosophie "privacy is good for business", mieux comprise dans les pays anglo-saxons, est plus saine, plus pertinente, mais reste marginale en France », déplore-t-il.
L'éditeur de logiciels américain Pros, qui commercialise des solutions de "pricing" [fixation de prix] et de devis pour les entreprises dans le monde entier, fait partie de ces « optimistes ». La société (1.300 salariés dont une centaine en France) se prépare au RGPD depuis fin 2016.
« La mise en conformité est très fastidieuse, car il faut embarquer tous les services en interne malgré la logique des silos. C'est aussi très complexe au niveau légal, car il faut revoir tous les contrats avec les fournisseurs et clients, donc cela demande beaucoup d'interactions qui mettent tout le monde sur les dents », témoigne Virginie Dupin, vice-présidente du marketing en Europe et au Moyen-Orient.
La dirigeante observe un « ralentissement », à cause du RGPD, de la capacité de l'entreprise à exécuter des campagnes marketing. « Mais, dans le fond, l'obligation du consentement explicite nous force à faire le tri dans nos bases de données dormantes, relativise-t-elle. Au final, on va perdre en volume mais gagner en qualité. Nos bases seront mieux qualifiées, nous les connaîtrons mieux et nous pourrons mieux les valoriser. C'est positif. »
Le marketing de la peur
Si les entreprises paniquent, le paradoxe est que la « révolution RGPD » n'en est pas vraiment une. « Le RGPD est simplement une évolution liée à la disparition des formalités déclaratives », affirme Xavier Leclerc. « Il y a des nouveautés, mais le règlement renforce surtout des choses qui existaient déjà, comme le consentement de l'utilisateur ou l'analyse des risques », poursuit-il.
Pourquoi cette agitation, alors ? « Parce qu'avant, les sanctions n'étaient pas assez dissuasives », insiste-t-il. Avant de conclure:
« Si les entreprises avaient pris en compte la loi informatique et libertés de 1978, la directive européenne de 1995 et sa révision en 2004, le RGPD ne serait qu'un épiphénomène. »
Emmanuelle Cornet-Ricquebourg, de Datae, confirme :
« Quand on regarde sous le tapis, ce n'est souvent pas très joli. Même dans les grosses boîtes, il arrive qu'elles n'aient pas de registre ou réutilisent des données qu'elles auraient dû supprimer depuis longtemps. »
Conséquence : l'arrivée du RGPD déclenche une véritable explosion du « business de la conformité ». Le sentiment d'urgence lié à l'entrée en vigueur du texte, conjugué à un effet de rattrapage des entreprises, ouvre un énorme marché, qui se chiffre en milliards d'euros à l'échelle européenne. Tout un écosystème d'acteurs - avocats, cabinets de conseil, startups, spécialistes historiques de la gestion des données personnelles... - se met à proposer des audits, accompagnements à la conformité, solutions logicielles et diverses prestations jusqu'à la formation des Data Protection Officers (DPO).
Dans cette jungle - la Cnil est en train de développer des certifications par secteur d'activité -, impossible de voir clair. Personne ne sait aujourd'hui chiffrer le coût moyen de la mise en conformité d'une entreprise en fonction de sa taille et de sa maturité vis-à-vis de la gestion des données. Pour une PME/ETI, les factures s'élèvent le plus souvent entre 50.000 et 150.000 euros.
« Même pour une startup ou une petite PME, il est difficile de s'en sortir pour moins de 20.000 euros, ne serait-ce que parce que l'évaluation des risques peut être longue et est souvent payée en temps-homme », jauge Emmanuelle Cornet-Ricquebourg.
L'avocat Thierry Dor précise :
En fait, « moins l'entreprise est conforme aux réglementations déjà en vigueur, plus la facture monte. Quand il faut changer les systèmes informatiques, cela peut se chiffrer en millions pour les grands groupes ».
Dans ce chaos généralisé, les entreprises sont aussi confrontées à de nombreuses arnaques : des experts qui n'en sont pas vraiment ou qui gonflent volontairement la facture en exagérant le chantier à mener.
« Il faut vérifier la compétence des prestataires, ne pas céder au marketing de la peur, se servir de nos outils d'aide à la conformité et ne pas oublier que le RGPD requiert surtout du toilettage et pas forcément une refonte totale de votre gouvernance des données », conseille la présidente de la Cnil, Isabelle Falque-Pierrotin.
Pénurie de DPO
Au-delà du coût de la mise en conformité, le RGPD engendre des coûts de long terme, qui varient selon la stratégie de l'entreprise. Si le DPO - le chef d'orchestre de la gouvernance des données au quotidien, obligatoire dès que la société se situe dans le business des data - est embauché en interne, c'est plus cher que s'il est externalisé ou mutualisé avec d'autres entreprises de la même branche professionnelle. Les grands groupes et les grosses PME choisissent souvent de créer un poste en interne... à condition de dénicher la perle rare.
Pour Xavier Leclerc, qui propose des prestations de mutualisation des DPO et réalise des formations à ce nouveau métier, la pénurie de DPO qualifiés est un vrai défi.
« Beaucoup de CIL [correspondants informatique et libertés, ndlr] deviennent DPO, mais ce sont des fonctions différentes. Il y a une dimension politique et stratégique dans le DPO, car il est placé beaucoup plus haut dans la hiérarchie. Non seulement le besoin de DPO a été mal anticipé, d'où la pénurie, mais il faut aussi former les CIL qui prennent du galon », explique-t-il.
Moins une révolution qu'un changement de paradigme, le RGPD représente en réalité l'intégration forcée d'un nouveau département dans l'entreprise, en lien avec tous les autres. « La conformité RGPD, c'est comme la comptabilité, résume Isabelle Cornet-Ricquebourg. Ce n'est jamais terminé. Tant que l'entreprise bouge, il y a des données à gérer ». Aux entreprises de savoir tirer parti d'une régulation contraignante pour la transformer en opportunité de business.
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés