RGPD : "Cela ne peut pas être un atout de croissance, c'est forcément un coût"

Quelles données collectez-vous ? Comment utilisez-vous ces données ? Qui y a accès ? A partir de ce vendredi, toutes les entreprises devront pouvoir répondre à ces questions. Le Règlement général sur la protection des données personnelles (RGPD) entre en vigueur dans tous les pays de l'Union européenne. En France, la loi Informatique et Libertés de 1978 encadrait jusque-là la collecte et le traitement des données personnelles, avec notamment la création de la CNIL (Commission Nationale de l'Informatique et des Libertés). Avec le RGPD, la réglementation devient plus contraignante pour les entreprises. Comment vivent-elles la mise en conformité face à cette nouvelle législation européenne ? Témoignages.

Le Data Protection Officer (DPO), personnage central du RGPD

Communément appelé DPO, le Data Protection Officer, soit Délégué à la Protection des Données en français, est une nouvelle figure de l'entreprise créée par la loi. Dans trois cas, certaines entreprises ont même l'obligation d'en nommer un. C'est le cas de tous les établissements du secteur public, comme les les ministères, les collectivités territoriales ou les mairies par exemple. Les entreprises dont l'activité de base consiste en "un suivi systématique et régulier à grande échelle des personnes concernées" doivent également nommer un DPO. Une entreprise qui a distribué plus d'un million de cartes de fidélité entre dans cette deuxième catégorie. Enfin, dernier cas : les entreprises qui traitent à grande échelle de données dites "sensibles" (données de santé, données biométriques, opinions politiques, convictions religieuses etc). 

Peu importe la taille de l'entreprise, les grands groupes comme Facebook ou des start-up qui entrent dans ces trois catégories doivent faire appel à un DPO. Pour les autres entreprises, l'accompagnement d'un DPO est simplement "encouragé" par la CNIL (Commission Nationale de l'Informatique et des Libertés). Mais pour s'assurer d'être conforme au RGPD, beaucoup d'entreprises font appel à un DPO pour éviter une sanction financière. Jusqu'à présent, la CNIL pouvait infliger une amende pouvant aller jusqu'à trois millions d'euros aux contrevenants. Récemment, l'enseigne Darty a par exemple été sanctionnée par la CNIL : elle a dû payer 100 000 euros pour ne pas avoir suffisamment sécurisé les données de ses clients. Avec le RGPD, l'amende peut être de 10 millions d'euros pour certaines infractions ou 2 % du chiffre d'affaires annuel mondial de l'entreprise. En cas d'infraction grave, comme le non-consentement d'un client à l'utilisation de ses données personnelles, l'amende peut aller jusqu'à 20 millions d’euros ou 4 % du chiffre d'affaires annuel mondial.

Ces sanctions financières qui planent au-dessus des entreprises expliquent le recours à un DPO, comme l'explique Chloé Torres, avocate à Paris, qui travaille également en tant que DPO dans différentes entreprises. 

Pour les petites entreprises, c’est assez compliqué parce que le règlement européen ne distingue pas selon qu’on est Facebook ou une petite boîte. Ce qui est étrange mais toutes les obligations s’imposent à toutes les entreprises, quelles que soient leur taille. On est souvent sollicités par les petites entreprises pour être DPO externe, car il y a la possibilité d’externaliser cette fonction auprès d’un cabinet d’avocats ou autres. Cela leur permet de maîtriser le risque car ils font appel à un cabinet externe expert (…) en fonction de la taille, le poste n’est pas forcément à plein temps. On peut imaginer que dans une petite PME, ça serait peut être une charge d’une journée par semaine.

RGPD : contrainte ou opportunité ?

Selon Chloé Torres, il faut compter plusieurs milliers d'euros par an pour avoir accès aux services d'un DPO externe. Mais toutes les entreprises n'ont pas les moyens d'être assistées dans leur mise en conformité au RGPD. Alors, elles tentent de s'y conformer toutes seules. Gildas, un kinésithérapeute basé en Provence-Alpes-Côte d'Azur, a fait ce choix, par contrainte. Comme d'autres professions libérales, il est concerné par le RGPD car il utilise des données personnelles. "On prend le nom de la personne, on prend la carte vitale, on scanne les ordonnances et on les garde un certain temps", détaille ce kinésithérapeute qui nous a contactés sur Twitter.

Il y a tellement de choses qu'on ne comprend pas dans la description du RGPD qu'on pense qu'on est incapables de l'appliquer. C'est juste un problème de vocabulaire : c'est tellement obscure que cela donne l'impression que l'on est obligés de passer par une personne extérieure pour gérer la protection des données maintenant avec le RGPD.

Gildas a bien reçu le guide publié par la CNIL pour aider les entreprises à se conformer au RGPD mais il le trouve "illisible". "On a été vraiment lâchés dans la nature et abandonnés l'Etat", dénonce-t-il. Au-delà du coût que représente le RGPD pour certains professionnels, d'autres y voient un moyen d'accélérer la croissance de leur entreprise. Dans le contexte actuel du scandale Cambridge Analytica, de défiance des consommateurs envers les GAFA (Google, Apple, Facebook et Amazon), la protection des données personnelles est un enjeu majeur pour les entreprises. Les marques qui mettent en avant le travail réalisé pour protéger au mieux les données de ses clients gagnent en confiance auprès des consommateurs.

Il y a certains marchés pour lesquels les appels d'offres vont obliger ceux qui y répondent à avoir un certain niveau de maturité et de conformité juridique. Il y a des entreprises qui vont perdre des marchés publics ou les appels d'offre s'ils n'ont pas pris assez de maturité sur le sujet de la conformité. Il y en a d'autres, dont le métier est très éloigné du numérique, qui continuent à vendre des produits purement physiques et pour qui le digital est très accessoire. Pour elles, la mise en conformité va mettre plus de temps, mais elles n'y échapperont pas car le numérique, c'est le sens de l'histoire.

Un "argument marketing" plus qu'un levier de croissance

Pierre-Olivier Haye, directeur technique de la start-up En voiture Simone, admet que le RGPD peut être un "argument marketing" mais il n'y voit pas un levier de croissance. L'entreprise, spécialisée dans le permis de conduire en ligne, compte environ 78 000 utilisateurs et fait passer entre 200 et 300 permis par mois. La start-up, créée il y a trois ans, a donc fait appel à un DPO pour mieux encadrer l'utilisation des données de ses clients : "cartes bancaires, adresses, noms, prénoms, permis et informations sur les moniteurs". "Ce ne sont pas des données sensibles au sens strict de la CNIL", précise Pierre-Olivier Haye_._

Le principe du RGPD est que la société tienne à jour un registre pour que le jour où la CNIL vient vous contrôler, le contrôle soit plus simple. Donc pour moi ça ne va pas être un levier de croissance (...) Mais ça peut aider à décider quelqu'un en se disant "il respecte le RGPD donc mes données sont safe". Je ne pense pas que vous allez acheter un produit juste parce que je vous ai envoyé un email disant "je suis RGPD ccompatible". C'est forcément un coût pour une société.

L'entreprise a dépensé environ 10 000 euros pour se mettre en conformité et Pierre-Olivier Haye calcule que "quelques jours par mois ou quelques heures" devraient suffire au suivi du RPDG. Une dépense qu'il ne remet pas en cause puisqu'il considère que la nouvelle législation européenne est un "atout". "Il faut absolument que les gens réalisent qu'on donne beaucoup de data de façon non-due et qu'il y a un vrai business de la donnée. Obliger les entreprises à se soucier de ça, c'est un point important", indique le directeur technique de la start-up En voiture Simone. 

Traitement de données sensibles à grande échelle : l'exemple des hôpitaux

Autre exemple de mise en conformité : celui d'un établissement hospitalier. Comme certaines entreprises, les hôpitaux ont l'obligation de nommer un DPO. Cédric Cartau est Responsable de la sécurité des systèmes d'information (RSSI) au CHU de Nantes. Il assure le rôle de DPO et il est donc en charge d'application du RGPD à l'échelle de l'établissement hospitalier. La mise en conformité n'est pas terminée, cela a pris beaucoup de temps par rapport à des PME par exemple. Sans compter que les données utilisées par les hôpitaux sont dites sensibles :  état de santé, pathologies, traitements, diagnostics ou encore actes des patients.

"Il y a un an, on était en train de prendre connaissance de ce que signifiait la réglementation, de ce que cela impliquait sur le plan organisationnel, technique et juridique pour les établissements. Les véritables actions de mise en conformité, on les a démarrées début 2018. Ce qui est tôt par rapport à d'autres établissements ou secteurs, certains n'ont toujours pas commencé", explique Cédric Cartau. Mais, selon lui, le CHU de Nantes sera prêt pour l'entrée en vigueur du RGPD. "La loi n'est pas rétroactive en France. C'est-à-dire que tous les traitements qui étaient conformes à la loi Informatique et Libertés d'avant, tant qu'on n'effectue aucune modification ou qu'on ne démarre pas de nouveau traitement, ces traitements-là sont conformes au 25 mai au matin. Il y a un socle commun à mettre en oeuvre pour le RGPD mais cela a été fait. Le 25 mai au matin, le CHU de Nantes sera 100% conforme au RGPD", détaille Cédric Cartau. 

Nous avons une politique d'habilitation très stricte d'accès aux données médicales. Nous avons une politique de traçabilité des données médicales, c'est-à-dire que nous sommes capables de dire que telle ou telle personne a accédé à telle donnée pour la lire, la modifier ou la transférer. Nous mettons en place des procédures d'audits sur ces traces d'accès. Les serveurs sont hébergés dans des data-center sécurisés avec une somme de mesures techniques et organisationnelles qui visent à réduire les risques, car le risque zéro n'existe pas.

Le 25 mai, une "date couperet" pour la mise en conformité ?

Toutes les entreprises du secteur public ou privé ne sont pas encore conformes au RGPD, alors que le texte a été voté en 2016 afin de permettre à tous les pays de l'Union européenne d'harmoniser leur législation nationale. Les entreprises vont-elles se plier à cette nouvelle législation européenne ? Dans une interview accordée aux Echos, il y a dix jours, la présidente de la CNIL, Isabelle Falque-Pierrotin affirmait que "le 25 mai ne sera[it] pas une date couperet pour les sanctions".  Une attitude pragmatique que confirme Mounir Mahjoubi, le secrétaire d'Etat chargé du numérique, interviewé sur France Culture : "A partir [du 25 mai], il n’y a pas des armées de Men in black qui vont descendre dans toutes les PME et TPE de France".

L’objectif, ce n’est pas d’aller frapper aux portes et de faire des contrôles et de sanctionner tout le monde. A partir de demain, la CNIL va s'engager pour aller accompagner les entreprises dans leurs transformations liées au RGPD. Sur le site de la CNIL, il y a déjà un guide qui permet à toutes les PME de savoir ce qu’il faut faire, quelles sont les meilleures pratiques, quels sont les documents préétablis. Tout au long de l’année, il y aura des recommandations. Je recommande à tout le monde ne pas se laisser manipuler par les offreurs de service qui vous vendent très cher en vous inquiétant très fort. Et je leur recommande de regarder les sources officielles et je vous assure, c’est moins lourd et c’est moins grave qu’il n’y paraît.