RGPD : surmonter les obstacles

Presque douze mois après la mise en place du RGPD, les organismes respectueux de la réglementation ne sont pas pléthore. Aucun chiffre n’a été publié jusqu’ici, mais d’avis d’experts, seules les grandes entreprises ayant mis en place une politique de protection des données (en France, en application de la loi informatique et liberté de 1978) sont en règle. Elles n’ont eu qu’à établir un audit des outils existants en leur sein et à les aménager pour une mise en conformité totale. Les autres structures de grande taille n’ont pas beaucoup avancé sur le sujet. Pour Francesca Serio, consultante en gestion de crise et en protection des données personnelles chez Provadys, « certaines grandes entreprises qui manipulent beaucoup de données sont encore au point mort ». Les plus petits organismes, quant à eux, sont nombreux à ignorer le texte qui s’impose à eux.

Frein n° 1 : Le coût

Se conformer au RGPD coûte cher. Une enquête confidentielle réalisée par une association du secteur révèle que le budget de mise en conformité des grandes entreprises s’évalue en millions de dollars, quand bien même une partie des organismes interrogés en ignorent le montant. Soixante-dix pour cent des répondants, principalement situés en Europe et en Amérique du Nord, et qui regroupent plus de 500 salariés chacun, ont dépensé moins d’un million de dollars pour 27 % d’entre eux, entre 1 million et 5 millions pour 29 % et plus de 5 millions pour 38 %.

En France, les coûts des prestations des sociétés de consulting spécialisées en protection des données personnelles varient également. Ils dépendent du travail d’audit à réaliser sur l’ensemble des données et leur utilisation, plus exactement de la typologie et du nombre de services internes utilisateurs des données personnelles et du nombre de salariés à former. Ce qui est certain en revanche, c’est qu’une fois ces prestations effectuées et les outils de conformité mis en place et payés, le prix du RGPD sera celui de simples mises à jour, et s’échelonne entre quelques centaines d’euros et plusieurs centaines de milliers d’euros la première année. Par la suite, l’organisme dépensera les sommes nécessaires au suivi des outils et au travail du data protection officer (DPO). Avoir recours à un DPO non salarié de l’organisme coûterait plusieurs milliers d’euros par an. Pour les plus petites structures, le professionnel proposera un forfait pour une intervention de quatre à six jours par an. « Cette question est très complexe car le coût de la mise en conformité dépend du périmètre que l’on souhaite rendre conforme », explique Yann Boumah, expert en sécurité digitale chez Leaders League.

Frein n° 2 : L’identification des bonnes personnes

Il existe au moins deux types d’organisations pour lesquelles le DPO est obligatoire : les institutions publiques et les entreprises dont les activités de base les amènent, selon la Cnil, « à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites “sensibles” ou relatives à des condamnations pénales et infractions ». Mais trouver un DPO ne se fait pas sans difficultés. Certes, depuis le 25 mai 2018, les cabinets de conseil en RGPD se multiplient. Néanmoins, le nombre de DPO disponibles sur le marché est toujours insuffisant. Le métier reste jeune. Francesca Serio, dont la société propose ce service, confirme : « Il existe une vraie pénurie de DPO. Il n’est pas facile de trouver quelqu’un qui, en plus d’avoir des compétences techniques, juridiques et organisationnelles, fasse preuve de pragmatisme dans l’application du texte. » Selon la Commission nationale de l’informatique et des libertés, la France aurait besoin de plus de 80 000 DPO. Elle comptabilise 13 000 déclarations d’entreprises qui spécifient avoir un DPO, soit 16 % des entreprises seulement.

Pour être certain de trouver les bonnes personnes, on peut se tourner vers la Cnil qui établit une liste de professionnels ayant suivi des formations labélisées par ses soins. L’association française de normalisation (Afnor) dispense également des certificats à des outils indépendants spécialisés dans la mise en place du RGPD. Smart Global Privacy est par exemple « jugé conforme aux exigences Afaq protection des données personnelles ». Le recours à ce type d’agrément est d’autant plus stratégique que de faux professionnels apparaissent, utilisant parfois les logos officiels des institutions publiques.

Frein n° 3 : Le manque d’information

Les entreprises, particulièrement les petites, sont encore mal informées et toutes ne se préoccupent pas d’une mise aux normes. Parfois, certaines TPE ignorent tout de l’existence de la réglementation, elles ne se sentent tout simplement pas concernées. C’est en tout cas l’avis de Jérôme Cail, créateur de Diginsight : « Premièrement visées, les grandes entreprises sont ainsi mieux armées face au RGPD. Les PME de leur côté sont nombreuses à ne même pas avoir conscience qu’elles détiennent des données sensibles. » Les créateurs de solutions digitales de mise en conformité – il en existe une vingtaine en France – sont donc tous dans une phase d’évangélisation.

D’autres structures se sont quant à elles embarquées sur une mauvaise voie. Elles sont nombreuses à avoir programmé des envois électroniques (mail ou newsletter) à destination des personnes figurant dans leur base de données. Objectif : les inviter à accepter ou non de figurer dans ces fichiers, ou à modifier leurs coordonnées. Une initiative bien vaine pour se conformer au règlement dans sa globalité, selon plusieurs experts.

Frein n° 4 : RGPD vs Sapin 2

La mise en application du RGPD se complexifie pour les grandes entreprises sujettes à la législation française relative à la lutte contre la corruption et la modernisation de la vie économique dite Sapin 2. Lorsque l’Europe exige la protection des données, la France impose la transparence. Cela est particulièrement vrai en matière de droit d’alerte. Alors que Sapin 2 impose aux entreprises de surveiller ses salariés et sous-traitants tout en relevant les manquements dénoncés afin de pouvoir y mettre un terme en cas de violation de la loi pénale, le règlement sur la protection des données requiert l’anonymisation de ces démarches de délation. Et ce, afin de protéger les lanceurs d’alerte. Mais comment mener une enquête interne si les éléments historiques d’un dossier contenant des preuves de comportement répréhensible sont effacés ? « Il y a effectivement des contradictions entre les obligations, mais cela n’est pas nouveau, il y en a toujours eu entre les réglementations », réagit le consultant Guy Birenbaum. Certaines rassurent et parviennent tout de même à organiser leur conformité à la fois au RGPD et à Sapin 2 : « Ce sont deux sujets distincts, avec deux fonctionnements différents et deux budgets complémentaires, conclut une directrice de la conformité d’un grand groupe lors du Sommet du droit 2019. Aucun n’a pris le pas sur l’autre. » Et pour ceux que cela bloque encore, la Cnil devrait bientôt fournir des éléments précis de conciliation entre les deux récentes réformes.

Marine Noehser (@Mnsh57) et Pascale D'Amore (@PascaleDAmore)