RGPD, une protection tous azimuts

Avec le RGPD, l’ambition de Bruxelles est inédite. Parties du vœu de sanctionner les géants du Web, les institutions européennes ont finalement donné naissance à une réglementation généralisée à toute entité détentrice de données personnelles, quelle que soit sa taille et qu’elle soit installée sur le Vieux Continent ou non. Son application s’avère toutefois limitée par une mise en œuvre laborieuse.

Avec le RGPD, l’ambition de Bruxelles est inédite. Parties du vœu de sanctionner les géants du Web, les institutions européennes ont finalement donné naissance à une réglementation généralisée à toute entité détentrice de données personnelles, quelle que soit sa taille et qu’elle soit installée sur le Vieux Continent ou non. Son application s’avère toutefois limitée par une mise en œuvre laborieuse.

En France, le RGPD ne noircit pas une page blanche. Grâce à la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978, actualisée une première fois en 2004, puis une seconde en 2016, les données étaient déjà protégées. Elle accordait certains droits aux citoyens : d’être au fait du traitement de leurs données, de les rectifier, de s’opposer à leur utilisation et de les consulter. Une maîtrise de ce qu’ils souhaitaient partager leur était donc garantie.

En Europe, la directive 95/46/CE du 24 octobre 1995 donnait naissance à un premier régime de protection des données, mais il était imparfait et devait progresser à mesure de l’évolution technologique et de la mondialisation des réseaux. « En 1995, Internet existait déjà, mais pas la toile à l’échelle mondiale », témoigne Wojciech Wiewiórowski, contrôleur européen adjoint des données. Le scandale de Facebook, distribuant les données récoltées à d’autres multinationales, fut révélateur de la rapidité et de la facilité avec lesquelles les informations sont partagées tout autour du Globe, et du fait que leur protection était primordiale. « Nous leur confions nos données qu’ils nous revendent ensuite », ironisait un expert du secteur. Le RGPD, qui remplace le régime de 1995 en Europe et ­complète la loi française de 1978, est donc une bataille de gagnée dans le combat pour la protection
des données.

Nouveaux droits, nouvelles obligations

La nouvelle régulation apporte des droits supplémentaires aux internautes. Ils peuvent à présent invoquer l’effacement de leurs données tout comme leur portabilité (les faire transférer d’une société à une autre). Deux facultés qui, si elles paraissent essentielles, étaient jusqu’ici laissées au bon vouloir des responsables de traitement des données qui doivent désormais revoir leur système de fonctionnement et se responsabiliser. Autrement dit, la déclaration systématique des fichiers auprès de la Cnil (une obligation qui était prévue si les entreprises n’avaient pas de correspondant informatique et libertés, le CIL, en leur sein) est supprimée, et désormais, ce sont les organismes publics et privés qui doivent garantir eux-mêmes la protection des données qu’ils détiennent. Comment ? Par la tenue d’un registre des activités de traitement effectuées que les autorités de contrôle peuvent demander à consulter à tout moment. Les sous-traitants (qui traitent des données à caractère personnel pour le compte d’un responsable de traitement) sont logés à la même enseigne. Eux aussi responsables, ils sont contraints d’élaborer des mécanismes pour sécuriser les données et de prévenir l’entreprise pour laquelle ils travaillent en cas de violation du RGPD. La nouvelle réglementation ne s’arrête pas là : les entreprises doivent justifier la nécessité pour elles de récolter et de conserver toute donnée personnelle.

Selon la Cnil, 80 000 à 100 000 DPO seraient nécessaires en France, autrement dit un nombre considérable

Assumer ces nouvelles obligations demande du temps et des moyens humains. Il est ainsi conseillé aux sociétés de s’équiper en s’accompagnant d’un DPO, un data protection officer, interne ou externe, qui s’assurera du respect du RGPD. Néanmoins, celles qui en ont un sont encore trop peu nombreuses (lire pages suivantes, Surmonter les obstacles). Selon la Cnil, 80 000 à 100 000 DPO seraient nécessaires en France, autrement dit un nombre considérable. C’est la raison pour laquelle naissent des cabinets de conseil spécialistes de la matière, qui proposent des experts en service ponctuel au sein des entreprises, des consultants externes en somme. Et pour les managers d’entreprise qui endosseraient ce rôle, des indications très précises relatives au respect du RGPD et aux compétences nécessaires sont disponibles sur le site de la Cnil.

Tous concernés

Comment est-on arrivé à une réglementation aussi contraignante et d’application aussi large ? À l’origine, seuls les Gafa étaient dans le viseur de Bruxelles, une partie non négligeable du business des géants du Net reposant sur l’utilisation et la commercialisation de la data. Pourtant, tous les organismes, publics et privés et quelle que soit leur taille, sont désormais concernés par la réglementation. Pourquoi ce changement de cible ? Parce que l’Union européenne a voulu envoyer un message clair : le RGPD n’a pas été créé uniquement pour le gros gibier. C’est la protection des données des Européens qui était en jeu. Francesca Serio, consultante en gestion de crise et en protection des données personnelles chez Provadys, confirme : « À partir du moment où une entreprise qui manipule des données à caractère personnel est située sur le territoire de l’Union européenne ou offre un service à une personne située en Union européenne, elle est concernée par le RGPD. » Quelles données ? « Toute information se rapportant à une personne physique identifiée ou identifiable », précise l’article 5 du RGPD. Autrement dit, pas besoin d’être Google ou Facebook pour traiter des données personnelles et sensibles, les petites structures, elles aussi, gèrent ce genre d’informations. Médecins et pharmaciens par exemple manipulent des données extrêmement délicates.

« 1 % des 1 % »

Pour aider les entreprises à se mettre en conformité, la Cnil a mis à leur disposition sur son site internet des livrets explicatifs et des aides pratiques. Les entreprises petites sont particulièrement soignées. Cela dit, d’après un expert interrogé, « on a parfois l’impression que la Cnil elle-même apprend en avançant à tâtons ». Le créateur de la start-up Diginsight dédiée à l’accompagnement des PME dans la mise en place du RGPD, Jérôme Cail, trouve, lui aussi, de nombreuses pistes pour améliorer les mises en demeure prononcées par le régulateur français. Guy Birenbaum, qui dirige Smart Global Privacy, juge quant à lui la Cnil trop frileuse. « Le régulateur devrait disposer de ressources nettement plus importantes et communiquer intensivement auprès des entreprises de toute taille, des professions libérales, des associations et du secteur public en leur rappelant l’importance de se mettre en conformité et leur responsabilité vis-à-vis des consommateurs. », lance le fondateur de la solution logicielle recommandée par Microsoft dans le monde au travers de son réseau de partenaires. Une manière de dire que les organismes, quels qu’ils soient, sont encore loin d’avoir mis en place les outils de protection de la data imposés par Bruxelles. « Selon moi, 1 % des entreprises pensent être conformes au RGPD et parmi elles, seul 1 % l’est vraiment », regrette-t-il.», poursuit-il, sur un ton provocateur.

Pas besoin d’être Google ou Facebook pour traiter des données personnelles et sensibles, les petites structures, elles aussi, gèrent ce genre d’informations

Et ce, d’autant plus que le RGPD ne s’arrête pas aux frontières de l’Union européenne, le nombre d’entreprises soumises à la régulation augmentant de façon mécanique. La cause ? « Cela n’avait plus de sens de lier l’application de la loi européenne à la localisation des données: il suffisait de traiter les données ou de les stocker, par exemple dans un cloud, en dehors de l’Union européenne pour qu’elles échappent à la protection de cette loi », explique l’avocate Noëlle Lenoir et ancienne ministre des Affaires européennes dans les colonnes de L’Express. Bruxelles a donc choisi de protéger les données de ses citoyens quel que soit le lieu de leur collecte ou de leur traitement. « C’est la première fois que l’Europe applique une réglementation extraterritoriale », remarque Guy Birenbaum, faisant ainsi allusion aux multiples législations américaines qui s’appliquent hors des États-Unis (les embargos, la lutte anti-corruption, anti-­blanchiment, etc.). De là à ce que les régulateurs européens aient les moyens de contrôler, de poursuivre et de condamner hors de leurs frontières…

Marine Noehser (@Mnsh57) et Pascale D'Amore (@PascaleDAmore)

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Protection des données personnelles : l’Union (européenne) fait la force

Avec le RGPD, l’Europe se dote pour la première fois d’une réglementation extraterritoriale. Ce qu’elle impose aux organismes européens en matière de protection des données personnelles, elle l’exige aussi des entreprises dont le siège est hors de l’Union lorsqu’elles traitent des données des Européens.
Sommaire RGPD : une arme de construction massive Wojciech Wiewiórowski : « Ce qui change, ce ne sont pas les contraintes mais la menace d’une sanction » Sanctionner n’est pas une priorité Jean Lessi (Cnil) : « La Cnil continue d’accompagner, de contrôler et de sanctionner » RGPD : surmonter les obstacles Droits de l'homme : l'Europe protectrice Le RGPD à la conquête du monde Huawei prise dans la guerre digitale USA-Chine
P-S. Bénac (Label Relance) : "Nous avons dépassé les 200 fonds labellisés distribués par plus de 110 sociétés de gestion"

P-S. Bénac (Label Relance) : "Nous avons dépassé les 200 fonds labellisés distribués par plus de 110...

Un an après son lancement, le label Relance s’est fait un nom auprès des sociétés de gestion. Paul-Simon Bénac, adjoint au chef du bureau Épargne et m...

Le legal design, outil de développement des "soft skills" au service de la transformation numérique des directions juridiques

Le legal design, outil de développement des "soft skills" au service de la transformation numérique...

Lors de ce premier Décideurs Talk, Sihem Ayadi, CEO et fondatrice de Juridy Legal Design, et Carla Hegly Chung, Global Head of Sales & Marketing d...

Watson Farley & Williams renforce son bureau de Dubaï

Watson Farley & Williams renforce son bureau de Dubaï

Alhassane Barry rejoint le département finance de Watson Farley & Williams à Dubaï en qualité d’associé. Il fait notamment bénéficier la firme int...

Maestria Blockchain : un nouvel acteur pour encadrer et sécuriser les projets innovants

Maestria Blockchain : un nouvel acteur pour encadrer et sécuriser les projets innovants

Seconder et sécuriser les entreprises en pleine mutation numérique sur le plan technique financier et juridique. Telle est l’ambition de la société Ma...

Sécurité des données : quel rôle pour le DPO ?

Sécurité des données : quel rôle pour le DPO ?

Si sa fonction est souvent méconnue, le DPO – délégué à la protection des données – est aujourd’hui un acteur clé pour les entreprises comme pour les...

L'accès au private equity grâce à Private Corner

L'accès au private equity grâce à Private Corner

Avec l’adoption de la loi Pacte, les acteurs privés et autres professionnels cherchent aujourd’hui à investir le réel. Illustrée par le fléchage d’une...

Création du cabinet Exso

Création du cabinet Exso

Gépy Koudadje lance Exso, nouveau cabinet de niche en droit social qui ouvrira ses portes en janvier prochain au 219, rue Saint-Honoré à Paris. Partic...

TGS France Avocats promeut une avocate à Lille

TGS France Avocats promeut une avocate à Lille

Avocate chez TGS France Avocats depuis presque quatre ans, Claire Cambernon prend la direction du bureau lillois de l’enseigne.

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte