Un an après la mise en œuvre du RGPD, rencontres avec des entreprises
L’année dernière, j’ai été rapporteure pour le projet de loi relatif à la protection des données personnelles. Ce texte était une mise en œuvre nationale de deux normes européennes : le règlement général sur la protection des données personnelles (RGPD) et la Directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (n°2016/680).
Mis en application le 25 mai 2018, le RGDP a impacté toute notre vie numérique en redonnant davantage de contrôle aux utilisateurs sur la gestion et la collecte de leurs données. Les entreprises ont donc été contraintes d’adapter leur modèle à ces nouvelles exigences plus protectrices et résolument innovantes.
Un an après avoir été à la manœuvre de l’intégration de ces dispositions européennes au droit français, j’ai souhaité aller à la rencontre d’entreprises, en première ligne sur ce projet, afin de voir si elles avaient réussi la mue de la conformité. En collaboration avec l’Association Française des Correspondants à la Protection des Données (AFCDP), j’ai organisé une demi-journée de visites, le jeudi 21 mars 2019, au sein de quatre entreprises de tailles et de secteurs d’activités différents, accompagnée de mon collègue député Eric Bothorel. Ces rencontres avaient pour objectif de comprendre au plus près des acteurs leurs interrogations et les obstacles qui peuvent subsister.
Jeudi 21 mars 2019 : une matinée millimétrée
mais très enrichissante
8h30 – Advens, cabinet de conseil en cybersécurité
9h20 – Cecurity.com, éditeur de logiciels
10h05 – Deveryware, spécialisé en géolocalisation
10h50 – Keolis, société de transports
Le programme de la matinée était particulièrement rythmé afin de nous permettre d’avoir des échanges concrets et surtout très opérationnels. Un an après la mise en œuvre du RGPD, quelle application du texte ? Quels points positifs ? Quels blocages ?
Le positif :
- Le RGPD fait de la conformité un facteur de différenciation concurrentielle, et une valeur ajoutée indéniable pour donner confiance aux clients. Il est un élément de valorisation commerciale au même titre que la maîtrise de la sécurité.
- Des pays non européens se mettent en conformité avec le RGDP pour rassurer leurs clients européens, cela prouve que ce règlement est puissant.
Quelques difficultés :
- Le temps (2 ans) pour se mettre en conformité avant la mise en œuvre a été trop court. Le RGPD a été un véritablement bouleversement pour la vie des entreprises.
- Souvent une entreprise recourt à des sous-traitants, dans le cas où ces derniers gèrent des données personnelles, l’entreprise responsable de traitement sera en première ligne. Il est difficile de contrôler et de imposer des clauses aux sous-traitants malgré une responsabilité forte de l’entreprise chef de file. A l’inverse, les sous-traitants de grands comptes se voient imposer par des services juridiques des clauses sur cette gestion des données qui normalement ne sont pas de leur ressort. La pression est énorme et un abus de rapport de force se met en place, qui ne va pas forcément dans le sens du citoyen.
- Le principe d’”accountability” / conformité, est assez flou. Aujourd’hui, les entreprises ne savent pas si elles sont bien en conformité avec le RGPD. Passant d’une logique de responsabilisation de l’entreprise, il n’y a plus d’autorisation préalable pour démarrer un traitement de données personnelles, à charge pour l’entreprise, d’être conforme le jour du contrôle réalisé par la CNIL. Il y a donc une inquiétude quant à ce qui est attendu par les autorités de contrôles, et cela créé une certaine insécurité juridique.
- En cas d’activité à l’étranger, les entreprises s’interrogent sur la législation applicable entre le RGPD et d’autres normes.
- Le RGPD a éloigné des plateformes non-européennes qui ne voulaient pas se mettre en conformité et qui ont donc fermé leur accès aux utilisateurs européens.
- L’anonymisation des données est un sujet technique qui reste à ce jour très complexe.
- Il y a un manque d’information sur le sujet de la portabilité des données : quel format, quel délais, quelles modalités pratiques, etc. Qu’en est-il des données après la mort ?
- La mise en conformité est très lourde sur le plan administratif.
Ce qu’il reste à faire :
- Expliquer de manière simple et pédagogique aux citoyen.ne.s ce qu’est le RGPD, afin que chacun puisse l’utiliser pour se protéger sur internet.
- Amplifier les certifications ou labellisation officielles pour montrer les entreprises sérieuses dans le cadre de la conformité RGPD.
- Identifier des organismes intermédiaires de confiance pour répondre à toutes les demandes que la CNIL ne peut pas gérer.
Qu’est-ce que le RGPD ? Qui est concerné ?
Le RGPD (en anglais « General Data Protection Regulation » ou GDPR) encadre le traitement des données personnelles sur le territoire de l’Union européenne. Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…).
Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.
En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
- qu’elle est établie sur le territoire de l’Union européenne,
- ou que son activité cible directement des résidents européens.
Par exemple, une société établie en France, qui exporte l’ensemble de ses produits au Maroc pour ses clients moyen-orientaux doit respecter le RGPD.
De même, une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.