[Tic-Tac] RGDP : Enseignements post Computers, Privacy and Data Protection 2018

À l’occasion de la 11e édition de la conférence Computers, Privacy and Data Protection, qui s’est tenue à Bruxelles en janvier dernier, j’ai eu l’occasion de discuter avec toutes sortes de personnes : avocats, législateurs, universitaires… Je les ai interrogés sur la RGDP et voici quelques-uns des enseignements que j’ai tirés de ces conversations :

  • La fonction de DPO (Data Protection Officer) est prise très au sérieux. Initialement, le poste était plus ou moins attribué à la dernière personne en mesure de le refuser, laquelle était même souvent absente au moment de sa nomination. À présent que ce rôle est mieux compris, il est confié à des personnes à la fois plus influentes au sein de l’organisation et mieux qualifiées pour la tâche. Les profils combinant compétences technologiques et juridiques sont particulièrement recherchés.
  • Que l’on puisse se conformer à la RGDP lors d’une implémentation de la blockchain demeure incertain. Autant il est possible de chiffrer les données au sein de chaque application, autant le droit à l’oubli pose problème. Il faut aussi considérer la question géographique liée au minage, la plupart des capacités de calcul étant pour l’heure situées en Asie.
  • De façon intéressante, les intervenants sur le sujet de la blockchain avaient des opinions radicalement opposées sur l’intérêt de cette technologie et la meilleure façon de la mettre en œuvre. Pour le moment, il est clair que les interrogations sur les moyens de créer de la valeur surpassent celles concernant la technologie et la confidentialité des données. Une fois les cas d’usage clairement définis, les développements auront l’avantage de prendre en compte d’emblée la RGDP.
  • De nombreux avocats n’ont pas une lecture directive de la RGDP. Au contraire, ils travaillent avec leurs clients pour interpréter les exigences du texte dans le contexte propre aux processus, aux données et au profil de risque de chaque organisation.
  • Les défenseurs de la protection de la vie privée se montrent préoccupés par le niveau de préparation. La RGDP n’est pas apparue dans un vide juridique. À l’image de la loi Informatique et libertés en France, la plupart des pays ont déjà des lois protégeant la vie privée mais, jusqu’à présent, peu d’efforts étaient faits pour s’y conformer.

 Un mot du régulateur

Jan Philipp Albrecht

Selon moi, la table ronde de loin la plus intéressante fut celle intitulée « Implémentation de la RGDP : le compte à rebours jusqu’en mai 2018 ». La première chose que j’y ai apprise est que la RGDP possède un « père ». Il se nomme Jan Phillip Albrecht et, seul, il a soutenu la réglementation depuis ses premières ébauches jusqu’à son adoption par le Parlement européen. Jan Albrecht figurait dans cette table ronde, aux côtés de Renate Nikolay (UE), Mark Cole, de l’Université du Luxembourg, et Eric Miraglia, de Google. Leur discussion portait sur la période jusqu’au 28 mai, mais aussi sur ce qui se passera après cette date.

Voici quelques points qu’ils ont soulevés et qui m’ont paru intéressants :

  • Pour le moment, la principale réussite de la RGDP est d’avoir suscité une prise de conscience des enjeux de la protection des données. De nombreuses conversations lors de la conférence ainsi qu’avec divers clients d’Informatica au cours des 12 derniers mois me l’avaient suggéré mais les intervenants ont confirmé l’attention et le soutien sans précédent des dirigeants d’entreprise à cette question dans le cadre de la RGDP.
  • Le législateur est déterminé à ce que la RGDP soit un succès. Les pouvoirs publics entendent aider tous ceux qui sont à la traîne, en particulier les PME. Beaucoup ont pu avoir l’impression fausse que le règlement ne les concernait pas et leur mise en conformité a par conséquent pris du retard.
  • Les régulateurs nationaux n’ont pas le choix : dans leur pays, ils devront appliquer tel quel le texte européen. Ce sera le cas de la CNIL en France.
  • Étant donné l’intérêt croissant pour la protection de la vie privée partout dans le monde, la RGDP pourrait si nécessaire être adaptée en cas de circonstances imprévues et/ou d’initiatives globales sur le sujet.
  • La communication (en interne et avec les titulaires des données) est essentielle, de même que la capacité à démontrer que l’on a pris toutes les dispositions adéquates. Sans ces deux aspects, la probabilité est grande de finir devant un tribunal.
  • Pour se conformer à la RGDP, les efforts d’implémentation doivent être menés de façon transverse au sein de l’organisation. La donnée étant désormais omniprésente, le règlement impactera la quasi-totalité des processus et des métiers.
  • Il reste toutefois une grande question que chacun se pose à l’approche de l’échéance de mai 2018 : qui sera le premier ? Ou formulée autrement : quelle est la probabilité pour que je figure parmi les premières cibles des utilisateurs et/ou des autorités de régulation ?

À l’évidence, personne n’est en mesure de répondre à cette interrogation avec certitude, de même que personne n’est tout à fait sûr de ce que signifie la conformité pour quelques-uns des points les plus épineux. Cependant, pour ceux qui auraient à subir des vérifications, Jan Albrecht se montre rassurant : « Nous savons que la conformité à 100 % (à la RGDP) est impossible. L’action des autorités de régulation devra être proportionnée et nous veillerons à ce qu’elle le soit. » [1] Sans toutefois omettre d’ajouter aussitôt, bien entendu, que la RGDP s’appliquerait quoi qu’il arrive !

Les diverses informations et opinions que j’ai pu recueillir n’ont guère fait évoluer ce que je pensais de la RGDP mais ont plutôt renforcé mes convictions. S’agissant de la mise en conformité, quelques points clés ont ainsi été mentionnés de façon récurrente :

  • Ne prenez pas la RGDP à la légère. Même si votre entreprise échappe à l’attention immédiate des autorités de régulation, les personnes sur lesquelles vous détenez des données sont, en général, très intéressées par ce que vous en faites, et cet intérêt ne fera que croître.
  • La RGDP n’a pas été conçue pour punir les organisations qui conservent ou traitent des données à caractère personnel. Son objectif est d’aider les citoyens à accepter sans les craindre toutes les technologies que propose notre monde de plus en plus digital. Ceci en introduisant un certain niveau de confiance entre les individus et ceux qui manipulent les données.
  • Préparez-vous au changement et à ce qu’il ne se limite pas à la RGDP. À mesure que la protection de la vie privée deviendra une préoccupation grandissante, pourraient apparaître dans d’autres pays des législations s’inspirant de certains aspects de la RGDP.

Dans chaque organisation, la mise en conformité avec la RGDP empruntera des voies différentes, mais le processus sera plus fructueux pour celles qui mettront en place une gouvernance et une gestion globales des données. Elles tireront en effet d’une meilleure gestion de leurs données (en commençant par celles concernées par la RGDP) des bénéfices qui iront bien au-delà de la seule conformité. Elles seront également davantage en mesure de s’adapter à de futures réglementations autour des données. À l’inverse, les entreprises qui ne regardent pas au-delà du 25 mai et mettent en place des outils très spécifiques pour ne répondre qu’à quelques-unes des exigences de la RGDP pourraient se retrouver face à d’importants chantiers lorsque seront rendus les premiers jugements pour infraction à la RGDP, ou qu’il leur faudra se conformer à d’autres législations concernant les données.

le 14 juin 2018 à Paris – le Symposium Gouvernance des Données et Conformité – 100 décideurs IT et métier – Stratégies, Technologies, Retour d’Expériences – Envie d’en savoir plus ? https://www.informatica.com/fr/

Autres articles publiés par Informatica en français dans la série RGDP/GDPR :

Et si GDPR était une bénédiction pour le marketing ?

GDPR as a Service ?

Commentaire