RGPD: une obligation de résultats, pas seulement de moyens
Dans un monde dominé par les technologies américaines et asiatiques, l’Union européenne régulièrement désignée comme à la traine, fait office de lumière législative. À l’instar du Règlement Général sur la Protection des Données (RGPD) mis en place en mai 2018 et dont des législations étrangères s’inspirent. Après presque deux années d’application, retour sur cette obligation de résultats. Interview de Lionel Gendarme, Data Protection Officer et Advisory Partner chez Grant Thornton Luxembourg.
Quelles sont les activités de Grant Thornton dans le domaine de la protection des données?
Notre cabinet de conseil est spécialisé dans les problématiques réglementaires du secteur financier et bancaire ainsi que dans la sécurité informatique et l’assistance aux startups.
Dans le domaine de la protection des données, après avoir assisté de nombreuses sociétés à se mettre en conformité avec le RGPD, nous assurons de nombreuses missions de Data Protection Officer externe (DPO) pour des sociétés et sommes de plus en plus sollicités pour des missions d’évaluation sur la conformité avec le RGPD.
Justement, quel est le niveau actuel de maturité des sociétés en la matière?
Si une majorité d’entreprises ont entamé des démarches, toutes n’ont pas encore atteint un niveau de maturité suffisant. Entre ces deux extrêmes réside une multitude de nuances qui interroge quant à la conformité au RGPD.
Il existe aussi de grandes disparités selon les secteurs d’activités. Les acteurs du secteur bancaire par exemple, soumis à de nombreuses obligations réglementaires, disposent d’un savoir-faire réglementaire certain et d’un haut niveau de sécurité. Des moyens que beaucoup de PME n’ont pas.
Les sociétés sont-elles logées à la même enseigne en ce qui concerne leur niveau d’exposition au RGPD?
Non car tout dépend de leurs activités. Celles dont les clients sont des professionnels ne gèrent en principe que les données personnelles de leurs employés. Dans le B2C en revanche, il en va aussi de la gestion des données personnelles des clients personnes physiques.
Les banques de détail sont ainsi très exposées du fait de la volumétrie des données personnelles qu’elles traitent. Citons aussi les FinTechs qui développent des logiciels utilisés par le grand public via des applications. Dès lors que ces applications requièrent la saisie de données personnelles, cela entraine des problématiques de vie privée, de sécurité (comme l’encryptage et la minimisation des données) ainsi que la gestion du fameux consentement. Citons encore les organismes publics (qui ont l’obligation d’avoir un DPO) et les entreprises et associations qui sont actives dans le médical et le social (hôpitaux, laboratoires d’analyses médicales, aide aux personnes vulnérables, aide à l’enfance…) qui traitent des données sensibles et sont de fait très exposées au RGPD.
Est-ce que les rôles et responsabilités des sociétés sont toujours clairement définis?
Pas toujours et notamment en cas de sous-traitance. A titre d’exemple il existe de nombreuses plateformes en ligne de mise en relation entre des professionnels et des particuliers (par exemple dans le domaine médical) qui se définissent comme intermédiaires uniquement. Leur argument étant qu’elles ne conservent pas les données personnelles dont elles n’assurent que le transit. Or, elles ont bien un contact direct avec les particuliers.
Quel est le niveau de maturité des personnes sur l’utilisation de leurs données personnelles?
Il est indéniable que la prise de conscience entraîne toujours plus de personnes à se poser cette question. Ainsi en entreprise, il n’est pas rare que des employés interrogent leur direction sur la conservation et l’utilisation de leurs données personnelles (y inclus leurs photos). Paradoxalement, de nombreuses personnes continuent de partager sur les réseaux sociaux des informations personnelles qui peuvent nuire à leur vie privée.
Le RGPD a-t-il des points d’achoppement avec la sécurité de l’information et qu’en est-il du cloud?
La conformité au RGPD implique presque systématiquement la sécurité informatique. Le traitement des données personnelles (à savoir la collecte, le stockage, la modification, la transmission et la publication) fait face à des risques de perte, d’altération et de vol de ces données. C’est pourquoi les cadres de sécurité existants doivent être revus et renforcés à la lumière du RGPD.
Le cloud peut aussi être une problématique dans la mesure où les données y sont partout et nulle part à la fois. Il se peut ainsi que les opérateurs de services cloud sous-traitent à d’autres intervenants. Citons aussi les GAFA qui sont soumis à la législation américaine et notamment au «Cloud Act», qui permet entre autres aux autorités américaines de consulter les données qu’ils hébergent (même en dehors des Etats-Unis) sans que personne ne soit informé. Et bien évidemment, de nombreuses données couvertes par le RGPD s’y trouvent…
Il convient donc pour les entreprises de bien évaluer les risques avant d’utiliser des services cloud.
L’exploitation des données personnelles est-elle le nouvel or noir du XXIe siècle?
Au Luxembourg le RGPD a remplacé l’ancienne législation de 2002 qui transposait une directive européenne votée en 1995. Depuis cette époque où internet était naissant, les données sont devenues exponentielles, personnelles, sensibles et ont de plus de plus une valeur commerciale dans la mesure où exploitées, elles permettent d’établir des profils de consommation et donc de vendre plus aux consommateurs.
Ces données peuvent aussi soulever des questions démocratiques à l’instar des élections américaines de 2016 qui ont fait l’objet de campagnes de manipulation. Ces risques seront d’autant plus grands à mesure que l’utilisation de l’intelligence artificielle se généralisera. Le profilage des personnes et la prise de décisions automatiques des algorithmes d’IA augmenteront inévitablement le nombre de cas de discrimination et pourront devenir une menace sur les droits fondamentaux des personnes.
Toute la question est de savoir si nos valeurs démocratiques sont menacées par cette modernité ou si les deux peuvent aller de pair. Les législateurs de nombreux pays planchent sur cette question.
Que peuvent faire les autorités, organismes et entreprises publics pour rassurer les citoyens dont elles traitent les données personnelles?
Bien évidemment, se mettre en conformité avec le RGPD mais aussi se faire évaluer par des cabinets indépendants. L’article 43 du RGPD permet la mise en place d’un mécanisme de certification par lequel la Commission nationale pour la protection des données (CNPD) approuve des organismes certificateurs qui peuvent évaluer et certifier les processus en place dans des entreprises, à la demande de celles-ci.
Cette certification ne dégagera en rien ces entreprises de leur responsabilité mais permettra d’augmenter la confiance des personnes concernées sur la manière dont elles traiteront leurs données personnelles.
Les sociétés craignent-elles les pénalités que les autorités nationales de supervision (la CNPD au Luxembourg) ont le pouvoir d’infliger?
Jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial a en effet de quoi faire peur. La CNPD a cependant beaucoup œuvré pour sensibiliser et informer. Si pour l’heure elle n’a pas encore donné de sanction, et ce contrairement à d’autre autorités nationales en Europe, nul doute que cela arrivera. C’est juste une question de temps.