RGPD: très chères données ?
En mai 2018, le règlement européen portant sur la protection des données personnelles (RGPD) sera applicable. Ce texte pose un socle commun de règles renforçant les droits de tous les résidents européens (clients, utilisateurs, administrés, salariés, agents publics) et la responsabilité des organismes privés comme publics qui traitent des données personnelles. Les mesures à anticiper sont nombreuses, elles sont source de dépenses en vue de répondre aux exigences réglementaires. Eclairage sur cette règlementation et les coûts liés avec Philippe Pierre, associé en charge du Secteur Public et responsable mondial Institutions européennes et Frédéric Vonner, associé et RGPD Leader chez PwC Luxembourg.
Où en est le secteur public?
P.P.: Le secteur public n’est pas particulièrement en retard par rapport au secteur privé concernant la mise en œuvre de cette nouvelle règlementation. Les institutions européennes sont légèrement en avance, car elles étaient déjà soumises à des obligations qui sont reprises dans le RGPD. Par exemple, elles avaient déjà l’obligation d’avoir un délégué à la protection des données. D’autres organisations, plus petites ou moins habituées à la protection les données qu’elles traitent, par exemple parce que ces données ne sont pas particulièrement sensibles, ont certainement pris un peu plus de retard. Il est à noter que les institutions européennes sont exclues pour le moment du champ d’application de la RGPD. Un règlement les concernant directement est en préparation.
F.V.: le Secteur Public est globalement conscient car il a accéléré son processus de transformation digitale et les services qu’il délivre sont de plus en plus concernés : les organismes publics collectent, stockent, échangent et transfèrent en masse des données notamment via les nombreux e-services rendus aux usagers, les dispositifs de contrôle et de sécurité ou bien encore les projets de villes intelligentes («Smart Cities»). Au-delà de ces contraintes légales, le secteur public a saisi que l’utilisation responsable et sécurisée des données collectées constitue un véritable enjeu d’accès au droit, d’égalité de traitement, de protection et donc de confiance des citoyens. Cela est particulièrement vrai pour les organisations traitant des données «sensibles», telles que le secteur de la santé et de la protection sociale, ou les organismes traitant les données des agents publics.
Peut-on estimer clairement le coût qu’impliquera la mise en conformité?
P.P.: Le coût d’une mise en conformité dépend de la taille de l’organisation et de la quantité de données traitées, mais également de la « maturité » de l’organisation, c’est-à-dire de la mesure dans laquelle celle-ci a déjà une connaissance des données personnelles qu’elle traite, de la raison pour laquelle ces données sont collectées et traitées, du cycle de vie des données, et de la manière dont ces données sont protégées. Plus cette connaissance est approfondie, plus le travail de mise en conformité sera rapide et facile. Une telle connaissance peut également permettre de gagner en efficacité en mettant en évidence les redondances : données demandées à la personne plusieurs fois etc.
F.V.: Le processus de mise en conformité au règlement est complexe, il impose les mêmes principes de protection des données tant aux organismes publics qu’aux grands groupes et aux TPE/PME tout en tenant compte d’un principe de proportionnalité. Afin d’atteindre une conformité complète, on peut commencer par adopter une approche par les risques, autrement dit mettre en place des actions utiles afin de réduire les risques des personnes concernées par rapport à la mauvaise utilisation de leurs données personnelles et, de facto, de minimiser le risque de sanctions prévues par le texte.
Existe-t-il un moyen d’optimiser ces investissements et comment les pérenniser dans le temps?
P.P.: Des solutions sophistiquées ne sont pas toujours nécessaires et certains logiciels peuvent accélérer le travail de connaissance pour permettre un diagnostic et mieux savoir où l’organisation en est par rapport au traitement des données personnelles. Nous en faisons d’ailleurs usage dans le contexte de missions en cours et les résultats sont souvent très enrichissants.
Un bon moyen d’optimiser les investissements liés à la mise en conformité est d’identifier les synergies avec d’autres projets en cours ou à venir. Par exemple, la protection des données est liée – mais ne se limite pas – à la sécurité de l’information et à la gestion des risques, voire à la transformation digitale. La mise en conformité peut s’appuyer, ou appuyer, des projets dans ces domaines, pour optimiser la gestion des données au sens plus large.
Enfin, travailler en groupe avec d’autres organisations peut permettre de partager les idées, les ressources et les bonnes pratiques pour gagner du temps et in fine de l’argent.
F.V.: Pour pérenniser ces investissements, il est important d’impliquer toutes les parties prenantes dès que possible. Contrairement à ce que l’on pourrait penser, la mise en conformité ne dépend pas uniquement de l’équipe juridique ou IT d’une organisation. Tous les services impliqués dans le traitement des données personnelles doivent être sensibilisés et participer à la mise en place de la conformité au RGPD. Cela permettra de bâtir des fondamentaux sur lesquels il sera possible de construire, maintenir et en cas de besoin de modifier les procédures et les pratiques.
La conformité sera aussi susceptible de durer si elle ne s’appuie pas uniquement sur une solution technologique seule, vouée comme on le sait à évoluer très rapidement. Dans l’idéal, tout projet devra effectivement être le résultat d’une synergie, la solution technologique jouant son rôle d’effet de levier, développée autour d’une stratégie partagée avec des objectifs identifiés et un calendrier précis.