Une approche sensée qui minimise les risques
De nombreuses organisations courbent l’échine face au Règlement Général sur la Protection des Données, entré en vigueur le 25 mai 2018. «Plus particulièrement les petites structures comme les PME ou les communes», s’accordent à préciser les associés de PwC Luxembourg, Frédéric Vonner et Guy Brandenbourger, ainsi que le manager Jacques-Félix Wirtz. Interview.
Plus d’un an après la mise en œuvre du RGPD, qu’en est-il de la conformité des secteurs privé et public?
GB: Si le secteur public a toujours eu le souci de la protection des données des citoyens, toute la question est de savoir comment il se matérialise dans la conservation et le traitement des données personnelles. Et force est de constater l’attention encore relative du secteur public en la matière. Prenons pour exemple les 102 communes du pays; peu sont celles qui ont formé ou même sensibilisé leur personnel au sujet et seule une minorité a mis en place une gouvernance et des procédures d’alertes. Les données citoyennes en leur possession sont pourtant à caractère sensible.
Reste aussi que le secteur public a régulièrement recours à des entreprises du secteur privé pour assurer des services d’intérêt général. Les données récoltées durant ces missions doivent être encadrées par le RGPD afin de s’assurer, par exemple, qu’elles ne seront pas commercialisées. Le citoyen ne saurait être considéré comme un consommateur, même par le prestataire de service.
FV: Bien évidemment, les communes n’ont pas toujours les moyens technologiques et humains du secteur financier en termes de sécurité et de la mise en conformité aux nouvelles réglementations. Nous pourrions simplement nous poser la question des données relatives aux cartes de fidélité de la grande distribution pour comprendre que le RGPD touche tous les secteurs d’activités. Les PME sont elles aussi en difficulté dans la mesure où elles n’ont pas toujours les ressources nécessaires. Seule la formation du personnel leur permettrait de comprendre quand et pourquoi il est nécessaire de faire attention. Les disparités de maturité en termes de protection des données se retrouvent donc aussi bien entre que dans les secteurs d’activités.
JFW: Les employés des petites structures, qu’elles soient privées ou publiques, ne sont pas assez informés. Au mieux ont-ils une vague idée de ce que le RGPD implique. Pourtant, aucune organisation étatique, commerciale, bénévole ou même humanitaire, n’est à l’abri des sanctions des autorités de contrôle. D’autant plus que le nombre de plaintes déposées par les citoyens augmente graduellement, ce qui est un signe indéniable de la prise de conscience dans la société.
Pourquoi un tel retard?
JFW: Dans la mesure où les communes ont des ressources humaines et financières limitées, ce thème n’est pas leur priorité. Cela devient pourtant un sujet d’autant plus urgent qu’elles détiennent des données dites sensibles sur leurs citoyens. Et c’est pourquoi nous leur proposons nos services de mise en conformité.
FV: Le degré de sensibilisation dépend souvent de la tradition historique de la structure concernée à la problématique de la protection des données. Un ministère, une institution, un établissement public ou une administration ne collecte normalement que les données dont il a besoin pour remplir sa mission publique. Des réflexions doivent néanmoins porter sur la collecte, le traitement, la sécurité et la durée de rétention. Le problème relève donc à la fois de l’adéquation des ressources mais aussi du niveau d’information du personnel.
Quelle est la maturité du Luxembourg sur la scène européenne?
FV: La maturité de la Commission Nationale pour la Protection des Données est élevée, voire très élevée dans la mesure où elle est la première autorité de contrôle à mettre en place une certification RGPD. La CNPD, en collaboration avec la CNIL française, a été nommée rapporteur européen sur la thématique de certification de protection des données. Ce qui est un signe de reconnaissance du savoir-faire et des compétences du régulateur luxembourgeois.
Pour ce qui est des entreprises et administrations, je dirais que l’on est dans la moyenne européenne. Nous sommes généralement mieux lotis en termes de délégués à la protection des données (DPO ou Data Protection Officier) par habitant mais avec de grandes disparités selon les secteurs. Si un gros effort a été réalisé dans la conformité réglementaire, comme par exemple la mise à jour des contrats, des sites internet, des notices d’informations, le cœur du sujet qui est la collecte, le traitement et la durée de conservation reste néanmoins à la traîne.
Au niveau des citoyens, deux-tiers des européens disent avoir entendu parler du règlement et le Luxembourg est, là aussi, dans la moyenne.
GB: PwC Luxembourg propose des formations adaptées, à la fonction de DPO et notamment des e-Learnings. Nos collègues de PwC France en collaboration avec l’UTT (Université Technologique de Troyes) proposent même un Diplôme Universitaire pour les DPO.
JFW: La sensibilisation est un sujet très important qui ne doit pas uniquement être mené dans les bureaux de direction mais bien à tous les échelons de la structure.
Pour qu’une gestion de données soit conforme au RGPD, elle nécessite des réflexions abouties sur l’analyse de risques, la cartographie des données collectées et leur durée de rétention.
Il vaut cependant mieux s’appuyer sur la philosophie du RGPD plutôt que d’investir inutilement des ressources pour respecter le règlement à la lettre; une approche sensée qui minimise les risques donc…