La journée européenne de la protection des données du 28 janvier est l’occasion de faire le bilan de 4 ans de RGPD. Ainsi que de continuer à sensibiliser grand public et entreprises à la protection des données personnelles. Plus qu’un sujet juridique, la privacy s’inscrit dans un mouvement sociétal mondial d’intérêt des personnes sur la vie privée et sur la manière dont les gens peuvent faire respecter leurs droits. Dans ce contexte, le RGPD en vigueur depuis 2018 pose un contexte juridique unifié pour l’Europe. Là où auparavant, chaque pays y allait de sa propre initiative, y compris la France avec la loi informatique et libertés. Désormais, la gestion de la vie privée et de la souveraineté de la vie privée occupe une place extrêmement importante au niveau mondial.
Selon les stratégies gouvernementales, les politiques tendent soit à offrir des droits aux personnes sur leurs données, soit à s’assurer que le contrôle de ces données restent au sein de l’Etat. En Europe et en France, les entreprises et le grand public ont désormais 4 à 5 ans de recul sur le RGPD. BORDEAUX Business s’est donc entretenu avec Christophe Gueguen, associate Partner au sein de la practice Sécurité de Magellan Consulting, pour faire le bilan notamment des enjeux de la protection des données pour les entreprises comme pour le grand public.
Quelle est la valeur des données personnelles sur le marché ?
Aujourd’hui, la valeur financière des données personnelles est une question à plusieurs facettes. D’abord, on parle de ces données comme du nouveau pétrole. On reconnaît bien par là la valeur marketing pour les entreprises de bien connaître leurs clients.
Dans ce contexte, le RGPD a d’abord été perçu comme une contrainte pour les entreprises. De notre côté, Magellan Consulting a été largement sollicité par les équipes marketing. Lesquelles se sont finalement intéressées davantage aux possibilités pour tendre vers “mieux” de données plutôt que “beaucoup” de données. Notamment parce que les conditions sont devenues beaucoup plus restrictives et donc laborieuses à gérer, avec par exemple les durées de conservation imposées par le règlement. Avec le RGPD, le marketing s’interroge davantage sur : est-ce que les données sont vraiment pertinentes ? En a-t-on vraiment besoin ? Quel tri faire pour mieux valoriser ces informations ? On observe un vrai changement sur la qualité des données et leur valorisation.
Autre aspect de la valeur financière des données : la fuite de données et les cyberattaques. Avec le digital, on peut désormais se demander combien vaut un numéro de carte bleu ou des données de santé. Et par conséquent, combien les institutions et les personnes sont prêtes à payer pour que les informations ne soient pas divulguées. L’industrie des cyber attaques sait très bien valoriser les données. Et elle sait aussi parfaitement solliciter les personnes comme les entreprises en demandant des rançons qu’ils sont capable de payer.
Comment le RGPD a-t-il impacté les entreprises françaises ?
L’impact du RGPD se ressent à plusieurs niveaux dans les entreprises.
D’abord, le règlement a eu un impact financier avec de nouveaux budgets associés aux mécanismes de protection des données. Au départ, il s’agissait surtout de la peur du gendarme et des amendes (4% du CA etc). Finalement, à l’épreuve du terrain, on remarque une vraie volonté de protéger les données pour une image de marque avant tout. Mais aussi pour éviter des impacts financiers des actions malveillantes vis à vis des personnes. Se prémunir des amendes donc mais surtout d’un attaquant, d’une fuite qui pourrait atteindre l’image, la valorisation ou la capacité d’une entreprise à attaquer son marché.
Autre impact du RGPD, les entreprises ont soudain pris conscience de la nécessité de mettre en conformité des process non-conformes depuis des années. Cela a donc été l’occasion d’une remise à niveau, notamment sur des sujets compliqués de purge de données : combien de temps les garder ? comment les traiter ?
Aussi, en plus de l’impact marketing évoqué plus tôt, le RGPD a un impact organisationnel. Il impose notamment la nomination d’un DPO ou data privacy officer. En complément, il met l’accent sur la responsabilisation des managers et les process à instaurer. Désormais, les entreprises sont de mieux en mieux sensibilisées. Avec la pression faite en France et à l’international, on assiste à un changement des mentalités.
Plus encore, le RGPD impose une co-responsabilité entre le responsable des données et les sous-traitants. Avant, la responsabilité était simplement déléguée à un sous-traitant. Aujourd’hui, les sociétés optent pour la sécurisation, par exemple avec la mise en place de questionnaires. Pour pouvoir assurer leur business, les entreprises doivent répondre à leurs clients favorablement et pouvoir prouver les actions mises en place. Finalement, l’ensemble crée un cercle vertueux pour conserver ou gagner des marchés.
Les entreprises arrivent-elles à se conformer à ces nouvelles obligations ?
C’est compliqué pour certaines mais dans différentes mesures car il existe plusieurs niveaux de complexité.
Je pense notamment à des secteurs d’activités où la mise en application concrète est particulièrement difficile. Dans certains cas, les textes prévoient même des durées de conservation des données avec des réglementations contradictoires. La loi leur impose de conserver des documents et des informations pendant longtemps mais le RGPD exige une suppression des informations.
D’autres entreprises se heurtaient à des problématiques beaucoup plus liées à leur structure et leur organisation. Il fallait alors revoir la totalité des process qui avaient été conçus sans conscience du sujet et modifier des pratiques pour le moins datées. Aujourd’hui, encore dans certaines sociétés, on note un besoin de travailler en profondeur sur la culture d’entreprise.
Autre difficulté, il y aussi tout un imaginaire au niveau du RGPD. Mais quand on explique ce qu’il faut réellement faire, comment l’organiser par rapport à leur activité, les priorités et les apports, il y a un vrai intérêt.
Magellan Consulting travaille à la fois pour de très grands groupes qui gèrent les données de millions de personnes, ou des petites structures. Dans ce contexte, on remarque des difficultés particulières pour les entreprises qui veulent se développer à l’international. La France compte un tissu industriel actif avec des marchés de pointe au niveau mondial. Ces entreprises là rencontrent souvent des difficultés pour être en conformité à la fois avec le RGPD et les équivalent qui arrivent dans tous les pays, même hors Europe, notamment en Russie. Pour les entreprises en marché de niche qui veulent s’étendre sur des marchés étrangers, cela implique un effort important à faire et une industrialisation des process.
A quelles sanctions s’exposent les entreprises qui ne sont pas en conformité avec le RGPD ?
Avant toute chose, il faut savoir que les sanctions prévues sont réellement appliquées. On assiste même à une accélération des sanctions. Forcément, on remarque surtout les amendes annoncées pour les gros acteurs américains. Pour les plus petites structures, les montants sont variables, selon le chiffre d’affaires et l’ampleur des non-conformités.
Dans le fonctionnement, la CNIL a été très accompagnatrice avec une volonté d’aider les sociétés à passer le cap. Finalement, pendant les premières années, elle n’a pas adopté la posture du gendarme sauf sur les choses béantes ou en cas de manque de volonté des entreprises de régulariser la situation. Au contraire, elle s’est montrée très tolérante, pédagogue.
Maintenant, gérer correctement les données personnelles rentre dans les mœurs. Donc il y a quelques sujets acceptables au début du RGPD qui sont désormais surprenants et intolérables. Au moins sur les basiques. C’est ce qui explique que les sanctions se multiplient à présent.
Classement européen : quelle place pour la France dans la transition vers le RGPD ?
C’est difficile à dire car le sujet RGPD est très vaste. Il implique des sujets d’applications différents, des cultures et une appétence différentes pour la protection des données. Par exemple, les allemands sont très sensibles sur ce sujet donc ils ont déjà une vraie culture sur le sujet. Dans la lignée, on a pu voir des amendes significatives également au Luxembourg et en Italie.
A titre d’exemple, en Allemagne, H&M a été condamné à payer 35 millions d’euros pour surveillance illégale de plusieurs centaines d’employés. Ils récupéraient et stockaient notamment des informations sur la famille, la religion, l’historique de santé…
En France, c’est surtout sur le sujet des cookies qu’il y a encore quelques efforts à faire.
Le RGPD est-il remis en question face au Covid-19 et les applications de traçage ?
Il faut séparer RGPD et respect de la vie privée. Le RGPD, c’est le texte européen qui définit un certain nombre de mécanismes. Dans le cadre de la crise sanitaire, la CNIL a travaillé sur les applications de traçage. Elle encadre donc au maximum les atteintes à la vie privée. Plus encore, elle a décidé et annoncé sans équivoque que ces applications devaient disparaître immédiatement après la crise.
En réalité, il faut surtout retenir que le RGPD dit qu’on doit informer les gens et que le consentement doit être obtenu. Dans le cadre de ces applications, c’est le cas. La vraie question selon moi est plutôt de savoir comment ce tracking a changé nos comportements et notre acceptation. Finalement, la plupart des gens s’en sont très bien accommodés car c’était un échange contre des services et sa conservation des libertés. A ce stade, je pense que les questions sont plus sociétales et politiques plus que techniques et réglementaires.
Cloud : quelles solutions pour répondre à la protection des données ?
Il existe plusieurs sujets autour de la protection des données qui concernent notamment le modèle économique des différents offreurs de Cloud. Finalement, la question est : qu’est-ce qu’on accepte de leur laisser comme données ?
En la matière, les gens sont ambivalents. Tous autant que nous sommes utilisons beaucoup les applications tout en étant conscients de l’utilisation des données. On a donc affaire à un gros sujet de sensibilisation.
Il y a aussi un sujet de fond sur les données les plus sensibles et sur ce qu’on appelle le Cloud souverain. D’ailleurs, des acteurs français et européens se positionnent pour offrir des services de cloud de confiance. D’une manière générale, les offreurs, y compris américains, font un énorme focus de développement sur la partie protection des données et les mécanismes pour classifier les données. Ils cherchent à leur donner un niveau d’importance, à séparer le tout-venant des informations sensibles ; mettent en place des alertes sur la mauvaise utilisation des données ; utilisent des technologies de chiffrement pour renforcer la protection des données.
De cette façon, ils assurent un niveau basique de protection dans lequel ils garantissent un certain nombre de services communs à tous les utilisateurs, de fondamentaux sur toute la plateforme. En complément, ils proposent la possibilité de souscrire à des services et des niveaux de protection supplémentaires.
Cela rejoint les sujets de coresponsabilité. Le cloud est arrivé vite en entreprise et elles sont en train d’apprendre, dans la contractualisation, les rôles et responsabilités qui relèvent du fournisseur ou ceux qui relèvent d’eux. D’ailleurs, l’ANSSI a publié un document sur le secure cloud, un guide de référence sur la sécurité du cloud. En introduction, il indique que les sociétés sont responsables des données dans les solutions qu’elles choisissent. Il leur revient donc de mettre en place les process de contrôle à faire ensuite. Consignes aux employés, vérification du bon respect du process, audit RGPD et contrôle des fournisseurs…
Ce qu’il faut retenir, c’est qu’avec le RGPD, on est sur un sujet de maîtrise des risques. Les entreprises, y compris les plus petites, travaillent vraiment sur la protection de leur propre patrimoine. Entre la sensibilisation des personnes et la responsabilité des entreprises, on entre donc dans un cercle vertueux. Ainsi, les entreprises capables d’apporter de la valeur sur leur cœur d’activité et démontrer une gestion vertueuse des données personnelles auront, voire ont déjà, une longueur d’avance. Cela rejoint les démarches RSE et contribue à un ensemble de bouleversements vertueux, intéressants et enthousiasmants.
Source
Entretien avec Christophe Gueguen, associate Partner au sein de la practice Sécurité de Magellan Consulting. Le 02 février 2022.
