Les entreprises relèveront-elles le défi du RGPD ?

A lire !

Le RGPD permet l’application de pratiques nouvelles tant attendues par les internautes comme le droit à l’oubli, mais contraint les entreprises à s’adapter. Plus de trois mois après son entrée en vigueur, l’enjeu de la conformité au règlement européen est omniprésent. Mais qu’est-ce que cela implique pour les sociétés françaises ? Quels freins subsistent, quelles sanctions peuvent être appliquées, et quels sont les avantages à se conformer ? Quel est le défi du RGPD ?

Le 25 mai dernier, le Règlement Général pour la Protection des Données (RGPD ou « GDPR », en anglais) a été mis en vigueur. Voté par Bruxelles en mai 2016, il implique que toutes les sociétés européennes ou traitant avec l’Europe se conforment avec ses prescriptions. Elles concernent aussi bien la récolte que l’exploitation des données amassées. Autant dire que, du point de vue des entreprises, la réorganisation est de taille. Alors, sauront-elles relever le défi ?

Qui est concerné ?

Le RGPD concerne à la fois le secteur public (administrations, hôpitaux, collectivités locales…) et celui privé, des TPE aux grands groupes, en passant par les PME. De manière générale, le règlement s’adresse à tous ceux ayant des clients identifiés ou identifiables (pouvant être localisés précisément au moins trois fois par jour, ndlr). En clair, se retrouvent concernées toutes sociétés monétisant des bases de données individuelles, même si elles n’ont pas de relation avec les individus en question.

Les freins à la conformité

« Les entreprises qui contrôlent leurs données contrôlent leur destin. Il est donc surprenant de constater que, malgré la réduction des risques et les avantages opérationnels de la conformité GDPR, de nombreuses entreprises ont encore du mal à respecter les délais », lançait Bill Miller, Vice-président de NetApp, quelques semaines avant la date fatidique. Cela fait maintenant deux ans que l’ensemble des règles liées au RGPD a été voté et pourtant, bon nombre d’entreprises tardent à se mettre en conformité avec celui-ci. Le premier frein demeure son coût. Alors que mettre en œuvre de tels projets implique plusieurs dizaines de millions d’euros pour les grands groupes, les PME restent les plus touchées. Proportionnellement à leur chiffre d’affaires, les frais engagés peuvent se révéler très importants pour ces dernières et peser de façon conséquente sur leur activité.

Autre frein à la conformité : le degré de complexité en termes de mise à jour des politiques, processus et systèmes. Enfin, nombreux sont ceux à avoir attendu que les législations par pays soient définitivement établies avant d’agir. Si les grands axes étaient clairement annoncés, chaque pays se gardait en effet le droit de faire état d’une certaine marge de manœuvre.

La nécessité d’une réorganisation

En moyenne, une entreprise recevrait 89 demandes liées au RGPD chaque mois, selon l’étude réalisée par Senzing, une société de technologie logicielle (basée sur les avis de plus de 1 000 cadres supérieurs d’entreprises au Royaume-Uni, en France, en Allemagne, en Espagne et en Italie, ndlr). Il lui faudra ensuite fouiller dans 23 bases de données, sachant que chacune des recherches prendrait environ cinq minutes. Par mois, cela représente 172 heures de travail, soit 8 heures par jour. Conséquence, pour chaque société, il faudrait recruter un salarié supplémentaire. « La mise en conformité est très fastidieuse, car il faut embarquer tous les services en interne malgré la logique des silos.

C’est aussi très complexe au niveau légal, car il faut revoir tous les contrats avec les fournisseurs et clients, donc cela demande beaucoup d’interactions qui mettent tout le monde sur les dents », explique Virginie Dupin, Vice-présidente du marketing chez PROS, Inc., Cameleon Software. Du côté des grands groupes, la charge de travail se révèlerait d’autant plus colossale. Ces derniers feraient face à 246 demandes par mois et un temps de recherche estimé à sept minutes pour chacune d’elles. 43 bases de données seraient concernées pour 1 259 heures de travail supplémentaires. Pour traiter l’ensemble de ces demandes, 7,5 salariés seraient alors nécessaires.

La crainte d’être pénalisé

Un mois avant la date butoir, beaucoup d’entreprises manifestaient leur crainte de ne pas être prêtes dans les délais impartis. Si un certain nombre de grands groupes avaient déjà pris les mesures nécessaires, pour deux tiers des sociétés les plus modestes, l’horloge sonnait comme une menace. 35 % pensaient que le RGPD peut mettre en péril leur entreprise, d’après une étude NetApp (menée en mars 2018 auprès de sociétés basées aux États-Unis, Royaume-Uni, France et Allemagne, et employant plus de 100 salariés, ndlr). Et pour cause, trois mois avant sa mise en vigueur, on enregistrait 27 % des sociétés françaises qui n’étaient « pas certaines » de savoir où sont stockées leurs données, selon l’étude effectuée par Senzing.

« La bonne nouvelle est qu’il est encore temps d’engager un expert RGPD pour aider à hiérarchiser et à terminer les tâches de conformité RGPD les plus critiques et vous assurer, vous, vos partenaires et vos fournisseurs de Cloud de savoir où vos données privées sont stockées », rétorquait le Vice-président de NetApp plusieurs semaines avant la mise en application du règlement. Alors que Facebook essuie encore de nombreuses critiques à la suite du scandale Cambridge Analytica, les internautes se montrent de plus en plus méfiants face à la récolte de leurs données personnelles.

Dans ce contexte, 51 % des firmes estiment que la non-conformité face au RGPD peut porter atteinte à leur réputation et faire baisser le niveau de confiance accordé par leurs clients ou partenaires. Le règlement européen obligeant de notifier les failles de sécurité dans les 72 heures, l’image de marque serait d’autant plus mise en jeu. Ils sont également 44 % à craindre une diminution de leurs revenus, surtout quand on sait que les sanctions de non-conformité peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel global.

Sanctions et recours possibles

Plusieurs niveaux de sanction existent quant à la non-conformité au RGPD. Un simple « rappel à l’ordre » peut être prononcé par l’autorité administrative pour inciter l’entreprise concernée à corriger le tir. Mais, en cas de manquements plus graves, celle-ci peut se voir mise en demeure et contrainte d’effacer certaines données. Et, si au bout de plusieurs semaines, aucun changement n’a été opéré, les amendes tombent. Dans le cas de défaillances jugées les moins graves, l’amende maximale s’élève à 2 % du chiffre d’affaires ou 10 millions d’euros. Pour les manquements plus sérieux, elle peut, en revanche, monter jusqu’à 4 %. Gare également au tant redouté « name and shame », qui consiste à « nommer et couvrir de honte » en communiquant publiquement la décision de justice.

Autant dire que, dans cette situation, l’image de l’entreprise en prend un coup… Déposées par des particuliers ou par des entreprises auprès de la Cnil (Commission nationale de l’informatique et des libertés, ndlr), les plaintes concernant les sanctions administratives peuvent s’inscrire dans le cadre de recours collectifs dans le domaine de la protection des données. Pour des cas jugés plus graves, la Cnil peut engager un contrôle sur dossier, dans les locaux de l’entreprise ou en entretien dans les bureaux de l’autorité administrative. Notez bien qu’elle peut, dès lors, utiliser une identité d’emprunt. Et pour ceux s’estimant injustement sanctionnés et souhaitant obtenir réparation, il leur faudra alors saisir le Conseil d’État.

Un manque de considération chez certains

Malgré tout, certaines entreprises ne semblent pas conscientes des risques encourus. En février dernier, la moitié des firmes wallonnes (situées au sud de la Belgique, ndlr) prétendaient ne pas être au courant de l’application prochaine du règlement européen, et 57 % d’entre elles ne se sentaient pas concernées, selon une étude menée par Digital Wallonia. Seulement 34 % des sondés seraient conscients des amendes financières prévues pour non-conformité, d’après l’étude. Avant le 25 mai dernier, 52 % des interrogés n’avaient aucune idée de leur futur plan d’action pour se conformer au RGPD ou affirmaient être déjà dans le cas d’une « configuration optimale ».

À l’échelle de l’Union européenne, les chiffres ne se révèlent pas plus rassurants, au contraire. 60 % des entreprises seraient jugées « à risque » ou « en difficulté ». Un pourcentage qui pourrait engranger des dizaines de milliards d’euros d’amendes. 34 % prévoiraient néanmoins une réorganisation de leur système informatique, et près de 16 % souhaiteraient externaliser la gestion de ces données à un tiers.

Des fourmis, des cigales… et des caméléons !

Pour l’avocat Thierry Dor, spécialisé sur la question du RGPD, il faut distinguer trois catégories d’entreprises. Premièrement, les « fourmis ». Cette catégorie comprend les bons élèves, ou presque, et renvoie aux « grands groupes, PME ou startups dans des secteurs très régulés comme la banque et l’assurance, qui se sont préparés dès 2016-2017 », comme l’explique l’avocat. Les « cigales », elles, font référence aux retardataires. On retrouve là, notamment, « des sociétés industrielles, des entreprises dans le « B to B », des PME étrangères exerçant en Europe » qui « se sentent à tort éloignées du sujet et se réveillent au dernier moment ». Dernière catégorie, les « caméléons ». Familières avec les enjeux du RGPD, ces sociétés se montreraient « réticentes à engager les coûts nécessaires » à la conformité au règlement européen. Elles attendraient ainsi de voir « dans quel sens tourne le vent » et misent sur la tolérance des régulateurs.

Se conformer au RGPD

Seulement 26 % des firmes européennes étaient entièrement conformes au RGPD à moins de cent jours de son application, selon Forrester. « 26 % ? Ce serait le paradis. Il m’arrive encore tous les jours de rencontrer des PME et des TPE, qui n’ont aucune idée de ce qu’est le RGPD ou qui sont totalement perdues et ne savent pas par où commencer », réagissait de son côté Emmanuelle Cornet-Ricquebourg en mars dernier, cofondatrice de Datae, une startup qui fournit un logiciel d’accompagnement des démarches de conformité pour le RGPD.

Pour certains, la première chose à faire pour se mettre aux normes serait d’engager une démarche de prise de conscience des enjeux liés au RGPD et à son entreprise. Deuxième étape : établir un pilote. Certains ont d’ailleurs, désormais, l’obligation de nommer un DPO (« Data Protection Officer », en anglais, soit une personne en charge de la protection des données personnelles, ndlr). Enfin, il faut réaliser la roadmap. Ce plan d’action a pour but d’évaluer les traitements en lien avec les données personnelles. Il s’agit de gérer les risques mais également de réorganiser son fonctionnement, si besoin est, et de suivre ses évolutions.

Un gain pour les entreprises

Bon nombre d’entreprises voient dans le RGPD une contrainte, si ce n’est une menace. Pourtant, ce règlement peut constituer un véritable atout pour ces dernières et leur permettre de mieux maîtriser la donnée. Une meilleure connaissance des traitements aura pour effet une gestion de la donnée plus fine et plus rationnelle. Une bonne manière d’enrichir l’expérience utilisateur et d’améliorer son positionnement. Les internautes fixant eux-mêmes les contenus mais aussi la fréquence des messages qu’ils souhaitent recevoir, leur attention et ainsi leur potentiel d’engagement en seront naturellement décuplés. Terminée la communication de masse, sans réel ciblage ni grande efficacité.

D’un autre côté, afficher toujours plus de transparence a tendance à susciter la confiance des consommateurs. Garantir le respect de leur vie privée améliore également considérablement l’image de l’entreprise concernée. En vous plaçant comme une entreprise éthique et responsable, vous deviendrez sans conteste un tiers numérique de confiance aux yeux de vos clients / prospects comme à ceux de vos partenaires.

L’émergence d’un business de la conformité

Pour certains, le RGPD intervient comme une véritable opportunité. Ils sont nombreux parmi les spécialistes de la  protection des données personnelles à évoquer un nouveau marché juteux. Les sociétés issues du secteur de la protection de la vie privée arrivent en force avec leur lot d’outils et de services clé en main. De la collecte du consentement des utilisateurs aux traitements des données, en passant par l’automatisation des tâches…, les axes envisagés sont nombreux. Pour le domaine du conseil juridique, là encore se trouve un vivier d’opportunités. Analyser les différents impacts sur l’activité, aider à l’élaboration des conditions générales mais aussi créer de nouveaux process de conformité sont à prévoir.

Redonner la main au consommateur avec le droit à l’oubli

Ils sont 82 % de consommateurs européens à prétendre qu’ils souhaitent tirer parti de leurs nouveaux droits, le fameux « Privacy by Design » (« Vie privée dès la Conception », en français, concept qui garantit que la protection de la vie privée soit intégrée dès la conception d’une application technologique ou commerciale, ndlr). Malgré ce pourcentage, seulement 11 % des sociétés prévoient d’automatiser les réponses aux demandes de droit à l’oubli. Pour le reste, elles envisagent procéder manuellement au traitement de chaque requête ou bien n’auraient tout simplement pas prévu de respecter ladite réglementation. Si les coûts relatifs au traitement manuel peuvent faire grincer des dents, l’aspect sécuritaire en prendrait, lui aussi, pour son grade. Ouvrir l’accès à des données sensibles à des groupes de personnes à travers diverses applications fragilise la sécurité de celles-ci, à l’inverse des objectifs recherchés par la nouvelle réglementation.

Plus d'articles

Derniers articles