La réalité du terrain du RGPD, un mois après la date buttoir du 25 mai, est bien loin d’être aussi idyllique que l’on pourrait le croire. Tout reste à faire ! Tel est le bilan que nous pourrions tirer de la table ronde experte du CEFCYS.
Le CEFCYS, le Cercle des femmes dans la cybersécurité, a invité ses membres et la communauté de la cybersécurité à faire un point sur le Règlement européen pour la protection des données personnelles, lors de son colloque « RGPD le mois d’après » qui s’est tenu dans le cadre prestigieux de l’Université Paris Descartes.
Point phare de cette manifestation, la table ronde « Quels sont les problèmes rencontrés par les entreprises suite à l’entrée en vigueur du RGPD ? » a réuni en six experts – Florence Bonnet, DPD et consultante en protection des données chez TNP ; Matthieu Camus de Privacy Impact ; Isabelle Landreau, DPD ; Philippe Michel, CEO chez Datarespect ; Pierre-Luc Refalo, Directeur des offres RGPD au sein de Capgemini ; et Rayna Stamboliyska, Manager Sécurité réglementaire chez Sopra Steria – et a été animée par notre rédacteur en chef.
Bien loin d’un engagement total...
Le constat de nos experts est rude : nos entreprises sont loin d’être engagées dans la conformité, malgré les discours qui pourraient nous le laisser croire et les études qui les accompagnent. Les entreprises en conformité avec le Règlement sont encore rares – ce sont généralement celles qui étaient déjà en conformité avec les règles de la CNIL (80 % de la mise en conformité serait déjà engagée…) - et plusieurs exemples de grandes entreprises sont évoqués qui de leur propre avis ne seront pas en conformité avec le RGPD avant 2019… au plus tôt !
Le projet européen a été initié il y a 3 ans, les organisations sont informées depuis 2 ans, la pression n’a cessé de monter au cours des derniers trimestres. Et pourtant la conformité attendue n’est pas là ! Pourquoi ? Au delà de la lenteur usuelle française, à l’origine de certains retards technologiques habituels dans nos entreprises, également de nos politiques qui ont certainement voté tardivement l’environnement législatif qui a permis de faire entrer le RGPD dans le droit français, le constat est sans appel, les entreprises se sont trop peu intéressées au RGPD. Certains outils ou usages, comme celui des tableaux Excel, sont également pointés du doigt. Tout comme l’est l’attitude de la CNIL...
La responsabilité de la CNIL
Le discours conciliant, qui rappelle régulièrement que le gendarme du numérique fera preuve de souplesse, n’a pas favorisé la célérité des entreprises pour se mettre en conformité. Certes, le volet répressif est incitatif – d’ailleurs les entreprises interpellent en priorité nos experts pour savoir comment éviter les potentielles et lourdes amendes -, mais avec 170 inspecteurs, tout le monde se demande comment la CNIL pourra remplir sa mission de gendarme !
La dizaine de plaintes qui aboutissent quotidiennement sur les bureaux de la CNIL, bien concrètes à la différence du symbolisme de la première action en nom collectif portée par la Quadrature du Net dès le 25 mai, sont pourtant là pour rappeler qu’il existe un vrai problème sur les dérives dans les usages des données personnelles.
DPO : c’est trop tôt !
Une bonne part des discussions a également porté sur le DPO, présenté comme le responsable de la sécurité des données que le RGPD impose de mettre en place lorsque des seuils sont atteints (nous n’évoquerons pas les bases du RGPD, nous vous invitons à relire nos articles régulièrement publiés depuis 3 ans – lire ici), et obligatoirement dans certains domaines comme le secteur public.
Nos experts nous mettent en garde, « il ne faut pas tout mettre sur le dos du DPO ! ». Certaines entreprises voient le DPO comme un Messie, celui qui va résoudre tous les problèmes du RGPD d’un coup de baguette numérique. En réalité, peu de DPO sont réellement formés à cette mission, et la transversalité de la démarche ne fait que la complexifier. L’origine du DPO, juridique, informatique, marketing, etc., reste incertaine, les postes se construisent au rythme de la transformation des entreprises.
La problématique des sous-traitants
Le temps imparti à la table ronde n’a permis à regret que de survoler certains sujets sensibles. Comme par exemple la garantie de la conformité de bout en bout et dans la durée. Ou encore, et on ressent là une vraie problématique de fond, la responsabilité ou le partage de responsabilité avec les fournisseurs et les sous-traitants. Certains de nos experts préfèrent d’ailleurs adopter une attitude non pas de conformité mais d’intégration de la conformité, ce qui en élargi le domaine d’application. La gestion de crise a également été bien trop rapidement évoquée, elle mériterait pourtant que l’on s’y intéresse. Tout comme l’IoT, l’Internet des Objets, évidemment impacté par le RGPD, tandis que nos experts ont évité de glisser sur le domaine de l’IA (Intelligence Artificielle). Il est sans doute trop tôt pour cette dernière, mais ses usages ne manqueront pas de nous rappeler à l’ordre...
Et le futur ? Au delà de la mise en conformité, enfin, des entreprises, c’est le projet européen de l’e-privacy qui est avancé. Le régulateur, conscient que le RGPD est déjà un gros morceau à avaler, semble marquer une pose sur ce projet. Mais nul doute qu’il reviendra en force prochainement. Raison de plus pour que les entreprises accélèrent et se mettent en conformité, car RGPD et e-privacy pourraient bien devenir très rapidement concomitants.
Une opportunité pour nos entreprises
Souhaitant terminer sur une note positive, après ce portrait peu engageant d’entreprises en retard et qui se cherchent, nos experts ont terminé en se penchant sur les avantages du RGPD. Ce dernier est considéré comme une chance, celle de faire le ménage dans la maison, car il s’impose au traitement de la donnée, de sa collecte à sa suppression ou son anonymisation, en passant par le stockage et les analyses.
Une chance également pour l’harmonisation des pratiques concurrentielles. Tout du moins au sein de l’Europe, car le constat est clair du côté de l’Amérique, où même si notre RGPD fait rêver certains, la majorité des entreprises continueront de faire prévaloir les pratiques américaines. Difficile d’interpréter autrement le Cloud Act. Au final, le RGPD reste à construire dans la majorité des entreprises, et le chantier pourrait encore durer quelques années. Même si des entreprises souvent jeunes ou petites démontrent que dans les faits la conformité est réalisable, rapidement, c’est juste une question d’engagement et de volonté. Et aussi de moyens, mais ici la loi qui s’applique ne nous laisse pas de choix et tout le monde est logé à la même enseigne.