• Le règlement européen pour la protection des données (RGPD) est entré en vigueur il y a six mois, mais de nombreuses entreprises ne sont toujours pas dans les clous. Elles ne pensent pas forcément au fait qu'elles soient concernées.
  • La mise en conformité des grands comptes permet toutefois d'inciter les sous-traitants à s'intéresser à leur propre mise en conformité.
  • L'information nécessaire à la mise en conformité est complexe à appréhender et l'ampleur de la tâche n'est pas toujours anticipée.
  • Le recrutement des DPO, délégués à la protection des données, est particulièrement délicat car les compétences exigées sont très nombreuses.

Toutes les organisations — entreprises, administrations et associations, soit près de 5 millions d'entités en France — sont censées être en conformité avec le règlement général pour la protection des données (RGPD) depuis le 25 mai 2018. Mais force est de constater que l'objectif est loin d'être atteint. 

Pour rappel, le RGPD a pour objectif de mieux protéger les particuliers concernant le traitement de leurs données personnelles et de responsabiliser les professionnels à leur sujet. Il s'applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou en tant que sous-traitant, dès lors qu'elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.

Or, beaucoup d'organisations n'ont même pas encore commencé à se pencher sur ce règlement. D'autres se sentent submergées par l'immensité et la complexité du travail — réel ou supposé — à accomplir pour se mettre en conformité, puis le rester. 

Si la mise en oeuvre de ce règlement s'avère nettement plus long que prévu, elle est inéluctable. 

Six mois après l'entrée en vigueur du RGPD, Business Insider France est allé à la rencontre de plusieurs experts qui accompagnent les entreprises dans leur transformation.

Voici les grands défis qu'ils ont identifiés pour qu'elles se conforment à la nouvelle règlementation européenne:

1. Se sentir concerné

"La première chose que j'ai constaté lors que j'ai commencé des missions d'accompagnement, c'est que de nombreuses entreprises ne se sentent pas du tout concernées par cette règlementation", a expliqué Maître Frédéric Willems, avocat d'affaires à Paris, à Business Insider France. 

"Beaucoup n'en voient pas l'enjeu ou n'en font pas une priorité. Pour certains le RGPD s'apparente à une contrainte de plus, au même titre que toutes les autres mises en conformité qu'elles doivent réaliser à droite ou à gauche, comme par exemple l'accessibilité des lieux pour les personnes à mobilité réduite", ajoute l'avocat.

"Je n'y pense même pas", confie de son côté un chef d'entreprise qui certes n'envoie pas de mailing list mais détient des dossiers papier et informatique sur tous ses clients. "Je ne vois pas ce qu'il faut que je fasse, ni comment le faire". Et pourtant, lui comme les autres, tout le monde est concerné avec plus ou moins de travail à faire pour se mettre en conformité selon son activité et les données qu'elle génère.

A commencer par les spécialistes du marketing.

Naëlle Hadji, responsable marketing Europe de Follow Analytics, société spécialiste du marketing sur mobile, témoigne: "Notre business est basé sur l'engagement et l'analyse comportementale sur mobile. Nous étions donc obligés de nous transformer pour survivre au RGPD. Ça nous a pris près de six mois. Il a fallu créer des procédures dédiées à notre activité, que nous avons mis à profit ensuite pour nos clients à qui nous proposons des solutions RGPD-compatibles, via un 'personal datawallet'."

2. Se former et/ou se faire accompagner

Rich Barnes-USA TODAY Sports

Pour accompagner ses clients, un juriste parisien confie avoir commencé par se plonger dans des livres, mais malgré son doctorat en droit, le contenu était vraiment complexe à comprendre et il s'est décidé à suivre une formation spécifique. "A l'issue de six jours de formation, j'avais juste compris ce qu'il se passait, le vocabulaire, les bases. J'ai repris mes bouquins et cette fois j'avais assez de connaissances pour comprendre vraiment ce que je lisais." 

Il n'y a pas un seul profil possible d'accompagnant. Avocat, informaticien, consultant, spécialiste de cybersécurité, comptable se retrouvent indifféremment sur les bancs de ces formations. 

Les coûts de cet accompagnement externe varient grandement en fonction de la taille et de l'activité de l'entreprise.

"Les prestations peuvent aller de 5000 euros environ pour une très petite entreprise, à plus de 100 millions d'euros pour un grand compte qui doit réviser entièrement son système informatique", estime Patricia Chemali-Noël, expert en protection des données chez Umanis.

"En janvier 2018, Google par exemple avait annoncé qu'il provisionnait 4% de son chiffre d'affaires mondial (montant maximal des sanctions en cas de non conformité, Ndlr.) en attendant de réunir les fonds nécessaires pour sa mise en conformité", rappelle-t-elle.

Gare toutefois aux arnaques.

La Commission nationale de l'informatique et des libertés (Cnil) a remis en garde le 7 novembre contre des pratiques abusives de fausses sociétés de conseil qui profite du RGPD pour vendre au prix fort de pseudo-conseils de mise en conformité aux entreprises, en se prétendant mandatés par la Cnil.

3. Evaluer l'ampleur du travail demandé

Milton panique dans "Office Space". YouTube/franswiggidy

"Tant qu'on ne s'est pas intéressé au RGPD, on ne perçoit pas l'énormité de la chose, mais une fois qu'on commence à regarder on découvre l'ampleur du travail et c'est souvent colossal. Les entreprises n'ont pas forcément conscience de toutes les données personnelles qu'elles possèdent", note Maître Frédéric Willems. 

Pour guider les organismes dans leur démarche, la Cnil leur suggère quatre étapes:

  • constituer un registre recensant toutes les données possédées;
  • trier ces données;
  • établir de nouvelles mentions lors de la collecte de nouvelles données indiquant pourquoi vous les collectez et ce que vous allez en faire et comment les personnes peuvent exercer leur droit de rectification ou d'effacement;
  • enfin, les organismes doivent prendre des mesures pour sécuriser leurs données aussi bien en terme de cybersécurité qu'en terme d'accès physique aux locaux pour ce qui est des serveurs ou bien même des fichiers papier.

"Les entreprises avaient deux ans, avant le 25 mai 2018, pour se mettre en conformité, mais beaucoup ont attendu la pleine opposabilité du RGPD et ont l'impression de se retrouver désormais face à une montagne", constate Patricia Chemali-Noël.

"Il faut tout de même garder en tête que le RGPD c'est à peine 20% de nouveauté. Le reste existait déjà. Beaucoup d'obligations sont nées avec la loi informatique et liberté de 1978."

Ce qui est particulièrement nouveau, c'est le changement de paradigme. Avant la Cnil auditait les entreprises, maintenant elles doivent s'auditer elle-même avec une obligation de résultat.

4. Faire le ménage dans ses données

Devant un Apple Store à Bangkok en Thaïlande, le 9 novembre 2018. REUTERS/Soe Zeya Tun

"Regarder l'intérêt des données que possède une entreprise, c'est l'occasion pour elle de mettre de l'ordre dans la maison, mettre à jour ses mailing list, se débarrasser des données non pertinentes, rationaliser les autres. Tout cela peut dans un second temps améliorer l'efficacité des entreprises", souligne Maître Frédéric Willems. 

Où sont ces données, dans quel service, sur quel support, dans quel but, sont-elles encore pertinentes? Avec les années, les procédures et les logiciels se sont souvent empilés dans les entreprises rendant complexe, voire parfois impossible, la traçabilité des informations personnelles dont la conservation ne rime parfois plus à rien. 

"La loi a des vertus. Elle oblige les entreprises à repenser leur mode de fonctionnement et leur façon de traiter les données, elle les force à davantage de rigueur et l'adoption de bonnes pratiques s'avère positive au final", ajoute l'avocat spécialisé en droit des affaires.

5. Se méfier des demandes de conformité en cascade 

L'effet domino. YouTube/MrBen155

Aujourd'hui, si les grandes entreprises se sont saisies de la question, les petites sont souvent à la traîne. "Mais le marché va s'auto-réguler", veut croire Frédéric Willems. "Ceux qui se sont mis en conformité vont demander à leur sous-traitants s'ils le sont également et si ce n'est pas le cas, ils ne pourront plus continuer à travailler ensemble. Il y a une question de co-responsabilité."

"C'est l'aspect positif de la pollinisation", résume Sophie Nerbonne, directrice de la conformité à la Cnil.

"Attention toutefois au rapport de force dans les contrats de sous-traitance et dans les négociations. Nous constatons l'émergence de clauses léonines et des prestataires peuvent se retrouver écrasés par de nouvelles mesures disproportionnées." 

La Cnil travaille d'ailleurs en partenariat avec le Médiateur des entreprises pour améliorer le guide pratique publié l'an dernier à destination des sous-traitants.

Dans certains secteurs d'activité, les entreprises sont à l'inverse obligées de se montrer solidaires et bienveillantes avec leurs sous-traitants.

"Nous avons décidé de fonctionner avec pragmatisme", explique Virginie Dupin, vice-présidente Marketing, chargée notamment de la zone Europe, chez Pros.

Son entreprise basée aux Etats-Unis est spécialiste en solution d'analyse de données et en optimisation des prix.

"Certaines sociétés américaines ont dénoncé brutalement des contrats avec des sous-traitants par peur des sanctions", raconte-t-elle. 

"Nous, nous sommes mobilisés dès 2017: 'le RGPD arrive, que faites vous pour cela'? Nous, nous sommes fait accompagner pour nous mettre en conformité et nous avons fait signer à tous nos fournisseurs des amendements précis disant qu'ils s'engagent à démontrer leur conformité à notre demande. A ceux qui ne pouvait pas à l'hiver dernier, nous disions 'd'accord, là vous n'êtes pas en conformité, mais au printemps vous en serez où? Et à l'été?"

"Nous sommes sur un marché de niche, où le nombre d'acteurs pertinents est limité, donc on ne peut pas se permettre de révoquer des contrats et lâcher nos partenaires", conclut Virginie Dupin.

6. Trouver un mouton à 5 pattes

Patricia Chemali-Noël, expert en protection des données chez Umanis.

Le fer de lance de la mise en conformité, c'est le DPO, le délégué à la protection des données, que chaque entreprise doit nommer en interne ou en externe pour celles qui n'ont pas les moyens/besoins d'en avoir un à temps plein.

La Cnil a publié en octobre au journal officiel les 17 critères auxquels doit répondre un DPO pour prétendre être certifié par un organisme certificateur. 

"C'est un mouton à cinq pattes, et même une sorte de super-héros", résume Patricia Chemali-Noël qui distingue trois grandes catégories de compétences: 

  • Les savoirs organisationnels: le DPO doit avoir une grande maîtrise dans l'accompagnement du changement et la gouvernance d'entreprise, être en mesure de mener un audit de conformité et de proposer des mesures de réduction ou gestion des risques, de les évaluer et d'en surveiller la mise en œuvre. Il doit pouvoir dire les risques et alerter au bon moment et au plus haut niveau hiérarchique.
  • Les savoirs techniques et informatiques: il doit tenir le registre des données personnelles et doit pouvoir exécuter les demandes de modification et d'effacement de données, 
  • Les savoirs juridiques: il doit être un expert en propriété intellectuelle, en droit des contrats, en conformité, il est l'interlocuteur de la Cnil et il instruit les plaintes éventuelles.

"Si l'on considère la pénurie actuelle de DPO et le caractère récent du métier, ces exigences  d’'expérience peuvent apparaître compliquées à remplir par tous", estime Patricia Chemali-Noël. 

Au 25 septembre, 24.500 DPO avaient été déclarés à la Cnil, sur près de 80.000 nécessaires. "Aujourd'hui, nous en sommes à 32.000", indique Sophie Nerbonne, qui note malgré tout une forte progression.

7. S'appuyer sur ses réseaux

L'équation est claire, "il est impossible pour la Cnil d'accompagner individuellement toutes les entreprises dans leur démarche", explique Sophie Nerbonne.

"La Commission a donc décidé de donner la priorité aux organisations professionnelles, associations de dirigeants, DPO, structures diverses, pour profiter ensuite de l'effet démultiplicateur auprès de leurs adhérents", ajoute la directrice de la conformité à la Cnil. 

Les interrogations des personnes qui sollicitent la Commission ont en effet varié ces derniers mois. "Avant mai, on nous demandait surtout comment gérer sa conformité, quelles étaient les mesures à prendre. Depuis, les questions entrent plus en profondeur, elles concernent des aspects précis de la règlementation sur le service RH par exemple ou sur le service commercial." 

Après avoir organisé des formations généralistes sur le RGPD, la Commission change désormais son fusil d'épaule et axe ses rencontres sur des points particuliers. "Nous consacrons désormais nos réunions à des sujets plus resserrés, pour donner des cadres référentiels plus pointus nécessaires à certains secteurs d'activité."

Charge ensuite aux représentants des organisations professionnelles de faire passer le message.

Avec tout cela, et avec le risque de sanctions financières conséquentes, même si le compte n'y est pas aujourd'hui, la mise en conformité viendra peu à peu.

Mais c'est plutôt une question d'années que de mois s'accordent à dire les observateurs du dossier.

Vous avez apprécié cet article ? Likez Business Insider France sur Facebook !

Lire aussi : 'C'est de la surveillance': Tim Cook vient de démolir Facebook devant les gendarmes européens de la vie privée

VIDEO: Voici ce que deviendrait la Terre sans sa Lune