Les données personnelles et le RGPD : état des lieux

La responsabilité des entreprises face aux données personnelles

Applicable depuis le 25 mai 2018, le règlement général européen sur la protection des données (RGPD) se donne pour objectif de protéger les citoyens européens de toute utilisation frauduleuse ou malveillante de leurs données personnelles. Il renforce considérablement la responsabilité des entreprises. En effet, ces dernières ont désormais pour obligation de recenser et hiérarchiser les données, et d’organiser des processus internes assurant leur protection pendant toute la durée de leur cycle de vie, de leur collecte jusqu’à leur destruction ou anonymisation. À tout moment, l’entreprise doit se trouver en capacité de justifier et documenter la réalité de sa conformité au RGPD. Pour mener à bien cette mission indispensable et complexe, des cabinets de conseil, spécialisés en droit des nouvelles technologies proposent des missions de mise en conformité aux entreprises. Il convient toutefois d’identifier les offres les plus sérieuses dans un marché du conseil RGPD en pleine croissance.

Pourquoi et comment se mettre en conformité avec le RGPD ?

L’absence de conformité aux dispositions du RGPD fait l’objet de sanctions financières très dissuasives. Ainsi, pour les entreprises, les sanctions administratives en cas de non-respect du RGPD peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, notamment en cas de manquement aux droits des personnes (accès aux données personnelles, rectification, droit à l’oubli…). L’entreprise s’expose également à des sanctions pénales  pouvant aller jusqu’à 300.000 euros d’amende et 5 ans d’emprisonnement. C’est notamment le cas lorsque le traitement des données personnelles est détourné de sa finalité ou encore quand les formalités préalables n’ont pas été respectées.

La marche à suivre en vue de se mettre en conformité avec la nouvelle réglementation a été précisément définie par la CNIL. En premier lieu, même dans les cas où la désignation d’un délégué à la protection des données (DPO) n’est pas formellement obligatoire, la CNIL recommande fortement aux entreprises de nommer un DPO, qui aura pour responsabilité de piloter la gouvernance des données personnelles, de dialoguer avec la CNIL et de minimiser les risques de contentieux en la matière. Cet acteur clé aura notamment pour mission de conseiller les responsables des départements traitant des données personnelles, de contrôler la bonne application du RGPD et de se tenir à disposition des autorités compétentes. Il pilotera également la politique des durées de conservation et d’archivage ou de suppression des données pendant tout leur cycle de vie (de leur collecte jusqu’à leur archivage ou purge) et, initiera les actions de sensibilisation et de formation auprès de l’ensemble des collaborateurs de l’entreprise. L’entreprise peut opter pour un DPO interne ou un DPO manager de transition comme nous le verrons plus bas.

Après avoir nommé un DPO, il s’agira de procéder à une cartographie des données personnelles, en identifiant et en localisant les données personnelles détenues. Ces dernières seront recensées dans des registres de traitement (registre responsable de traitement en ce qui concerne les données des employés par exemple et registre sous-traitant dans le cas de traitement de données personnelles réalisés pour le compte de clients) et hiérarchisées en fonction de leur degré de sensibilité au regard des droits et libertés des personnes concernées. Une fois ce travail préalable réalisé, il conviendra de définir les grandes priorités d’actions de mise en conformité. Des processus internes seront définis pour gérer les différents volets liés à l’application du RGPD y compris les défaillances techniques ou de sécurité, la gestion des demandes relatives aux droits des personnes concernées (accès, rectification, suppression, droit à la portabilité…).

État des lieux

Où en sont les entreprises ?

Le RGPD a largement fait la une de l’actualité depuis 2018, année de son entrée en vigueur. Pour rappel, quelle que soient sa taille, sa localisation et son activité, tout organisme qui traite des données personnelles peut être concerné par le RGPD. On notera que la plupart des grands groupes ont anticipé leur mise en conformité et d’ores et déjà atteint un niveau satisfaisant. En revanche, un certain nombre d’ETI et de TPE/PME n’ont toujours pas ou que très partiellement entamé le long processus de mise en conformité.  

La période de transition accordée par la CNIL tire à sa fin. La CNIL déclare en effet que : « L’année 2019 marque l’achèvement de la transition vers le RGPD. Il est essentiel que, désormais, les organismes appliquent complètement le nouveau texte ».

Les enjeux vont bien au-delà du risque de sanctions financières, et les personnes physiques sont de plus en plus sensibles à la question du traitement et de la protection de leurs données personnelles, dans un contexte où la digitalisation engendre quelques craintes légitimes. Ainsi, les entreprises se doivent de se montrer exemplaires dans la gestion de ce type de données, au risque de voir sa crédibilité et sa réputation mises à mal.

Malgré la prise en considération par les entreprises françaises de la priorité que constitue la conformité au RGPD, le bilan général est aujourd’hui pour le moins contrasté. Selon une étude de Capgemini Research Institute de septembre 2019 (voir l’article), 28 % des entreprises seulement considèrent être en conformité avec le RGPD et 30 % estiment être proches d’atteindre cette conformité. Les trois difficultés principales rencontrées, potentiellement cumulées, tiennent aux obstacles liés à leur ancien système IT (38 %), à la complexité du RGPD (36 %) et enfin au coût de la mise en conformité (33 %).

Augmentation des plaintes et des contrôles

Au cours de la première année suivant l’entrée en vigueur du RGPD, la CNIL a surtout cherché à sensibiliser les acteurs économiques. Mais aujourd’hui, l’heure est bien à la densification des contrôles. Par ailleurs, en l’espace d’un an, la CNIL a été rendue destinatrice de plus de 140 000 plaintes. La CNIL est habilitée à adresser aux entreprises non conformes un simple rappel à l’ordre, à prononcer une injonction sous astreinte ou une sanction pécuniaire.

La CNIL a récemment annoncé sa stratégie de contrôle pour l’année 2020 : « En 2020, en complément des contrôles faisant suite à des plaintes, à des sujets révélés dans l’actualité ou à des mesures correctrices, la CNIL va axer son action de contrôle sur 3 thématiques prioritaires en lien avec les préoccupations quotidiennes des Français : les données de santé, la géolocalisation pour les services de proximité ainsi que les cookies et autres traceurs.

Depuis l’entrée en vigueur du RGPD, sa décision la plus retentissante a été la condamnation d’une entreprise appartenant au groupe des GAFA à une peine d’amende de 50 millions d’euros pour défaut d’information des utilisateurs au sujet de l’exploitation de leurs données.

L’heure n’étant plus à la tolérance, il est temps pour les entreprises de redoubler d’efforts en vue de se conformer aux dispositions du RGPD.

Bénéficier du concours d’un intervenant extérieur
pour réussir sa mise en conformité

De nombreux nouveaux acteurs se sont positionnés sur le marché du conseil et de l’assistance pour la mise en conformité RGPD. Il convient cependant de se montrer particulièrement vigilant et de vérifier l’identité et le sérieux des sociétés démarcheuses. Une autre solution choisie par les entreprises est le recours aux services d’intervenants extérieurs hyper spécialisés, en vue de mener à bien leur chantier de mise en conformité.

Le DPO pourra également faire appel à un cabinet de conseil qui l’accompagnera tout au long des différentes étapes de la mise en conformité (cartographie des données sensibles, définitions des priorités et des procédures à mettre en place, documentation…). Préalablement à la désignation du DPO, il est préférable pour l’entreprise de faire réaliser un audit CNIL par un cabinet spécialisé. Il s’agit à la fois d’un audit informatique et d’un audit juridique. Le recours aux services d’un avocat spécialisé peut s’avérer particulièrement pertinent à ce stade, puisque ce professionnel du droit maîtrise parfaitement la réglementation relative à la protection des données et pourra également orienter son client vers une solution logicielle conforme aux exigences du RGPD à des fins de monitoring.

Le DPO Manager de Transition

Le DPO n’est pas obligatoirement un agent de l’entreprise. Les sociétés de petite taille disposant de moyens limités ont parfois recours à un DPO externe, notamment par le biais du management de transition. Elles bénéficieront ainsi des services d’un professionnel expert pour un coût non prohibitif. Mais ce choix pourra également être opéré par des entreprises de dimension plus importante qui souhaitent disposer d’un DPO plus indépendant et objectif ou faire face, pour une durée limitée, à une pénurie de cadres en interne.

Qu’il s’agisse de la phase de mise en conformité (« build ») ou de la phase de suivi régulier (« run »), le management de transition est adapté aux contraintes des entreprises qui veulent optimiser leur rapport qualité/prix et bénéficier des conseils d’un expert au meilleur tarif, avec toute la souplesse de la formule : pas d’engagement de volume et pas d’engagement de durée.

Déroulé d'une mission de DPO Manager de Transition

D’un point de vue opérationnel, ce chantier du RGPD se décompose en deux phases bien distinctes :

1) Une première phase de construction d’un système efficace :

Audit, recommandations et mise en place sont pour beaucoup d’entreprises des étapes déjà franchies.

Pour les autres, le temps presse et il est désormais impératif d’aller vite et de compter sur un savoir-faire expert.

Quels sont les intérêts du management de transition pour cette phase de « build » :

  • Rapidité : il n’est plus temps de prendre 8 mois pour suivre un process d’embauche d’un expert. Le recours au management de transition permet de commencer ces travaux en quelques jours.
  • Sécurité : le recours à un professionnel dont les compétences ont été validées est le seul rempart contre les erreurs de casting et les errements technologiques.
  • Rapport qualité/prix optimisé : compte tenu des enjeux et de l’incertitude sur la durée d’une telle mission, le forfait – ou tout au moins la régie forfaitisée – est une bonne solution. Par ailleurs, une mission de mise en place d’un système de gestion des données constitue aujourd’hui un produit relativement « standard » qu’il vaut mieux négocier avec une maison spécialisée, au track-record bien établi, plutôt que de chercher à innover avec des indépendants.

La meilleure formule est donc celle du détachement en interne d’un avocat ou juriste expert pendant toute la durée nécessaire.

Cette formule correspond à une offre « Legal on Demand » (voir notre formule)

2) Une seconde phase, de gestion des données au quotidien :

Une fois les bons outils mis en place, le travail de gestion des données commence.

Quels sont les intérêts du management de transition pour cette phase de « run » :

• Souplesse : un abonnement s’adaptera forcément à la dimension du projet, à la taille de l’entreprise et à son budget. À tout moment l’entreprise pourra faire évoluer son projet et lui donner une autre dimension, en fonction de sa propre évolution.

• Sur-mesure : une étude détaillée du projet permettra de cerner au mieux les besoins du client, sans imposer ni plaquer aucune formule type.

• Un prix négocié, fixe et forfaitaire : bien entendu, l’absence totale de surprise sur le budget constitue l’avantage essentiel d’un abonnement.

Nous notons que le « build » et le « run » ne nécessitent pas les mêmes compétences, et que changer de profil en cours de vie du projet est souvent nécessaire et problématique. Le recours au management de transition ne crée en revanche aucune contrainte et aucune rigidité, alors que la plupart des acteurs proposent soit du build soit du run, ou un niveau moyen pour les deux phases, les clients exigeants veulent une formule à la carte.

Cette formule correspond en tout point à une offre « Legal as a Service »  (consultez notre offre).

L’optimisation de l’utilisation des nouvelles technologies joue un rôle déterminant dans la réussite du chantier de mise en conformité au RGPD. Les résultats de l’étude de Capgemini Research Institute rendus publics en septembre 2019 révèlent, en effet, que les entreprises qui utilisent des technologies avancées (plateformes Cloud, automatisation robotique des processus…) obtiennent de meilleurs résultats en matière de conformité RGPD.

Si la mise en conformité est d’une absolue nécessité pour éviter d’être sanctionné par les autorités de contrôle, elle doit également être appréhendée comme un investissement permettant, à terme, d’obtenir un avantage concurrentiel. Elle contribue, en outre, à renforcer la relation de confiance avec les clients. Par ailleurs, la question du traitement des données personnelles a également vocation à envisager d’autres solutions logicielles dans un contexte de digitalisation, et elle peut donc permettre d’améliorer le niveau de cybersécurité de l’entreprise. Mais il faut cependant garder à l’esprit qu’aucune réussite dans ce domaine n’est définitive. Il convient donc de maintenir une vigilance, de mettre en œuvre les changements nécessaires et de les maintenir.

Arnaud DESCLÈVES
Associé du Cabinet DESCLÈVES & Associés