Le Règlement général sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai 2018, suscitant de nombreuses inquiétudes au sein des entreprises. En effet, en vertu de ce règlement, elles ont dû élaborer des plans de mise en conformité afin de respecter de nouvelles exigences, qui comprennent entre autres la désignation pour piloter la conformité d’un délégué à la protection des données personnelles (plus communément appelé DPO pour Data Protection Officer), la création et la tenue d’un registre de traitements, et des mesures de protection des données à caractère personnel. Deux ans plus tard, la question du bilan se pose.
Un outil incompris
Désormais partie intégrante des relations d’affaires, la protection des données personnelles s’est révélée être un centre d’intérêt majeur pour les consommateurs, les clients, ou encore les partenaires commerciaux. Il convient en effet maintenant de s’assurer que son partenaire applique le RGPD pour avoir la preuve de son niveau de « compliance » et le témoignage de ses valeurs en la matière, et qu’il est donc en conséquence digne de confiance.
Néanmoins dans un premier temps, le RGPD est apparu très largement comme une contrainte dont l’utilité ne semblait pas évidente, avec des disparités très fortes entre l’univers des grands groupes et celui des PME/ETI et, des secteurs d’activités plus ou moins sensibles au sujet.
Pourtant, la protection des données personnelles ne constitue pas un nouvel enjeu, puisque la Loi Informatique et Libertés de 1978, maintes fois modifiée pour tenir compte des progrès des nouvelles technologies, prévoyait déjà des dispositions de protection des données à caractère personnel. L’entrée en vigueur du RGPD a cependant contribué à placer cet enjeu au cœur de l’actualité (parfois de manière agaçante avec les avalanches de mails sur le sujet) et des enjeux de transformation des entreprises.
La conformité au RGPD ne s’est pas révélée comme une tâche très simple. Il a fallu identifier les lacunes dans la protection des données personnelles, et les failles dans les systèmes de protection se sont avérées parfois nombreuses. L’ampleur de la tâche a pu paraitre complexe et délicate. Beaucoup d’entreprises ont élaboré des plans de conformité soit en interne soit avec l’appui d’experts externes, tandis que d’autres, dépassées, ont délaissé le sujet. Un choix qui peut s’avérer risqué, lorsque l’on sait que les contrôles de la CNIL se multiplient et qu’une violation du RGPD peut être sanctionnée par une amende s’élevant jusqu’à 4% du chiffre d’affaires mondial ou jusqu’à 20 millions d’euros.
Mais au-delà de ces principes fondateurs, le RGPD est un outil de modernité, qui répond à des enjeux transversaux. Ces derniers dépassent le seul sujet de la protection des données personnelles, car ils concernent tout aussi bien les risques ou les choix internes liés aux technologies émergentes, à la définition des offres ou l’approche à adopter dans la gestion de ces données. Le RGPD veut répondre à ces problématiques par une approche technologiquement neutre, qui permet une flexibilité dans la prise en compte de ces risques. Tout est -presque- possible à condition d’assurer la mise en œuvre effective des principes de responsabilité et de transparence. Il encourage les entreprises à placer au cœur de leurs préoccupations le maintien, la modernisation de la sécurité de leurs systèmes d’information et la parfaite connaissance de leur flux de données. Ce qui finalement protège et valorise d’autant plus ce patrimoine au combien important que constitue aujourd’hui les données clients, prospects, salariés….
Il impose donc à tous des bonnes pratiques, des transformations dans les usages quotidiens relatifs à la gestion des données. Mais ces derniers sont et deviendront la « norme » en assurant un cadre vertueux, responsable et protecteur de tous qu’il s’agisse des personnes dont les données sont collectées, que des sociétés.
Enfin, le RGPD a offert aux entreprises et à leurs dirigeants une occasion de s’interroger sur leurs valeurs et leurs objectifs concernant la gestion des données et de renforcer le lien de confiance avec les acteurs de la vie économique. Il est synonyme d’ordre et de clarté : il conduit ainsi à mettre en place une vigilance sur les flux de données, à organiser des purges régulières, afin de supprimer toutes données personnelles pour lesquelles la finalité de la collecte a été réalisée, et à s’interroger sur le bon niveau de qualification de ces dernières. Il se veut gardien de la confidentialité et de la protection de la vie privée.
Le RGPD est par conséquent un outil puissant et moderne pour les sociétés et leurs dirigeants pour leur permettre de maîtriser leurs données et garantir à tous ceux dont les données sont collectées des droits et un devoir de transparence, devenue incontournable dans un monde de plus en plus digital.
Le RGPD est donc un des plus grands « agitateurs commun » pour encadrer et protéger la collecte de données personnelles et ce, au bénéfice de tous : particulier, consommateurs, patients…mais aussi de toutes les sociétés quel que soit leur activité. Il répond donc à un enjeu de valeurs au sens large du terme en adéquation avec les attentes des consommateurs et des citoyens. Il est le garant d’un nouveau principe fondamental, la dignité digitale dont chacun de nous a finalement besoin. Il est rare de pouvoir affirmer, qu’à la fin, tout le monde gagne !