Je ne suis toujours pas conforme au GDPR, c’est grave docteur ?

Le GDPR est le nouveau règlement européen sur la protection des données personnelles. Il est entré en vigueur le 25 mai 2018, après de longues années de gestation. Il impose de nouvelles obligations à toutes les entreprises faisant du traitement de données à caractère personnel (DCP) sur des résidents européens – c’est-à-dire, en fait, à toutes les entreprises tout court. Les objectifs visés par le GDPR sont multiples. Il s’agit tout à la fois de :

• Renforcer les droits dont disposent les personnes sur les données qu’elles confient aux acteurs économiques, en renforçant des droits existants et en créant de nouveaux droits (le droit à la portabilité des données par exemple). Le GDPR entend ainsi « redonner aux citoyens le contrôle de leurs données personnelles ».
• Uniformiser à l’échelle européenne la règlementation applicable à la protection des données.
• Moderniser le cadre légal pour l’adapter aux nouvelles technologies, au digital, au Big Data…
• Responsabiliser davantage les entreprises sur les enjeux ayant trait à la gouvernance des données.

Voici quelques-unes des nouvelles obligations qui s’imposent aux entreprises faisant du traitement de données personnelles :

• Informer les personnes physiques de l’utilisation qui est faite de leurs données, dans une logique de transparence.
• Obtenir le consentement explicite des personnes quant à la collecte de leurs données personnelles.
• Mettre en œuvre des procédures garantissant un niveau de sécurité optimal des données personnelles.
• Désigner un délégué à la protection (DPO) chargé de contrôler la conformité des traitements opérés sur les données personnelles. Cette obligation ne concerne que certaines entreprises.
• Garantir le droit des personnes : droit d’accès aux données, droit de rectification, droit d’opposition, droit à l’oubli, droit à la portabilité…
• Tenir un registre des traitements.

Si vous n’êtes pas conforme au GDPR, si vous ne respectez pas ces nouvelles obligations, vous êtes théoriquement susceptible de poursuites administratives et pénales. Les sanctions prévues en cas de non-conformité au GDPR sont très lourdes. Nous allons voir qu’il n’y a cependant pas lieu de s’alarmer outre-mesure. Il est toujours temps de structurer et déployer votre projet GDPR.

Les nouvelles règles issues du règlement RGPD s’appliquent à toutes les entreprises – qu’elles soient privées ou publiques – faisant du traitement sur des données personnelles rattachées à des résidents de l’Union européen (citoyens ou étrangers vivant sur le sol de l’un des 28 Etats membres). Quelques précisions s’imposent :

• Toutes les entreprises, et non pas uniquement les grandes entreprises. Les TPE et les PME sont tout autant concernées que les groupes multinationaux.
• Le RGPD désigne les « données personnelles » par le terme « données à caractère personnel » ou DCP. Une DCP est une « information se rapportant à une personne physique identifiée ou identifiable ».
• Est considérée comme un traitement toute activité de collecte, de stockage, de manipulation, de destruction et de consultation à distance des données.
• Le règlement s’applique également aux entreprises non-européennes faisant du traitement sur les DCP de résidents européens.

L’immense majorité des entreprises est donc concernée par le règlement RGDP. En France, c’est la CNIL qui est chargée de contrôler la conformité GDPR et de constater le cas échéant les irrégularités. Le montant des sanctions est, on l’a dit, loin d’être symbolique. Une entreprise non conforme au GDPR s’expose à une amende pouvant aller jusqu’à 2% du son chiffre d’affaires mondial ou 10 millions d’euros. Les plafonds peuvent même être doublés en cas de refus d’obtempérer face aux injonctions de l’autorité de contrôle. Ceci sans compter les dommages et intérêts que les personnes touchées par l’infraction peuvent obtenir si elles le demandent en se constituant partie civile. Mais, dans la pratique, le mécanisme aboutissant à la sanction est très long. Lorsque la CNIL est informée des manquements au RGPD (par un tiers ou à l’occasion d’un contrôle), elle commence en général par donner un avertissement, avant un éventuel rappel à l’ordre ou une mise en demeure. L’autorité peut aussi limiter les traitements incriminés et suspendre les flux de données. La CNIL, on le voit, dispose de toute une batterie de mesures pour obliger les entreprises non conformes à se conformer au règlement. Les sanctions financières sont le dernier recours : elles ne s’appliqueront qu’aux entreprises qui, malgré toutes les injonctions et mises en demeure, s’obstinent à ne rien changer dans leur pratique. A notre connaissance, aucune entreprise française n’a encore fait l’objet de ces sanctions. D’ailleurs, la présidente de la CNIL a explicitement assuré que l’autorité qu’elle dirige ferait preuve de souplesse en matière de contrôle. La CNIL est consciente de toutes les difficultés que ce changement des règles du jeu génère pour les entreprises, en particulier les PME. Elle est consciente que la mise en conformité prendra du temps pour certaines entreprises. En ce sens, le 25 mai 2018 n’est pas une date couperet. S’il ne faut dramatiser ni se montrer exagérément alarmiste, il convient de rappeler que personne n’est dispensé de la mise en conformité. Si ce n’est pas déjà fait, vous devez au plus vite lancer votre projet de mise en conformité. Non pas seulement pour vous plier au règlement et vous prémunir de toutes sanctions, mais aussi pour renforcer votre entreprise et son image auprès de vos clients. Votre société doit s’adapter à l’évolution des attentes de la société civile au regard de la protection des données personnelles et instaurer un haut niveau de confiance entre votre entreprise et vos clients. Cette nécessité est sans doute plus importante d’ailleurs que le simple fait de se conformer à la loi en vigueur. L’époque est au développement d’une Relation Clients équitable, basée sur le partage : le client partage ses données à l’entreprise et en retire un avantage en bénéficiant d’interactions et d’offres personnalisées. Le GDPR doit être vu comme une opportunité, comme une occasion de renforcer et d’enrichir la Relation Clients.

Clairement, il n’est pas trop tard pour initier ou poursuivre votre projet de mise en conformité. On observe un peu partout une mise en conformité progressive des acteurs du marché. Certaines entreprises donnent l’exemple en matière de collecte des consentements (nominatif ou cookies), de gestion des usages de la donnée personnelle, de gestion des accès. Mais il ne faut pas perdre de vue que ce sont les faces émergées du GDPR. Un travail de fond, non visible, est également à produire. On pense par exemple à la documentation des traitements, à l’amélioration de la sécurité, aux procédures d’archivage / désarchivage…Un projet GDPR est exigeant, mais incontournable. Au-delà du respect du cadre légal, l’enjeu est de faire évoluer votre gouvernance des données et, in fine, la qualité de votre Relation Clients. Nous vous encourageons à passer à l’action au plus vite, car la démarche de mise en conformité GDPR prend du temps. Suivant la taille des organisations et les traitements opérés, il faut compter de 3 à 12 mois pour réaliser une mise en conformité complète.