Le RGPD, cet invité qui arrive trop tôt
On y est ! Au terme d’un marathon de 2 ans, le 25 mai 2018 est enfin arrivé ! Ou plutôt il est déjà là, alors que personne ne l’aurait souhaité si tôt. Comme les invités qui arrivent alors que la tarte est encore dans le four et que le rosé vient à peine d’être mis au frigo… Et oui car malgré de nombreuses bannières visibles depuis quelques semaines sur les sites web et des mails invitant à lire les nouvelles conditions générales, peu sont les entreprises qui sont aujourd’hui prêtes. Une étude de la Cloud Security Alliance estime que 83 % des entreprises dans le monde ne s’estiment pas bien préparées au RGPD (règlement général sur la protection des données) et que seulement 31 % disposent de plans/dispositifs parfaitement structurés pour se conformer au RGPD. Comme lorsque les convives arrivent trop tôt, les entreprises vont encore rester en cuisine pendant de nombreux mois afin de terminer leur mise en conformité. Les députés français ont eux-mêmes pris du retard, adoptant la déclinaison française du GDPR seulement 10 jours avant sa mise en application européenne. Le droit français ne s’est donc mis en conformité avec les nouvelles dispositions que très tardivement.
Concernant la mise en application de la loi, la présidente de la CNIL a également fait part de ses réserves. En effet, malgré des demandes de renfort, seules 2 ouvertures de poste supplémentaires ont été obtenus. Le constat est identique pour la majorité des autres autorités européennes de régulations de la protection des données. Sur 24 autorités ayant répondu à une étude menée par Reuters, 17 affirment qu’elles n’ont pas encore les moyens de faire appliquer le RGPD. Toutefois, bonne nouvelle pour la CNIL : l’allègement des procédures actuelles pourrait lui permettre de réaffecter une partie de ses effectifs à veiller à la bonne application du RGPD.
Alors, pourquoi un tel retard, alors que le règlement européen a été publié il y a maintenant 2 ans ? Plusieurs facteurs ont pu jouer, notamment le manque de connaissance sur les sujets de protection des données avant l’arrivée du RGPD, le manque de ressources, et l’historique du SI et des processus des entreprises.
Une sensibilisation tardive à la protection des données personnelles
L’affaire Facebook ou les fuites de données à la une des journaux sont des phénomènes récents. Le sujet des données personnelles n’a jamais été aussi présent que ces dernières années dans les médias, au sein des entreprises et des comités de direction. La protection des données personnelles, qui s’est développée avec la collecte de données sur support informatique et l’arrivée d’internet, a mis du temps avant de faire sa place dans les mœurs. Aujourd’hui, ce retard est en train d’être réduit. Les communications sont de plus en plus nombreuses de la part des grands acteurs (CNIL, ANSSI, etc) mais aussi des entreprises. Il est désormais un avantage de montrer à ses utilisateurs ou clients que l’on respecte leurs données personnelles.
Preuve que la sensibilisation fait effet, le nombre de plaintes reçus par la CNIL, en hausse constante depuis la loi de 1978, a augmenté de 44% en 3 ans (de 2014 à 2017). Illustrant au passage le fait que les français se sentent de plus en plus concernés par l’utilisation de leurs données personnelles par les organismes.
Ce retard, en termes de sensibilisation au grand public mais également au sein des organismes, a certainement contribué aux nombreuses fuites de données ou aux fautes de certaines entreprises révélées ces dernières années. Chaque scandale a au moins eu le mérite de mettre le sujet au centre de l’attention, renforçant, année après année, la volonté pour les personnes de voir leurs données personnelles protégées et traitées à bon escient. De la même façon, ce retard s’est fait sentir dans les organismes avec l’arrivée du RGPD. La prise de conscience de l’importance du sujet, parfois longue pour certains interlocuteurs ou organismes, n’a fait que rajouter des délais aux programmes de mise en conformité. Il y avait, et il y a encore vraisemblablement, un écart non négligeable entre les exigences de la Loi Informatique et Libertés et la connaissance qu’en avaient certains acteurs et organismes.
Peu de formations et de profils, contre une forte demande pour le RGPD
Nous écrivions un article sur ce blog en Octobre dernier analysant la problématique du manque de ressources en cybersécurité. En effet, la pénurie d’experts en cybersécurité et protection des données a vraisemblablement impacté les projets de mise en conformité du règlement européen. Avec ces ressources clés limitées, plusieurs chantiers de mise en conformité ont pu prendre du retard. Dans son rapport d’activité 2017 publié en avril 2018, la CNIL estimait d’ailleurs à 80 000 le nombre d’organismes qui devaient désigner un DPO. Sans ressource, les montées en compétences sur le sujet ont pris du temps, rallongeant ainsi les délais des projets RGPD.
Un système d’information et des processus à changer
Pour de nombreuses entreprises, le plus dur, plus long et plus coûteux n’a pas été nécessairement les nouvelles exigences du RGPD mais le rattrapage de l’existant. Et pourtant, la loi Informatique et Liberté ou d’autres législations imposaient déjà aux entreprises depuis plusieurs années de nombreuses règles (durées de conservations des données, mesures de sécurité, certaines formes de consentement, opposition à la prospection commerciale, etc). Toutes les entreprises n’avaient pas forcément mis l’ensemble de ces règles en places. Et plus le temps passe, plus les changements sont coûteux et complexes. La vraie nouveauté du RGPD sur ces sujets déjà existants est évidemment le pouvoir de sanction décuplé. Le fameux 4% du chiffre d’affaire ou 20 millions d’euros (en fonction du montant le plus élevé). Avec cette sanction maximale fortement élevée, les autorités de régulations européennes ont désormais l’atout qui leur permettra de peser d’avantage dans la balance de la protection des données personnelles et de placer une véritable épée de Damoclès au-dessus des acteurs qui ne respecteraient pas les règles de la protection des données personnelles de citoyens européens.
Maintenant, que va-t-il se passer après le 25 mai 2018 et le RGPD ?
Pour HeadMind Partners Cyber Risk & Security, nous sommes toujours engagés pour poursuivre notre accompagnement pour la mise en conformité après le 25. Nous intervenons depuis 2016 dans plusieurs secteurs (banque, assurance, mutuelle, luxe, grande distribution, transport de marchandises, média, construction, environnement) sur leur mise en conformité avec le RGPD. Analyse d’écart avec les nouvelles exigences, mise en place des outils et processus RGPD, conduite du changement, communication & sensibilisation, et bien sûr sécurité des données et du SI, HeadMind Partners intervient sur l’ensemble des chantiers associés au règlement européen.
Concernant la CNIL et les autorités de régulations européennes, leurs démarches dans les prochains mois seront bien évidemment scrutées par l’ensemble des acteurs professionnels. La présidente de la CNIL évoque une période de clémence et d’accompagnement des entreprises. La CNIL propose d’ailleurs déjà des outils et travaille sur des référentiels par secteur pour aider les entreprises. Les travaux engagés par les entreprises ainsi que le changement de mentalité sur la protection des données personnelles seront deux éléments qui devraient permettre de montrer la bonne volonté de mise en conformité réglementaire. Toutefois, les premières sanctions tomberont bien un jour. Et même si les procédures devraient faire l’objet d’analyses au cas par cas, et que les 4% du chiffre d’affaire devraient rarement être atteint, gare à celui qui se trouve dans l’œil du cyclone à partir du lancement des sanctions.
Dès demain, le 25 mai 2018 sera derrière nous, mais nous n’aurons sans aucun doute pas fini de sitôt d’entendre parler du RGPD…
Écrit par Quentin Recoursé.