Vous ne vous sentez pas complètement à jour des règles RGPD pour votre entreprise ?
Pas de panique ! Car :
1/ vous n’êtes pas seul(e) !
et…
2/ il n’est pas trop tard pour vous y mettre.
Entre enjeux et risques pour les entreprises, Raphaël Buchard, expert DPO pour LeHibou et co-fondateur du cabinet Dipeeo – votre DPO externalisé a accepté de répondre à nos questions sur le RGPD.
L’évolution du RGPD en entreprise
Lorsqu’on parle de RGPD (Règlement Général de Protection des Données), on a souvent l’impression qu’il s’agit d’un phénomène nouveau. Hors, avant le RGPD, le traitement de la data en entreprise était déjà encadré.
La France, pays précurseur de la protection des données
Depuis 1978, la protection des données existe en France. La France a d’ailleurs été le 1er pays au monde a créé une protection des données et une autorité de contrôle appelée la CNIL. Les autres pays européens ont ensuite suivi le mouvement et se sont d’ailleurs fortement inspirés de notre réglementation française. À l’échelle européenne, la CNIL est en quelque sorte le modèle à suivre. Néanmoins, jusqu’en 2018, les sanctions à l’encontre des entreprises qui ne respectaient pas les textes étaient faibles.
L’explosion du numérique comme prise de conscience collective
C’est finalement l’explosion du numérique et l’émergence des réseaux sociaux qui ont donné un coup de fouet au sujet.
Pour Raphaël Buchard, “si le droit est parfois considéré comme un peu lent par rapport à l’évolution rapide des technologies, ici, cela n’a pas été le cas. Dès 2012, les législateurs ont discuté de l’importance d’encadrer les nouveaux usages de la data engendrés par l’utilisation des réseaux sociaux.” Et c’est en 2018, avec les scandales autour de Cambridge Analytica et du Brexit que se sont révélés de manière concrète les dangers de l’utilisation des données personnelles. Ces deux affaires ayant montré comment les données pouvaient être manipulées pour influencer les masses.
C’est dans ce contexte que le RGPD est arrivé. Et pour Raphaël Buchard, “pour que les lois soient appliquées et applicables, il faut que les citoyens se sentent concernés. Ces deux scandales ont clairement éveillé les consciences sur le sujet. La protection des données a alors changé de dimension.”
Quels sont les risques pour une entreprise de ne pas respecter le RGPD ?
Pour Raphaël Buchard, notre DPO, “ce n’est pas tant la CNIL le risque. Le risque est avant tout commercial et il commence de la base citoyenne.”
Attaques en justice, menaces d’attaque devant la CNIL, saisies d’association… Le risque pour les entreprises de se faire poursuivre par des particuliers est bien réel. D’après notre expert DPO, “si on doit donner un ordre d’idée, l’association autrichienne NOYB a déposé l’année passée environ 500 plaintes auprès de la Justice et des tribunaux à l’égard d’entreprises.”
Des sanctions sévères
En jeu : des amendes à hauteur de 4% du chiffre d’affaires annuel mondial de l’entreprise par pays.
En condamnation, des obligations d’affichage de la sanction sur toutes les communications de l’entreprise peuvent également être imposées. Ainsi, chaque internaute allant sur le site web d’une entreprise sanctionnée peut voir apparaître la condamnation. Un risque énorme pour les marques qui perdent ainsi toute crédibilité et confiance aux yeux de leurs clients et prospects.
Des risques en termes de business…
Pour éviter ces sanctions, de plus en plus d’entreprises imposent à leurs prestataires et sous-traitants d’être conformes au RGPD. Si ceux-ci n’offrent pas assez de garanties, ils mettent en péril la pérennité de leurs relations commerciales. Car le RGPD s’applique même en B to B. “Prenons l’exemple d’un outil SIRH. L’entreprise opérant celui-ci se doit d’offrir aux entreprises auxquelles elle propose le service une protection de la donnée conforme au RGPD. Car le logiciel manipule entre autres les données des salariés.”
… Mais aussi RH
L’aspect RH est également une menace importante pour les entreprises. Selon Raphaël Buchard, “aujourd’hui, 35% des plaintes CNIL sont liées à des questions RH. Et lorsque la CNIL reçoit une plainte d’un salarié, une mise en demeure est systématiquement envoyée à l’entreprise. En cas de situation de tension entre l’entreprise et le salarié, le non-respect du RGPD peut être un point d’appui du salarié pour obtenir gain de cause.” Car dans le cadre du RGPD, les salariés ont eux aussi des droits notamment dans le droit d’accès et de mise à disposition de leurs informations.
La nécessité de passer par un DPO pour se mettre en conformité
C’est quoi un DPO ?
Un DPO ou Data Protection Officer est la personne qui est en charge de la protection des données à caractère personnel en entreprise. La data étant désormais partout, il est au cœur de la stratégie, des produits de l’entreprise et de tous ses développements.
Auparavant, la fonction existait déjà d’une certaine manière. Il y avait des Correspondants informatiques et libertés (CIL), casquette souvent portée par les DSI et CTO. Aujourd’hui, le RGPD, c’est du droit avec des conséquences financières énormes. Le poste de DPO se doit donc de traiter ces questions sous un angle juridique.
Pourquoi les entreprises ne peuvent plus se passer d’un DPO externe
Pour Raphaël Buchard, la réponse se trouve dans une approche pragmatique. Pour lui, “un DPO, c’est en quelque sorte un Médecin de la data. Et se soigner, c’est impossible de le faire seul.”
Mais il va plus loin : “Pour moi, c’est même une mission qui devrait être systématiquement externalisée soit avec un cabinet de DPO spécialisés, soit en passant par un DPO freelance. Car être DPO en interne, c’est très difficile. C’est se retrouver à devoir ménager les intérêts de chacun. Un DPO se doit d’être indépendant pour pouvoir conseiller les meilleures solutions pour l’entreprise. Et en interne, il est difficile d’être indépendant. Le DPO est pris en embûche entre les intérêts et desiderata des différents services de l’entreprise : pôle marketing, informatique, juridique, RH… Il se retrouve donc bien souvent juge et partie. ”
Intelligence Artificielle et RGPD sont-ils compatibles pour votre entreprise ?
À l’heure où l’Intelligence Artificielle (IA) est de plus en plus présente dans nos quotidiens et usages professionnels, la question se pose forcément autour de l’encadrement des datas en émanant. Pour Raphaël Buchard, il n’y a pour le moment pas de craintes à avoir. “Juridiquement à ce stade, le corpus législatif existe déjà. Lorsqu’on parle d’Intelligence Artificielle et de traitement de données, on se trouve sous l’égide de la propriété intellectuelle. Car le véritable problème réside dans la source des algorithmes dont on ne connaît pas les ayant-droits. Certains pays comme l’Italie ont préféré légiférer pour bloquer par exemple l’IA Chat-GPT. Ce n’est pas le cas en France.” Et d’aller plus loin : “aujourd’hui, l’Intelligence Artificielle n’opère pas encore seule. Donc la responsabilité est toujours entre les mains de ceux qui l’utilisent. Mais si demain on arrive à une IA véritablement autonome, il y aura une vraie réflexion à avoir.”
Le plus grand enjeu du RGPD et devoir des entreprises : la protection de la démocratie
Ce n’est un secret pour personne ! Avec la transformation digitale et l’émergence des stratégies digital first, les entreprises et organisations d’aujourd’hui possèdent des quantités d’informations sans fin sur les individus. Informations de genres, d’origines, de religions, de comportements ou même d’opinions… Pour Raphaël, “ces informations se doivent d’être protégées. Car, mises à disposition de gouvernements non-démocratiques ou d’organisations malveillantes, les conséquences peuvent être terribles. Imaginez-vous voyager dans un pays non-démocratique qui aurait accès au fait que vous ne respectez pas les idées qu’il véhicule, les conséquences pour vous à titre individuel pourraient s’avérer désastreuses.”
De quoi envisager pour les entreprises et professionnels de la data le RGPD sous un angle bien différent ! Mais aussi réfléchir à titre individuel à deux fois avant de confier des données à caractère personnel à une entreprise ou sur Internet…
