Il est intéressant de constater à quel point la mise en application du RGPD le 25 mai 2018 aura fait parler d’elle depuis un an.
La raison est assez simple. Le texte a vocation à concerner toutes les personnes morales sans considération de taille et pour un risque juridique et financier sans précédent.
Après un an, que reste-t-il des craintes générées par ce changement de paradigme inhérent à ce règlement, à savoir l’abandon du système déclaratif pour celui d’une responsabilisation (accountability) des acteurs concernés par rapport aux traitements des données à caractère personnel dont ils ont la charge ?
Des entreprises conscientes des risques
Le message est bien passé. Les entreprises, dans leur ensemble, ont bien compris qu’un texte qui ne faisait, en partie, que rappeler des grands principes déjà applicables depuis 1978 les obligeaient à revoir la façon dont elles traitaient les données à caractère personnel (DCP).
Toutefois, la petite musique que les professionnels gravitant autour de la mise en conformité au RGPD entendent souvent depuis un an consiste à dire que la CNIL est une autorité de contrôle qui ne dispose pas des moyens de ses ambitions.
Qu’elle n’a pas le personnel nécessaire pour faire appliquer la rigueur inhérente au RGPD et que le nombre de mises en demeure et de sanctions prononcés viennent attester de ce constat.
C’est probablement en partie vraie eu égard au nombre d’entreprises à contrôler, mais c’est oublier que la CNIL n’a pas qu’un seul moyen de contrôler la conformité des entreprises, mais quatre.
Des contrôles divers et variés
La CNIL peut procéder à un contrôle en ligne (celui qui a donné lieu à la sanction de Google à hauteur de 50 millions d’euros sans faire le déplacement aux Etats-Unis) de vos moyens de collecte des données (application, site internet, etc), à un contrôle sur pièces qui vise à vous adresser un questionnaire détaillé sur votre niveau de conformité, à une audition sur convocation qui l’amène à vous convoquer dans ses locaux pour vous demander de vous expliquer sur les mêmes points et enfin, à un contrôle sur place (surprise) dont beaucoup estiment à tort qu’il s’agit du seul et unique moyen dont dispose la CNIL.
Dès lors, la CNIL a à sa disposition des outils qui (si elle vous a dans le collimateur par le fruit du hasard ou d’informations qu’elle a pu glaner seule ou avec l’aide de personnes qui ne vous veulent pas que du bien) lui permettront d’intervenir auprès de vous de façon rapide, simple et efficace.
Une idée reçue en la matière consiste à observer le nombre de mises en demeure publiques de la CNIL depuis la mise en application du RGPD pour en faire la démonstration de son incapacité matérielle à contrôler les entreprises défaillantes. C’est néanmoins omettre le fait que dans ces statistiques figurent uniquement les mises en demeure publiques (et donc pas celles qui sont prononcées de façon non publiques) ce qui rend difficilement interprétable les chiffres précités.
Par ailleurs, un processus de sanctions (respect du contradictoire oblige) prend généralement du temps.
Le temps du contrôle, le temps de l’analyse des éléments glanés lors dudit contrôle, celui de la désignation d’un rapporteur, de l’édition d’un rapport, de la transmission du rapport contenant le projet de sanction et enfin, si les réponses apportées au projet par l’entreprise contrôlée ne devaient pas être jugées satisfaisantes pour la forme plénière de la CNIL, le temps de la sanction définitive.
Il est fort probable que les prochains mois, d’ici à la fin 2019 et début 2020, soient ceux de sanctions définitives visant non seulement des entreprises aussi puissantes que Google, mais aussi des entreprises de taille intermédiaire.
Un temps prématuré pour un vrai bilan
Même s’il est difficile de faire un bilan à un an d’intervalle pour les raisons précitées, force est de reconnaître que les entreprises ont pour la plupart tenté, notamment en ce qui concerne les éléments apparents de leurs systèmes d’informations (application, site web), de mettre en place des mesures assurant leur mise en conformité.
Cela me donne l’occasion de rappeler que se mettre en conformité au RGPD ne consiste pas seulement à faire en sorte que son système d’information intègre les règles de sécurité conformes à ce qu’exige l’état de l’art, mais aussi et surtout à garder à l’esprit que les personnes concernées par les données que vous collectez ont des droits.
Pour revenir, à titre d’exemple, sur cette affaire qui a valu à Google d’être condamnée par la CNIL sur la base du RGPD, on pourra noter qu’à aucun moment la CNIL ne s’est préoccupée des questions de sécurité des données quand elle a prononcé cette amende record de 50 millions d’euros. Les points qui ont justifié que la société américaine soit condamnée tiennent au non-respect de règles simples que sont les principes de finalité, de minimisation et de transparence.
Il est donc important de consacrer un budget aux questions de sécurité de votre système d’information eu égard aux exigences de l’article 32 du RGPD, mais ne vous occuper que de cette question ne vous permettra pas de prétendre être conforme.
Quand la CNIL prend la décision de vous contrôler, elle ne sait généralement rien d’autre du traitement que vous faites des données personnelles que ce qui est affiché sur vos formulaires de collecte, votre site et/ou depuis vos applications.
Il y a donc quelque chose de contrintuitif à commencer par régler les questions liées à la sécurité de votre système d’information (le back office), au détriment de celles liées au respect des droits des personnes concernées par les traitements qui sont affichés au vu et au su desdites personnes.
La peur d’une sanction du marché plus que de celle venant de la CNIL
Un an après la date de mise en application du RGPD, le paradoxe est que ce ne sont pas seulement les risques liés à des amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros qui ont poussé les entreprises à mettre des moyens en œuvre pour assurer leur conformité aux exigences du RGPD.
Au-delà d’un risque lié à une amende de la CNIL, certaines sociétés ont, en effet, eu à expérimenter les conséquences du risque réputationnel du RGPD lorsque la CNIL, sans les sanctionner, les a mises en demeure publiquement de se conformer, dans un bref délai, à un texte qu’elles annonçaient pourtant, à grands renforts de CGU modifiées en ce sens et d’avenants aux contrats initiaux signés et paraphés, avoir respecté à la lettre bien avant le 25 mai 2018.
Le danger ne réside, à cet instant, plus dans la capacité de la CNIL à vous sanctionner d’une amende importante en fin de processus de contrôle, mais bien dans celle de vos clients à ne pas renouveler voire à résilier unilatéralement purement et simplement les contrats en cours pour non-respect du RGPD, suite au prononcé à votre encontre d’une mise en demeure publique par l’autorité de contrôle précitée…