RGPD : comprendre les enjeux du marché en 8 questions

Adopté le 27 avril 2016, le Règlement Général sur la Protection des Données (RGPD) sera mis en application à compter du 25 mai 2018. Toutes les entreprises traitant des données personnelles liées à des citoyens européens devront respecter ce texte de loi visant à apporter une protection aux individus et leurs données en renforçant leurs droits mais également à responsabiliser les organisations traitant lesdites données des citoyens européens.

Guillaume Lhuillier est juriste en droit des TIC, diplômé du master 2 « Droit du numérique » à la Sorbonne et intervenant à l’École Européenne des Métiers de l’Internet (EEMI).

Comment résumer compendieusement le Règlement Général sur la Protection des Données ?

Tout d’abord, il est important de rappeler que le RGPD n’est pas la « révolution » ou le « tsunami » annoncé(e) : le Règlement ne bouleverse pas fondamentalement dans ses principes de base les règles relatives aux données personnelles, il les réaffirme plutôt – souvent avec force. En effet, il cherche le meilleur compromis entre innovation technologique et respect de la vie privée, le tout en gonflant considérablement les sanctions financières à destination des entreprises et des organismes publics qui ne respecteraient pas ces principes. 

Attention, ceci ne veut pas dire pour autant que le passage au RGPD soit simple, bien au contraire. Il occasionne même un coût financier non négligeable pour les acteurs. Néanmoins, affirmer comme on l’entend parfois que la mise en conformité est « impossible » semble extrême et résulter de conclusions d’entreprises n’ayant jamais respecté les anciennes réglementations…

Pour répondre à votre question, et pour parler plus trivialement, le RGPD est une update majeure des règles de protection des données avec la caractéristique qu’il s’applique quasiment de manière identique à l’ensemble des pays de l’Union Européenne. Car si les 28 pays de l’UE avaient jusqu’à présent des législations différentes en matière de données personnelles (issues logiquement de transpositions nationales de plusieurs directives européennes) la mise en place de ce règlement unique impose des règles harmonisées, qui s’appliquent de la même façon et au même moment pour tous les pays. 

Globalement, cela simplifie le business des entreprises qui interagissent avec plusieurs pays de l’Union et rend l’Europe plus crédible avec un droit unifié plutôt qu’avec 28 droits sur la question vis-à-vis des États-Unis, de la Chine, de l’Inde, etc.

Nous sommes désormais à quelques heures seulement de l’entrée en vigueur du texte, est-ce que le marché est prêt selon vous ? 

Parlons sans ambages : non. Bon nombre de TPE / PME n’ont même pas encore commencé à s’en préoccuper. Les grandes entreprises ont généralement commencé ce travail de mise en conformité mais, en contrepartie, ont fort à faire pour rendre tous leurs traitements de données conformes à la nouvelle législation.

Le texte a été adopté le 27 avril 2016 et est entré en vigueur le 24 mai 2016. Pourtant, l’entrée en application effective arrivera le 25 mai prochain, soit deux ans plus tard. En effet, le législateur européen, conscient du travail important de mise en conformité au RGPD, a laissé deux ans aux entités maniant de la donnée personnelle pour le faire. Et c’est là où le bât blesse : les entreprises ne se sont intéressées au cas du RGPD que depuis le début de l’année, et encore…

La mise en application du RPGD ne risque pas de mettre en péril le business model de certaines organisations dont l’activité repose -essentiellement ou en partie- sur la captation et l’exploitation de données personnelles des utilisateurs ?

Si, bien sûr. D’autant que, nous l’avons dit, certaines entreprises très agressives en termes de traçages d’internautes ne respectaient déjà pas les législations précédentes. Donc, avec un renforcement des principes, il est inévitable que ces dernières abandonnent l’idée de se mettre en conformité avec le nouveau texte ou n’y arrivent pas.

D’autres entreprises, bien que respectant les anciennes règles, ont aujourd’hui des difficultés à satisfaire aux nouvelles exigences du RGPD (par exemple les régies publicitaires) – ou du moins c’est ce qu’elles croient car il y une bonne part d’interprétation au moment où l’on parle sur les énonciations du texte européen. La jurisprudence arrivant après le 25 mai 2018 permettra aussi d’aiguiller en pratique certaines institutions actuellement dans le doute.

Parmi les mesures apportées par le RGPD, nous pouvons noter l’obligation de nommer un délégué à la protection des données, pouvez-vous nous en dire plus sur ce délégué ?

Le délégué à la protection des données est justement une pièce maîtresse, sorte d’ « arme de conformité massive » au RGPD.

Nouvelle fonction créée par le législateur communautaire (au sens de l’Union Européenne), le DPO (Data Protection Officer) conseille au quotidien les entités publiques ou privées mettant en œuvre des traitements de données (on les qualifiera de « responsables de traitement ») ou les sous-traitants et supervise la collecte de données personnelles dans le respect des règles édictées par le Règlement européen.

Il est important de rappeler que le DPO n’est pas obligatoire partout mais seulement pour les organismes publics et les organismes privés traitant à grande échelle et quotidiennement des données, a fortiori si elles sont sensibles (données de santé, d’orientations sexuelles, politiques, religieuses…etc.)

Ce qui frappe surtout c’est son degré d’indépendance et son importance voulus par le législateur au sein de l’entreprise : schématiquement, le délégué à la protection des données sera véritablement celui qui chuchotera à l’oreille des dirigeants et de ses actions dépendra la bonne suite des activités de l’entreprise.

Ceci étant dit et comme un site web valant mieux qu’un long discours, je vous propose de consulter en ligne toutes les informations relatives aux rôles et missions de cette nouvelle « personnalité » de l’IT et la data : dpo-dpd.fr.

Quels sont les risques pour les sociétés qui ne respecteront pas la loi ?

Le volet des sanctions administratives, qui pourront être prises par la CNIL (Commission Nationale Informatique et Libertés) française comme ses équivalents européens, ont considérablement augmenté et ont passé un cap avec le RGPD : les sanctions maximales prévues par le texte pourront aller jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent pour une entreprise, en prenant le plus élevé des deux montants !

Rappelons que le montant maximal des sanctions a longtemps été de 150.000 euros en France, 300.000 en cas de récidive, en passant d’octobre 2016 à mai 2018 à 3 millions d’euros maximum. Ainsi, on change totalement de paradigme avec le RGPD.

Depuis l’automne dernier, Apple avec l’iOS 11 empêche toutes les applications de suivre leurs utilisateurs en permanence sans autorisation formelle de ces derniers. Également, Google Chrome bloque désormais les publicités intrusives en Amérique du Nord et en Europe en se fondant sur les standards Better Ads de la Colation for Better Ads. Dernièrement, le géant américain a annoncé une nouvelle fonctionnalité qui permet aux utilisateurs de désactiver le reciblage publicitaire. Est-ce la fin d’une époque pour la publicité dans le digital ?

Nous l’évoquions à l’instant, le monde de la publicité en ligne est particulièrement touché par l’arrivée du RGPD et se pose beaucoup de questions à l’heure actuelle, non sans une certaine angoisse.

Il est clair que le respect des règles du Règlement européen va mettre un probable coup d’arrêt à certaines pratiques de récupération de données et de réutilisation pour afficher de la publicité ciblée, pas toujours loyales mais vitales pour les annonceurs.

Sans trop rentrer dans les détails, le RGPD renforce la notion de consentement et précise que chaque utilisateur devra être en mesure d’accepter ou de refuser tel ou tel service potentiellement intrusif. En cas de refus, le site devra rester accessible tout en excluant les éléments non consentis. On comprendra aisément que le consentement requis pour chaque encart publicitaire, accompagné d’une explication précise sur la récupération des données, fait froid dans le dos pour les acteurs.

Néanmoins, certains acteurs pensent que le RGPD reste une aubaine. Tout est question de point de vue ! Les réglementations sont souvent mal vécues car qui dit obligation dit contrainte mais comme dit le proverbe « à quelque chose malheur est bon ». D’autant plus que la mise en application des nouvelles normes peut aussi, in fine, « réinventer » la publicité digitale.

Les marchés américain et asiatique ont-ils une réglementation -ou d’un projet de réglementation-  similaire au RPGD ?

Dans les grandes lignes, non. Des législations existent en matière de protection des données dans le monde entier mais elles ne vont pas aussi loin que le Règlement européen à l’heure actuelle.

Très logiquement, le reste du monde a ses yeux rivés sur l’Europe et attend de voir comment les choses vont se dérouler. Depuis le scandale Cambridge Analytica, les États-Unis par exemple commencent de plus en plus à s’intéresser à ce qui est pour l’instant une exception européenne. Mark Zuckerberg, lui-même, a salué le texte européen (tout en décidant de ne pas faire profiter de ses principes l’ensemble du réseau Facebook…).

On peut parier sur le fait que des pays aux quatre coins du globe suivront d’ici quelques temps cette voie et arriveront au même niveau de protection que sur le sol européen.

N’y a-t-il pas en conséquence un risque pour le marché européen de se fermer à des opportunités de croissance face à d’autres marchés qui ne subissent pas les mêmes contraintes légales ?

Tout le monde est dans une position d’attente et la maxime de Socrate n’a jamais été aussi vraie concernant le RGPD : « Je sais que je ne sais rien. ».

Sur le papier, il y aura de fait un déséquilibre suivant les situations. Prenons le cas d’une banque australienne qui ne traiterait que des données de citoyens australiens. À ce stade, le RGPD ne s’applique pas mais il suffirait que cette banque ait comme prestataire une boîte française d’analyse statistiques, avec comme mission donc de traiter les données des clients australiens de la banque, pour que le RGPD s’applique, avec le niveau d’obligations que cela implique. Oui, les données des citoyens australiens, dans ce cas, seraient protégées par la législation européenne ! A contrario, si notre banque australienne avait choisi pour cette opération une entreprise indienne, alors le RGPD ne s’appliquerait pas.

Ainsi, il pourrait donc y avoir un intérêt pour des entreprises européennes de s’installer hors de l’Union Européenne pour prendre ce type de marché et un autre pour des entreprises extra-européennes de ne faire appel qu’à des prestataires de services non situés dans l’Union…

Encore une fois, tout ceci n’est que théorique. D’autant plus que, si l’on passe sur les contraintes nées des obligations du RGPD, le respect de la vie privée et des données personnelles prend peu à peu une place importante pour les citoyens, et pas seulement européens. Les entreprises jouent d’ailleurs de cet aspect et font aujourd’hui de la protection des données de leurs utilisateurs un avantage concurrentiel à part entière (voyez la publicité de Qwant, le moteur de recherche français).

Le RGPD, malgré tout ce que l’on peut lire et écrire dessus, est aussi une chance pour tous les acteurs du numérique. À n’en pas douter !

Entretien réalisé par Antoine Verselder, Responsable Marketing & Communication