RGPD un an après : une grande hétérogénéité européenne
Podcast: Play in new window | Download (Duration: 17:06 — 15.7MB)
Subscribe: Apple Podcasts | Spotify | Android | RSS | More
RGPD un an après, petit exercice de décodage. À écouter les bilans du RGPD ici et là, nous serions enfin arrivés dans le monde des bisounours. Il m’a paru important de décrypter les informations et pour cela, je me suis donc entretenu avec David Luponis, associé cybersécurité chez Mazars France, afin de faire un point sur les impacts de ce règlement un an après son application. Où on verra notamment que la réussite du RGPD se mesurera beaucoup plus sur un temps long et que – tout compte fait – dans le long terme, le RGPD pourrait donner naissance à un nouveau business – légitime celui-là – d’acquisition des données personnelles avec consentement.
RGPD un an après : une grande hétérogénéité européenne
J’ai écouté la radio ces derniers temps et ce que j’en ai compris c’est qu’en matière de RGPD tout était merveilleux, alors est-ce que c’est vrai ou faux ?
Pas tout à fait. Ce qu’on voit c’est ce qui se fait depuis un an, mais il faut se souvenir que c’est une réglementation qui date de 2016. Les entreprises européennes avaient deux ans pour se mettre en conformité. Donc c’est un sujet qui a plutôt trois ans aujourd’hui. Le RGPD étant un règlement européen, il y a évidemment des interprétations dans chaque pays qui peuvent être différentes. Avec des pays très en avance de manière historique, notamment l’Allemagne. Et puis évidemment un certain nombre de pays qui ont découvert en 2016 ces sujets de protection des données. Cela se traduit donc par une grande hétérogénéité au niveau européen de ce qui se passe en termes de suivi de cette réglementation. C’est une vision pays par pays. Et puis en plus de tout cela, il y a une vision sectorielle.
Un certain nombre de secteurs étaient relativement mûrs sur ce sujet. Notamment les banques et les assurances qui, pour la plupart, avaient déjà avancé sur ces sujets quand cela s’appelait « Informatique et Libertés ». Elles sont donc plus en avance que la moyenne des autres secteurs, comme l’industrie lourde par exemple, qui découvrait ce sujet en 2016.
RGPD un an après, comment se situe la France à l’intérieur de ce panel ?
La France était, avec la loi Informatique et Libertés l’un des pays d’Europe qui étaient les plus avancés sur ces sujets. Les entreprises françaises étaient censées, depuis 1978, faire un certain nombre de déclarations auprès de la Commission Nationale Informatique et Libertés ou devaient tenir un registre en interne avec un correspondant Informatique et Libertés. Toutes les entreprises ne sont cependant pas pliées à cet exercice. Mai 2016 et 2018 ont apporté de la nouveauté dans ce paysage.
En France, si on devait mettre un curseur sur la conformité des entreprises françaises, il serait probablement réglé entre 50 et 70% pour les grandes entreprises et autour de 20 à 30% pour le reste. Il faut bien voir qu’aujourd’hui il n’existe pas de matrice de conformité. Aujourd’hui personne ne peut vous délivrer un certificat de conformité par exemple.
Quels sont les cas concrets où la loi a permis de redresser les torts
Les amendes annoncées (4% du CA mondial) ont été dissuasives, c’est pour cela que les entreprises ont réagi. Mais à ce jour en Europe [NDLR L’interview a été réalisée cet été] il y a eu quatre cas de sanctions. Le premier cas de sanctions est au Portugal pour un hôpital qui a pris une amende, de mémoire, de 400.000 euros. Il y a eu une sanction en Allemagne sur un réseau social allemand. Il y a eu la semaine dernière en fin de semaine (juin 2019) une petite amende qui a été donnée en Belgique. Et puis finalement le gros cas d’école est le cas Google qui a écopé d’une sanction de 50 millions d’euros en France. Voilà les quatre 4 cas qui ont été jugés. On peut penser que d’autres cas sont en cours de traitement ou d’investigation et que cela donnera peut-être lieu à d’autres sanctions publiques.
50 millions d’euros pour Google, est-ce beaucoup ?
Si on en croit leurs chiffres, c’est sûrement moins de 4% de leur chiffre d’affaires mondial. À l’origine on a présenté cette loi comme justement un moyen de se protéger contre les abus notamment des fameux GAFAM ? Cet objectif est-il atteint ? Et pourquoi uniquement la France ? Les enquêtes sont menées par les différentes autorités de contrôle dans chacun des pays de manière indépendante. En fait la France a visé certainement pour un tas de bonnes raisons Google, mais elle a peut-être visé aussi un hôpital public, un industriel français ou européen. Il n’y a pas de focus sur les GAFAM dans ce règlement. Il y a certainement fort à parier qu’un certain nombre de gros acteurs européens ou internationaux font leur travail correctement, qu’ils soient gros ou des petits, mais comme on l’a dit au début il est très compliqué de devenir conforme à 100%.
Quand on regarde autour de soi et qu’on demande des témoignages et qu’on regarde même sa propre boîte mail, on n’a pas la sensation d’avoir vu fléchir le marketing direct indélicat. Ce règlement serait-il moins utile qu’on le dit ?
Votre vision est celle de la plupart des gens. Ce qu’on leur annonçait il y a un an ou deux était l’arrêt des mails intempestifs, l’arrêt des mails pour essayer de vous vendre des voitures des chaussures ou des fenêtres et on fait le constat qu’aujourd’hui on continue à recevoir ce genre de sollicitations. Ce qu’on note quand même c’est que chez les grands acteurs vous avez la possibilité en tant que Français ou Européen de faire une demande d’informations ou de demandes de suppression et ça fonctionne plutôt bien. Il y a énormément de demandes qui sont faites auprès des sites webLe site web B2B est la vitrine digitale de votre entreprise. C'est le moyen le plus simple et efficace de présenter les produits et services de votre entreprise à vos futurs clients. des marchands et ça, c’est une vraie évolution qui a été mieux intégrée par les entreprises. C’était beaucoup plus compliqué par le passé, mais il est vrai que l’on continue à recevoir un certain nombre de mails intempestifs. Cela devrait diminuer parce qu’évidemment quand les contrôleurs européens vont commencer à mettre de plus en plus de sanctions chez des gens qui revendent des fichiers, parce que vous parlez finalement de la revente d’informations personnelles. Ces gens-là vont être sanctionnés une fois, deux fois, dix fois en plus de devoir payer la sanction et surtout de subir une information publique sur la sanction. Au bout d’un moment, ils vont certainement devoir arrêter car le business model de ces sociétés ne sera plus rentable.
Ne serait-il pas plus simple et un peu moins coûteux d’un point de vue législatif de s’adresser à la source du problème plutôt que plutôt qu’à la fin du problème ?
Dans le RGPD il y a un point très intéressant qui concerne le consentement. Si le consommateur vous donne son consentement, vous n’êtes pas en infraction. Car vous avez donné votre consentement. C’est là que la donnée y compris personnelle peut prendre une valeur. Dans les hypothèses de 2016 et 2018 sinon on envisageait qu’en fait il allait y avoir des petits malins qui allaient lancer des services de revente officiels de données personnelles. Mais ce n’est pas arrivé. Mais à partir du moment où je donne mon consentement (libre et éclairé, et défini dans une temporalité) vous pouvez potentiellement traiter mes données à caractère personnel à des fins marketing.
Alors si on fait un peu de prospective comment voyez-vous la situation évoluer ?
On voit depuis maintenant un an que de plus en plus d’entreprises se sont lancées dans l’aventure de la mise en conformité. Autour du 25 juin 2018, vous avez reçu de la part de l’ensemble de vos partenaires et prestataires des dizaines et des dizaines de mails expliquant la manière dont ils allaient gérer vos données à caractère personnel. Cela leur a fait franchir un pas et je ne pense pas que le GDPR n’a pas pour vocation de finir à un instant T. C’est plutôt un processus long, une intégration de nouveaux process de contrôle dans la vie de l’entreprise. Il y a donc fort à parier que dans les 3-10 ans la conformité va s’améliorer grandement. Ces mails pour vendre des voitures des chaussures ou des fenêtres parce que vous vous êtes connecté sur le site de bricolage du coin vont largement diminuer. Vos données personnelles vont prendre encore plus de valeur qu’aujourd’hui parce que les marchands vont chercher à acquérir cette donnée de manière légitime et peut-être que demain un business va se créer sur l’acquisition légitime de ce genre de données, avec votre consentement.