Zooms

RGPD : 1 an après, tous conformes ?

Tribune d'expert / 15 juillet 2019

Souvenez-vous : le 25 mai 2018, l'entrée en vigueur du RGPD (Règlement général sur la protection des données) était sur toutes les lèvres et tous les écrans. Faisant échos aux nombreux scandales qui avaient écorné la réputation de quelques-uns des plus grands acteurs du digital (Facebook, pour ne citer que lui), le RGPD est apparu comme une réponse nécessaire à la vétusté des règles liées à la protection des données personnelles dans une économie numérique en pleine expansion.

Après avoir fait couler beaucoup d'encre, mis en branle les directions juridiques et marketing des entreprises, agité les organismes régulateurs, responsabilisé les utilisateurs... le RGPD n'a pas encore fini de faire parler de lui !

Des initiatives généralisées, mais inégales

Un an après l'entrée en vigueur du RGPD, un premier constat s'impose : une grande majorité des entreprises, tant multinationales que PME/TPE, ont initié leur mise en conformité, via par exemple de nouvelles procédures, de nouvelles gouvernances ou de nouvelles clauses contractuelles. Cependant, pour beaucoup d'entre elles, ces initiatives relèvent souvent d'une mise en conformité qui, si elle est visible et certainement rassurante pour l'utilisateur, est surtout destinée surtout à s'acquitter du minimum requis légalement.

Si cette approche minimaliste a été, jusqu'à présent, souvent privilégiée, c'est d'abord parce que le RGPD n'a pas bénéficié d'un écho particulièrement favorable auprès des petites et moyennes entreprises, qui y ont surtout vu un frein au développement de l'économie digitale en général, et de leur compétitivité en particulier. La perspective d'imposer de nouvelles contraintes à l'utilisateur et de perdre potentiellement une partie des données clients faute de consentement, en a refroidi plus d'une.

Mais c'est aussi du côté du texte lui-même que cette disparité d'approches trouve en partie son origine. Le RGPD, dans sa première version, édicte en effet des principes qui doivent être respectés, mais sans renseigner sur la manière de les mettre en œuvre concrètement, laissant le champ libre à des interprétations variées. Chaque acteur du marché a donc eu la responsabilité de déployer la ou les méthodes qui lui paraissaient les plus adéquates à son propre contexte business - et souvent les moins contraignantes.

Vers une harmonisation croissante - et plus contraignante - des pratiques

Les démarches, même minimalistes, entamées jusqu'à présent par les entreprises, sont-elles pour autant suffisantes pour garantir leur conformité règlementaire ? Si elles leur permettent aujourd'hui d'échapper aux sanctions de la CNIL, rien n'est moins sûr sur le long terme !

Car depuis un an, le texte a d'ores et déjà évolué, au fur et à mesure des échanges et des remontées d'informations entre les organismes régulateurs et les associations de professionnels, pour définir plus précisément les méthodes qui font actuellement défaut. Ce travail d'ajustement et de précision répond d'une part aux retours d'expérience des acteurs du marché, mais aussi à la nécessaire harmonisation des pratiques à l'échelle européenne.

Le RGPD est en effet destiné à s'appliquer de manière homogène à l'ensemble du marché européen, sur lequel il existe encore quelques disparités. La CNIL, réputée pour l'instant plus laxiste que ses homologues européens, va donc progressivement affiner et décliner le texte, et durcir en partie ses recommandations, afin de gommer au fur et à mesure les différences locales et s'aligner aux règles appliquées par nos voisins.

Cela signifie donc que les entreprises doivent rester vigilantes aux évolutions à venir, et vérifier que les méthodes et les procédures qu'elles ont déployées restent conformes aux nouvelles exigences règlementaires.

Les évolutions attendues

Le RGPD n'a donc pas encore dit son dernier mot ! Il n'en est même, pour ainsi dire, qu'à ses premiers balbutiements, et va continuer au fil des mois et des années, à redéfinir l'approche globale des organisations en matière de protection des données personnelles.

Parmi les évolutions attendues à court terme, notons par exemple la fin annoncée des formes de consentement dites « soft » c'est-à-dire liée à la simple poursuite de la navigation sur un site web. Tolérée jusqu'à maintenant en France, cette méthode de collecte, qui répond à une lecture possible du RGPD dans sa version actuelle, a de fortes chances de disparaître sous peu, au profit de méthodes dites « strictes », consistant en une expression directe du consentement (via par exemple un clic sur un bouton « accepter »).

La symétrie des consentements fera également sans doute partie des prochaines évolutions : elle consiste à proposer une symétrie des actions possibles, par exemple la présence systématique d'un bouton « Refuser » à côté d'un bouton « Accepter ».

Enfin, des précisions sont également en cours en matière d'échanges de données entre partenaires. Désormais, si une organisation souhaite partager avec des tiers des données qu'elle collecte auprès de ses propres utilisateurs, elle devra nommer précisément chacun des partenaires concernés au moment du recueil des informations.

Le RGPD va donc continuer à évoluer et à se préciser, dans une optique de professionnalisation du marché digital et de responsabilisation des détenteurs de données confidentielles. Les organisations doivent aujourd'hui considérer le RGPD comme un paramètre à part entière de l'ensemble de leurs décisions : il impactera à terme leurs méthodes de travail, leurs processus de conception et de production, et bien entendu leur stratégie et leurs opérations marketing. On ne se préoccupe aujourd'hui souvent que de la partie visible de l'iceberg, mais la question de la conformité devra être intégrée au quotidien, pour chaque sujet et chaque activité, par chaque collaborateur. Ce n'est qu'alors que les entreprises pourront en voir les avantages et les opportunités, et pas seulement les inconvénients.

Par Michael Froment, directeur et co-fondateur de Commanders Act

0
commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.