En 3 ans, le RGPD s’est imposé comme le nouveau texte sacré des entreprises en matière de traitement des données personnelles. Acteurs privés comme publics cherchent à l’interpréter et à le mettre en œuvre. Ceux qui rechignent encore à s’y soumettre se voient infliger des sanctions financières et réputationnelles coûteuses ! Avec une législation qui ne cesse de se renforcer et des recommandations officielles qui se multiplient, quels sont les défis qui attendent les entreprises dans le cadre de leur mise en conformité ? Et de quelles options disposent-elles pour les relever ?

 

Hard et Soft Law : les deux impératifs législatifs de la mise en conformité

On observe aujourd’hui une recherche d’éthique des affaires transverse à toutes les activités de l’entreprise, qui se conjugue pleinement avec la gestion de la donnée personnelle. Celle-ci doit composer avec, d’un côté, la Hard Law (RGPD, loi Informatique et Liberté, Sapin 2…) et, de l’autre côté, la Soft Law, constituée d’une multitude de recommandations pratiques éditées par les autorités compétentes. En France, la CNIL a fait des efforts significatifs depuis 3 ans pour mettre des ressources à la disposition des entreprises afin de les aider dans leur mise en conformité. Elle a aussi su faire preuve d’une grande patience. En observant l’année écoulée, seulement 11 sanctions ont été prononcées pour non-respect des lois dans ce domaine contre plusieurs centaines en Espagne. Toutefois, si la CNIL a peu condamné en nombre, elle l’a fait durement et à tous les niveaux. Ainsi, de grandes entreprises comme Amazon, Google ou encore Carrefour ont été sanctionnées, mais aussi de simples médecins indépendants qui avaient négligé la sécurisation de leur connexion Internet. Parce que beaucoup d’entreprises estiment encore que le RGPD ne concerne que les gros acteurs, la solution la plus dissuasive ne serait-elle pas de dénoncer plus massivement les mauvaises pratiques ? Cette hausse du nombre de sanctions devrait se concrétiser dès cette année, avec comme conséquence une règlementation qui trouverait enfin toute sa place au sein des organisations.

 

L’humain, acteur majeur de la gestion des données personnelles

La conformité aux lois qui régissent la protection des données consiste avant tout dans la maitrise d’un risque humain, celui du comportement des individus au sein même des entreprises et institutions. Pour gérer ce phénomène, les entreprises ont de plus en plus souvent recours à un DPO (i.e. Data Protection Officer). De nombreux juristes et ingénieurs, passionnés de nouvelles technologies, s’orientent aujourd’hui vers ce métier qui ouvre de formidables opportunités en matière d’évolution de carrière. La tendance 2021 sur ces profils est la confirmation progressive de leur indépendance au sein des organisations constituant l’essence même de leurs missions. En effet, si le premier responsable de la conformité dans l’entreprise reste le responsable du traitement, le DPO se positionne à ses côtés pour l’aider à établir les règles de gestion qui garantiront la protection des données personnelles.

Cette dimension humaine se retrouve également dans la nécessité d’acculturer les salariés aux risques. Ces derniers ont encore du mal à se parer de l’adage « nul n’est censé ignorer la loi », car il s’agit d’un droit vivant et fortement évolutif. Les former aux spécificités du RGPD revient à leur permettre d’appréhender la réglementation sous un angle métier et avec un bénéfice business. Avant d’être un technicien juridique, le DPO est ce nouveau missionnaire capable d’évangéliser tous les niveaux de l’entreprise pour que la maitrise du risque final soit sous contrôle. 

Pour réaliser cette conformité généralisée et assurer la pérennité de l’engagement, l’apport du digital est clé. Le DPO devra en effet disposer de bons outils pour accélérer cette transformation et rester concentré sur sa valeur ajoutée : le conseil. Des solutions numériques adaptées lui seront ainsi d’une aide précieuse pour soutenir une expertise plus complète sans perdre de temps sur les fondamentaux du RGPD. Aujourd’hui, le principal défi du DPO est de faire mieux avec autant de ressources, conjugué à une inflation de la réglementation et des demandes internes. La digitalisation de cette fonction va donc dans le sens de l’histoire puisqu’elle permettra une accélération de la mise en conformité des entreprises.

Consentement, cyberprotection et souveraineté : 3 tendances lourdes 

L’engagement libre et éclairé des personnes titulaires de données personnelles s’impose progressivement comme une norme indépassable et plus particulièrement dans les relations B2C. Accorder ou refuser son consentement aux cookies par exemple est désormais la démarche naturelle des internautes. Cette demande d’acceptation se renforce sur les modèles digitaux car elle constitue un élément majeur dans la possibilité de diffuser ou de refuser la transmission de ses données personnelles.
Au regard des cyberattaques que subissent massivement les entreprises depuis plusieurs mois, la sécurité est, elle aussi, au premier plan des priorités des DPO en 2021. Il est essentiel que les entreprises procèdent à une application plus sérieuse de l’article 32 du RGPD qui les oblige à déterminer de manière précise les mesures techniques et organisationnelles qu’elles mettent en place pour les protéger. Aujourd’hui, une société qui se fait voler ses données ne rassure plus du tout ses clients !

Enfin, un dernier sujet anime l’écosystème juridique : le traitement des données de santé. Si elles sont à la fois un sujet politique, social et économique, elles représentent elles aussi un enjeu de souveraineté nationale qu’il est crucial d’intégrer à la réflexion.
Bien plus que le nouvel or noir du 21e siècle, la donnée personnelle est l’électricité qui permet aux entreprises de fonctionner. En disposer et construire une éthique autour de sa gestion nécessitent aujourd’hui beaucoup de courage et d’expertise. C’est aussi le seul moyen pour les entreprises de se distinguer et de se dessiner un avenir serein !

 

Tribune rédigée par : Grégoire Hanquier, Directeur Juridique chez la legaltech, Data Legal Drive.

 

<<< À lire également : L’Intelligence Artificielle Au Secours Du RGPD >>>