3 mois avant le RGPD – que va-t-il arriver si vous n’êtes pas prêt?

image_pdfimage_print

 

Conformité au RGDP… ces mots résonnent dans nos têtes comme s’ils n’en existaient pas d’autres.

En effet, la protection des données personnelles est devenue un thème non seulement à la mode, mais tout le monde en parle parce que cette nouvelle réglementation bouleverse au delà du paysage légal. En 2017, le RGPD est vite devenu l’un des sujets réglementaires et juridiques probablement le plus discuté actuellement et cela va encore augmenter dans les prochains mois. La date de conformité approche et nous ne sommes qu’à un peu plus de 3 mois du 25 mai 2018, cette fameuse date butoir après laquelle le Règlement (UE) 2016/679  (RGPD ou GPDR) s’appliquera à tous les organismes publics et privés qui tomberont dans le champs d’application matériel (art. 2) et territorial (art. 3) de ce Règlement.

La protection des données et la cybersécurité vont gagner en importance avec les compagnes de sensibilisation massives, l’importance de penser à la protection des données dès le début ou dès la conception avant tout traitement des données (privacy by design), et l’incroyable augmentation du nombre de professionnels de la protection des données apparaissant au niveau mondial, prônant ce domaine qui n’est pourtant pas si nouveau.

Dans cette course historique pour la conformité en matière de protection des données, la Commission européenne a publié son nouveau site internet contenant des lignes directrices très complètes au sujet du RGPD. Cette plateforme est conçue de manière très intuitive, intelligible, simple et de facile d’accès. Le contenu comporte plusieurs sections couvrant les principaux thèmes traités par le RGPD, dont notamment:

ainsi qu’une section infographique contenant un résumé des domaines clés liés au nouveau Règlement comme les droits et obligations, les règles organisationnelles, la gouvernance, et les conséquences en cas de non-conformité. Et il ne reste plus beaucoup de temps. Au peu moins de 3 mois avant que les organisations traitant des données personnelles aient à démontrer aux autorités de quelle manière elles sont conformes avec la loi (principe de ”responsabilité” ou “accountability” en anglais – art. 5 § 2 RGPD).

__________________

A QUOI S’ATTENDRE SI VOUS N’ÊTES PAS “RGDP-CONFORME” EN MAI 2018?

Sur son nouveau site, la Commission rappelle les 4 étapes clés avant qu’une autorité de contrôle (“supervisory authority”) puisse prononcer une amende administrative (art. 83 RGPD) aux entreprises et organisations qui seraient en violation de leurs obligations:

(1) AVERTISSEMENT ⇨ (2) RAPPEL A L’ORDRE ⇨ (3) SUSPENSION DU TRAITEMENT DE DONNEES ⇨ (4) AMENDE

Le Règlement (UE) 679/2016, les sanctions doivent être prononcées de sorte qu’elle soient “dans chaque cas effectives, proportionnées et dissuasives” (art. 83 § 1 in fine RGPD). De plus, le régime de sanctions permet à une autorité de contrôle de prononcer une amende en sus d’une autre mesure telle que notamment:

  • avertissement (art. 58 (2) (a) et considérant 150 RGPD);
  • retrait d’une certification (art. 58 (2) (h) RGPD); ou
  • suspension du traitement de données (art. 58 (2) (j) et 83 (5) (e) RGPD).

__________________

LES AUTORITES NE VONT PAS SANCTIONNER TOUT LE MONDE DES LE 26 MAI 2018 

Il est devenu courant d’entendre et de lire de nombreuses personnes et cabinets de conseils sortant de nul part, criant sur les réseaux sociaux et sur internet que la fin du monde est prévue pour mai 2018 en cas de non-conformité. La réalité est un peu plus complexe que cela et de telles assertions ne correspondent pas à la réalité. Il est vrai qu’après le 25 mai 2018, la protection des données aura effectué un saut de géant en avant, et que le délai pour les responsables de traitement de se mettre en conformité sera échu. Des sanctions pourraient dès lors s’abattre sur les organisations qui ne seraient pas conformes. Ok, cela est théoriquement vrai avec des amendes très salées.

Toutefois, cela ne devrait arriver qu’après une analyse de la situation par une autorité de contrôle, includant des échanges de communications, des audits, dans le cas où une personne concernée dépose une plainte pour violation ou non respect de ses droits, ou en cas de saisie de la justice par un individu pour violation de la loi.

Si une chose est certaine, si vous n’y êtes pas encore et que vous pensez êtes soumis au RGPD, vous feriez mieux de vous y mettre tout de suite ou alors préparer votre ligne de défense pour indiquer en quoi votre entreprise n’est pas soumise au RGPD. Cependant, il semble utile de rappeler quelques considérations un peu moins alarmistes sur le régime de sanctions selon le RGPD et la mise en conformité. En voici quelques unes:

  • Il ne va pas pleuvoir des amendes dès le 26 mai 2018. Il s’agit d’un mythe créé par des entreprises qui pratiquent le marketing par la peur et qui se réjouiront de vous offrir toute une panoplie de de services, solutions informatiques et cocktail pack de mise en conformité au RGPD. Les entreprises déjà alertes sur cette problématique ne sont font pas avoir, mais les plus petites structures qui sont nouvelles dans le monde du numérique peuvent tomber dans le piège.
  • Question de preuve et d’interprétation. Une autorité ne va pas prononcer une amende avant d’avoir pu considérer que le responsable de traitement a concrètement manqué à ses obligations, probablement après l’avoir interpellé, puis probablement averti (cela concerne les responsables, mais aussi leurs sous-traitants) d’un violation de la loi. Des délais de mise en conformité seront accordés et, en fonction de la gravité des manquements, une certaine flexibilité sera accordée. Cela implique de mener des investigations, par exemple en demandant des explications documentées, en menant des audits auprès des responsables de traitement, des sous-traitants, des détaillants, des fournisseurs, des partenaires commerciaux, mais également par une interprétation du Règlement. Et ce n’est pas chose aisée.
  • Cela va prendre du temps d’examiner les plaintes. Selon Steve Eckersley, du Bureau du commissaire à l’information anglais (ICO UK), certaines enquêtes prennent de 8 à 12 mois”. Cela prend donc du temps qui permet au responsable de corriger le tir. Steve Echersley cite comme exemples que “le bureau du Commissaire à l’information est en train de recruter entre 100-150 personnes pour travailler sur les aspects liés au RGPD et à la cybersécurité” et prédit qu’ils s’attendent à recevoir quelques “30’000 notifications d’incident par année“. Ce n’est pas un nombre à prendre à la légère.
  • Les autorités ont aussi leurs obligations. Les autorités sont, et resteront, très occupées à mettre en place leur propres équipes afin de renseigner, aider, guider les responsables de traitement dans l’applicabilité, l’interprétation, mais aussi la mise en place des mesures nécessaires à être conforme au Règlement. Elles doivent aussi réfléchir à intégrer ou non des exceptions au RGPD dans leur droit national, examiner comment traiter et gérer les notifications d’incidents, travailler sur la soumission d’analyses d’impact (DPIA), etc.
  • Sanctionner n’est pas une priorité. La priorité n’est pas de sanction tout le monde dès mai 2018, mais plus de pouvoir démontrer que votre organisation met la protection des données en haut de la liste des tâches à accomplir et que des mesures concrètes sont prises pour y remédier, que les bonnes personnes sont en place, que la gouvernance a été pensée, qu’un budget a été alloué, etc. La conformité au RGPD, est pour la plupart des responsables de traitement, un énorme projet qui se prolongera au moins sur les 5 ans à venir, et qui continuera d’être, pour toutes les parties prenantes. Les autorités de contrôle sont d’ailleurs elles-mêmes mises sous pression par la Commission européenne pour leur propre mise en conformité! Le fait qu’elles soient très occupées, ne signifie pas pour autant qu’aucune sanction ne sera prononcée. Ces amendes arriveront, il y aura des exemples auprès des grands, moyens et petits. Mais simplement pas tout de suite.
  • Le Règlement (UE) 2016/679 n’indique pas les amendes comme première mesure en cas de non-conformité. Lorsque un audit RGPD sera mené, il y aura place au dialogue et échanges entre les autorités, juristes, avocats, conseillers internes à la protection des données (DPO), sous-traitants et autres acteurs de cet écosystème. Il sera également intéressant d’observer si le niveau de plaintes par des individus va augmenter dans le futur ou si le RGPD va instaurer une confiance accrue auprès du public. On oublie parfois que le le RGPD est formidable opportunité pour les organisations de rester compétitives. Une attitude responsable, une volonté de mettre les clients et les individus au centre de leurs intérêts en respectant au mieux leurs droits peut être un grand coup de marketing permettant d’indiquer un haut niveau de standard en la matière, le cas échéant en se démarquant de la concurrence.
  • Maintient de la conformité au cours du temps. La conformité doit être maintenue et surveillée dans le temps. La conformité au RGPD n’est pas un projet unique. Elle s’intègre au sein d’une entreprise comme nouveau comportement vis-à-vis de leurs clients, partenaires d’affaires, employés, etc. et les processus internes en seront modifiés en conséquence. Cela devrait continuer aussi longtemps que ce Règlement sera en vigueur, ce qui implique qu’une amende pourrait arriver bien plus tard. Une entreprise peut être prête pour mai 2018, et ne plus l’être dans le futur si le programme de protection des données n’est pas maintenu.
  • Interprétation de la loi et droit nationaux.  Plus de 60 articles du RGPD permettent aux Etats Membres de l’UE de déroger au Règlement dans leur droit national. Cela veut dire que de connaître le RGPD sur le bout des doigts maintenant, n’est pas suffisant. Il y aura probablement 28 RGPD différents (ou 27 dès le Brexit). Il y aura de nombreuses différences selon les pays, avec un exemple déjà très aboutit en Allemagne, premier pays à avoir adopté et adapté sa loi interne au RGPD. Enfin, beaucoup d’articles du RGPD ne sont pas clairs et sont déjà sujets à interprétation par de nombreux commentateurs. La conformité reste une analyse au cas par cas et il n’est pas possible d’avoir une solution clé-en-main applicable à tous, même si beaucoup de principes sont communs. Dans cet article, il est également mentionné qu’il “faudra probablement environ 10 ans avant qu’on puisse considérer le RGPD comme un texte législatif mature et qui est compris correctement”.

Tout cela permet de tempérer quelque peu les ardeurs et se rendre compte de l’ampleur de cette réglementation.

__________________

D’AUTRES MENACES ET RISQUES QUE LES AMENDES

Les entreprises et organisations traitant des données personnelles et qui sont soumises au RGPD (responsables et sous-traitants) ne devraient pas se focaliser sur les amendes. Une amende risque de n’être qu’un mauvais goût supplémentaire à un menu déjà trop salé.

Lors d’un traitement de données personelles, il s’agit de prendre également en considération les autres risques et menaces à l’activité et aux affaires en cas de non-conformité. Voici quelques exemples:

  • atteinte à la réputation, pertes financières, pertes de cliens après un incident. Les notifications en matière de cybersecurité, tant aux autorités en cas de risque (art. 33 RGPD), qu’aux personnes concernées en cas de risque élevé (art. 34 RGPD), les atteintes à la réputation peuvent causer parexemple des dommages considérables à la réputation, engendrant des opportunités d’affaires perdues, perte de clientèle, responsabilités contractuelles et violation de contrats. Ces événements peuvent être bien plus dommageables qu’une amende. L’affaire désastreuse de Talk-Talk, a été causée par un porte-parole qui s’est exprimé devant la presse sans préparation suffisante, donna le pire des signaux causant la panique des clients après le communiqué de presse lié à l’incident.
  • discontinuité des affaires et coûts de remise en service suite à un incident. Non seuelement les incidents en matière de cybersécurité peuvent causer un arrêt de l’activité et impact sur la réputation, mais cela impliquera des dépenses qui peuvent être considérables. Dans le cas de Talk-Talk, alors que l’amende s’est élevées à GBP 400,000, les dommages totaux se sont chiffrés à environ GBP 60 millions… Les dépenses peuvent concerner les enquêtes et investigations, correction des erreurs, prévention des nouvelles, et mise en place de nouvelles mesures et processus, etc. Avec l’augmentation des systèmes informatiques et du numérique, le traitement des données par des réseaux connectés, il est probable que des données personnelles soient concernées. Si tel n’est pas le cas, la réglementation ne s’applique pas. C’est là que la mise en place de mesures techniques et organisationnelles adéquates joue un rôle clef. Dans le cas le plus optimiste, une organisation bien équipée et préparée pourrait même ne pas avoir à notifier les individus, ni même les autorités. En effet, si les données ne sont pas personnelles, ou si l’incident n’est “pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques“, alors aucune notification n’est requise. Quoi qu’il en soit, la réflexion et l’intégration d’une politique en matière de cybersécurité pour se préparer et savoir notifier de manière adéquate et dans les délais un incident est absolument cruciale. Cela nécessite d’impliquer les personnes au plus haut niveau hiérarchique.
  • suspension du traitement des données. Un incident en matière de cybersecurité peut causer une cessation temporaire de l’activité, mais autorité peut aussi l’ordonner. Cela pose encore des questions pratiques pour savoir comment une autorité peut mettre en exécution une telle mesure (probablement par les forces de police), cela pourrait être très dommageable en particulier si le traitement de ces données est essentiel à la poursuite de l’activité et des affaires.
  • prise de parts du marché par des concurrents. Il s’agit d’un élément auquel les responsables de traitement devraient aussi songer.  Et c’est aussi là que le RGPD constitue une réelle opportunité pour certains acteurs. Mettre en avant sa conformité un réel gage d’excellence en matière de gestion de la protection des données personnelles.
  • activité péjorée sur le long terme.
  • perte de confiance par le public.
  • pertes d’employés et démission de cadre dirigeants.
  • budget supplémentaire et non planifié en matière de sécurité, protection des données, restructuration interne, établissement de nouvelles positions, audits internes.
  • etc.

Il est certains que toutes les entreprises et organisations dans le monde et qui sont soumises au RGPD ne seront pas prêt pour le 25 mai 2018. Les responsables traitant de grosses quantité de données, sensibles qui plus est, et créant un risque pour les individus, seront dans le collimateur des autorités. Cela est évident. Cette soit-disant “Loi Facebook” va peut-être motiver les autorités à se concenter sur les GAFAM, BATX et leurs partenaires contractuels, mais cela concerne tous les acteurs.

Par cet article, j’espère avoir pu donner quelques pistes indiquant que l’alarmisme n’est pas la bonne approche et n’est pas conforme à la réalité. Tant qu’une entreprise est capable de démontrer son avancement vers la conformité, qu’il s’agit d’une priorité, qu’elle a pris les mesures en vue d’aboutir à une conformité le plus rapidement possible, cette entreprise se trouve sur la bonne voie.

Soyez prêts et non effrayés. Faites du RGPD, une opportunité pour votre entprise ou organisation et non un point bloquant. Ne craignez pas les amendes, mais préparez-vous pour démontrer que vous êtes ou allez être conformes.

__________________

Par Gabriel Avigdor | NTIC.ch