Juridique

Le GDPR : une opportunité au delà de la contrainte de conformité

De gauche à droite : Bernard Duverneuil (Cigref), Bertrand Diard (Tech’In France) et Pascal Antonini (AFAI) ont ouvert la conférence du 14 novembre 2017.

Trois associations, l'AFAI, le Cigref et Tech'In France, se sont associées pour créer un guide pratique de la conformité GDPR. Celui-ci a été présenté et replacé dans son contexte lors d'une conférence dédiée le 14 novembre 2017 dans l'amphithéâtre de la SCOR.

PublicitéLe GDPR fait peur aux entreprises, sans doute à cause des lourdes sanctions qui, désormais, menacent les récalcitrants à la conformité (jusqu'à 4 % du chiffre d'affaires mondial). Il est donc important que les entreprises, de toutes les tailles, comprennent ce que le législateur européen attend d'elles avant le 25 mai 2018 mais aussi au delà. Le 14 novembre 2017, dans l'amphithéâtre de la SCOR à Paris, trois associations (l'AFAI, le Cigref et Tech'In France) ont présenté le résultat de leur initiative « Données Personnelles et Système d'Information (DPSI) : Entreprises, les clés d'une application réussie du GDPR » lancée en 2016. Celle-ci a débouché sur la création d'un guide très pragmatique (voir encadré). La conférence du 14 novembre a aussi été l'occasion de replacer la problématique GDPR dans un contexte plus large pour bien en comprendre le sens. Et démontrer qu'il y a là une véritable opportunité pour les entreprises, au delà de la contrainte de mise en conformité.
« Il s'agit d'une initiative de place, de tout l'écosystème, qui prouve ainsi son attachement à relever le défi de la conformité GDPR » a insisté Bernard Duverneuil, président du Cigref, en ouvrant la conférence. Cette initiative est parfaitement dans l'axe de la mission du Cigref -accroître la capacité des entreprises à maîtriser les enjeux du numérique- mais, cette fois, bien au delà des seuls membres de l'association des plus grands comptes français. En effet, le guide en téléchargement libre sera utile à la totalité des entreprises françaises.

Une opportunité !

Pour le Cigref, le GDPR est certes une contrainte, la mise en conformité, mais c'est aussi et surtout une grande opportunité. Il s'agit en effet d'abord de renforcer la confiance des citoyens et des consommateurs dans les usages de la donnée par les entreprises. « Et la confiance est au coeur de la construction numérique » a rappelé Bernard Duverneuil. En interne, le chantier GDPR est aussi une opportunité de renforcer la sensibilisation à un usage responsable des données.
Une intervention en vidéo pré-enregistrée de Mounir Mahjoubi est allée dans le même sens. Pour le secrétaire d'Etat, cette prise en compte de la protection des données sera un levier de compétitivité. En présentant plus en détail le guide, Régis Delayat (Cigref) a d'ailleurs répété : « certes, la conformité est une charge mais donner confiance est une valeur ».

Régis Delayat (Cigref) a présenté en détail le guide (voir encadré)

Le GDPR repose sur trois principes : l'harmonisation au niveau européen de la réglementation, la responsabilisation des entreprises et le renforcement des droits du citoyen. Sont concernés par le règlement non seulement les entreprises établies dans l'Union Européenne mais aussi toutes les entreprises traitant des données de citoyens de l'Union Européenne. Même (et surtout) Google ou Facebook.
Sur une table ronde, Jean-Christophe Lalanne, présent au titre du Cigref mais aussi DGSI d'Air France, a rappelé une petite anecdote datant de l'après-guerre. A cette époque a été mis en place le PNR, c'est à dire l'enregistrement des passagers avec des informations assez sensibles sur, par exemple, qui part avec qui en vacances. Or 25 à 30 000 personnes y avaient accès sans véritable utilité. Des fuites ont eu lieu dans la presse people sur certains voyages de personnalités. Cela a amené la direction générale d'Air France à prendre des mesures, bien avant la loi de 1978. « Le sujet concerne évidemment les données client mais il ne faut pas oublier les données de GRH, or les DRH, sur ce sujet, sont souvent un peu en retard » a regretté Jean-Christophe Lalanne.

Publicité
De gauche à droite : Valérie Ferret (Tech'In France), Patrick Geai (AFAI), Jean-Christophe Lalanne (Cigref) et Sophie Nerbonne (CNIL)

Si le GDPR concerne évidemment les entreprises utilisatrices, il serait dommage d'oublier leurs prestataires, d'autant que le nouveau règlement leur attribue davantage de responsabilité directe, au delà des seules clauses contractuelles avec leurs clients. Valérie Ferret (Tech'In France) a ainsi relevé : « beaucoup d'éditeurs de logiciels basculent sur le mode SaaS et, de ce seul fait, deviennent des sous-traitants au sens du GDPR. Ce règlement arrive donc au bon moment, celui de la mutation de modèle, car, plus tard, il aurait été sans doute délicat de changer ce qui aurait été fait. » L'existant est d'ailleurs, comme toujours, le principal problème. « Les futurs projets en mode Privacy by design sont moins problématiques que la mise en conformité du Legacy » a ainsi jugé Patrick Geai (AFAI).
Surtout, il ne faudrait pas oublier un petit détail. « La législation française date de quarante ans mais le GDPR a été un révélateur, pour certains, de l'existence de règles » a soupiré Sophie Nerbonne, directrice de la conformité de la CNIL. Ces règles ne sont pas fondamentalement bouleversées par le GDPR qui devrait donc, normalement, être quasiment indolore. L'autorité administrative indépendante veut aussi expliquer que le sujet GDPR ne s'arrêtera pas le 25 mai 2018. Pour Sophie Nerbonne, il faut engager un processus d'amélioration continue, non seulement côté entreprises, mais aussi côté CNIL, pour mener des audits et un accompagnement toujours plus pertinents. Cet accompagnement repose notamment sur la publication de documents de référence.

La députée Laure de La Raudière a rappelé les enjeux politiques et sociétaux du GDPR

Très en pointe sur les sujets numériques, la députée Laure de La Raudière est intervenue de manière très applaudie pour, bien sûr, saluer la qualité du travail des trois associations, mais aussi et surtout insister sur un message politique au sens noble du mot. Car, oui, la data et ce que l'on en fait, sont des sujets politiques, de liberté des citoyens. Pour elle, « il ne faut pas laisser des algorithmes décider pour nous ». La question de la souveraineté numérique de l'Europe face aux géants chinois et américains ne peut pas non plus être éludée.
Ce qui pourrait arrêter les géants Google ou Facebook, cela pourrait bien être le manque de confiance des citoyens dans des entreprises qu'ils cesseraient d'accepter d'utiliser. En répondant aux attentes des citoyens, le RGPD peut donc bien être un levier de performance, un avantage concurrentiel, des entreprises européennes.

Stanislas de Rémur (Tech'In France) a conclu la conférence en se réjouissant de l'uniformisation des règles au niveau européen, facilitant la mise en conformité.

Un guide pragmatique pour le passage à la conformité GDPR

Entreprises - Les clés d'une application réussie du GDPR est une publication issue d'un groupe de travail commun au Cigref, à l'AFAI et à Tech'In France

Face à une réglementation qui peut sembler complexe et absconse, le Cigref, l'AFAI et Tech'In France ont, dès 2016, monté un groupe de travail commun, l'initiative « Données Personnelles et Système d'Information (DPSI) : Entreprises, les clés d'une application réussie du GDPR », pour démystifier le GDPR, en collaboration avec quatre cabinets d'avocats (August & Debouzy, De Gaulle Fleurance & Associés, Osborne Clarke et Samman) et la CNIL. Le résultat est ce guide qui se télécharge gratuitement en PDF.
Il détaille précisément la réglementation et en décrit les moindres mécanismes, recourant pour cela à de nombreux exemples concrets d'entreprises et des focus d'experts. Surtout, il contient une check-list de 50 items pour s'assurer de n'oublier aucune question et une autre liste de 300 mesures concrètes et simples à mettre en oeuvre. En tant que mode d'emploi de la conformité GDPR, il s'intéresse à la gouvernance, aux outils d ela confiance et à la gestion contractuelle.
« Normalement », ces recommandations devraient être inutiles dans les entreprises évidemment toutes strictement respectueuses des contraintes légales existantes. Mais une petite vérification n'est jamais de trop, surtout quand les éléments à vérifier sont listés et expliqués de manière aussi accessible.