En­tre­tien Isa­belle Falque-Pierrotin (Cnil) : « Le RGPD re­met les ac­teurs eu­ro­péens et in­ter­na­tio­naux à éga­li­té de concur­rence »

La Tribune Hebdomadaire - - ÉDITO - PRO­POS RE­CUEILLIS PAR ANAÏS CHERIF ET SYL­VAIN ROL­LAND @Anais_C­he­rif @SylvRol­land

La confor­mi­té ras­sure les consom­ma­teurs. Le RGPD est une op­por­tu­ni­té de bu­si­ness

Pour la pré­si­dente de la Com­mis­sion na­tio­nale de l’in­for­ma­tique et des li­ber­tés, le Rè­gle­ment gé­né­ral sur la pro­tec­tion des don­nées, loin d’être une contrainte de plus, va per­mettre à l’Eu­rope de mieux s’af­fir­mer face aux pou­voirs des Ga­fa (Google, Apple, Fa­ce­book et Ama­zon) et aux ci­toyens eu­ro­péens de mieux maî­tri­ser leur vie nu­mé­rique. LA TRI­BUNE - Pour­quoi consi­dé­rez-vous que le RGPD est in­dis­pen­sable ?

ISA­BELLE FALQUE-PIERROTIN - Le RGPD est une grande avan­cée pour plu­sieurs rai­sons. Tout d’abord, il crée un mar­ché eu­ro­péen de la don­née en uni­fiant les lé­gis­la­tions par un rè­gle­ment unique. Jus­qu’à pré­sent, il fal­lait com­po­ser avec des textes na­tio­naux pas for­cé­ment rac­cords les uns avec les autres. Deuxiè­me­ment, le RGPD re­met en­fin les ac­teurs eu­ro­péens et in­ter­na­tio­naux à éga­li­té de concur­rence. La dis­po­si­tion re­la­tive au ci­blage, qui per­met d’ap­pli­quer le rè­gle­ment aux groupes étran­gers qui traitent les don­nées de ci­toyens eu­ro­péens, force les géants du Net amé­ri­cains et chi­nois à ne plus s’af­fran­chir des règles de l’UE. Le troi­sième avan­tage du RGPD est qu’il ren­force la ca­pa­ci­té de dia­logue de l’Eu­rope face à ces ac­teurs. Google, par exemple, ne dia­lo­gue­ra plus sé­pa­ré­ment avec la Cnil fran­çaise puis son équi­va­lente al­le­mande, mais avec l’au­to­ri­té chef de file qui re­pré­sente toutes les Cnil eu­ro­péennes. En­fin, le RGPD ré­pond à la vo­lon­té de plus en plus mar­quée des ci­toyens eu­ro­péens de mieux maî­tri­ser leur vie nu­mé­rique. Les droits des per­sonnes sont consi­dé­ra­ble­ment ren­for­cés. Certes, la mise en confor­mi­té s’ac­com­pagne d’un in­ves­tis­se­ment et d’une ré­or­ga­ni­sa­tion in­terne pour les en­tre­prises et les col­lec­ti­vi­tés, mais le RGPD est une chance pour l’Eu­rope.

Les ac­teurs sou­mis au RGPD ont eu deux ans pour s’y pré­pa­rer, mais à moins de soixan­te­dix jours de son en­trée en vi­gueur, le 25 mai pro­chain, très peu sont prêts. Com­ment ex­pli­quez-vous ce re­tard ?

Beau­coup d’en­tre­prises n’étaient pas conformes à la di­rec­tive sur la pro­tec­tion des don­nées de 1995 ré­vi­sée en 2004, qui a mo­di­fié la loi de 1978. Elles partent donc de très loin, il y a un ef­fet de rat­tra­page. En dé­pit de nos ef­forts de com­mu­ni­ca­tion, la culture de la pro­tec­tion de la don­née peine à s’ins­tal­ler en France. His­to­ri­que­ment, la ges­tion des don­nées a été can­ton­née aux di­rec­tions ju­ri­diques des en­tre­prises. Elle n’a ja­mais été in­ves­tie par les di­rec­tions gé­né­rales ou au ni­veau du co­mex [co­mi­té exé­cu­tif, ndlr]. Une prise de conscience est né­ces­saire pour que l’en­jeu monte dans la hié­rar­chie des struc­tures et de­vienne stra­té­gique. Le RGPD pousse jus­te­ment à cette prise de conscience parce que les sanc­tions qui ré­sultent du non-res­pect du rè­gle­ment sont très dis­sua­sives. Au­jourd’hui, les en­tre­prises sont vrai­ment au pied du mur.

L’arme des sanc­tions, qui peuvent at­teindre 4 % du chiffre d’af­faires mon­dial, force les en­tre­prises à en­fin se pré­oc­cu­per de leur ges­tion des don­nées. La me­nace est-elle le seul moyen ef­fi­cace ?

L’am­pleur in­édite des sanc­tions est une bonne arme de dis­sua­sion. Cette crainte nous per­met de faire en­trer le su­jet de la pro­tec­tion des don­nées dans les en­tre­prises. Mais main­te­nant que nous avons leur at­ten­tion, notre but est sur­tout de pous­ser un autre mes­sage, ce­lui que la confor­mi­té au RGPD n’est pas seule­ment une contrainte ré­gle­men­taire mais peut aus­si ap­por­ter un bé­né­fice opé­ra­tion­nel. Res­pec­ter la vie pri­vée de ses clients et col­la­bo­ra­teurs est un fac­teur de dif­fé­ren­cia­tion concur­ren­tielle et ré­pond à une de­mande so­cié­tale forte de­puis l’af­faire Snow­den. Dans les sec­teurs qui uti­lisent énor­mé­ment les don­nées, comme les ­star­tups du nu­mé­rique, les men­ta­li­tés changent. Des fonds d’in­ves­tis­se­ment com­mencent à se dire qu’ils ne veulent pas in­ves­tir dans une star­tup qui ne pra­tique pas le pri­va­cy by de­si­gn. La confor­mi­té est aus­si un ou­til mar­ke­ting : elle ras­sure les consom­ma­teurs. On l’a bien vu au CES de Las Ve­gas, où de plus en plus de star­tups fran­çaises ont mis en avant leur éthique des don­nées. Le RGPD est une op­por­tu­ni­té de bu­si­ness.

Beau­coup d’en­tre­prises res­tent com­plè­te­ment dans le flou, no­tam­ment les PME-TPE. Com­ment les ai­der à se mettre en confor­mi­té ?

Il est vrai que les grands groupes ont les moyens de s’adap­ter et sont en train d’in­ves­tir. Les PME en re­vanche sont plus dé­mu­nies face à la com­plexi­té du texte. En tant que ré­gu­la­teur, il est de notre res­pon­sa­bi­li­té de les ai­der. Nous avons mis en place beau­coup d’ou­tils. D’abord, les « six étapes » du RGPD, une in­for­ma­tion de base très pé­da­go­gique sur ce qu’est le RGPD et com­ment s’en em­pa­rer. Nous pro­po­sons aus­si des ou­tils plus opé­ra­tion­nels, par exemple un tu­to­riel pour ai­der à réa­li­ser une étude d’im­pact. Pour les PME et les ETI tous sec­teurs confon­dus, nous tra­vaillons avec Bpi­france à la réa­li­sa­tion d’un kit pra­tique qui se­ra dis­po­nible d’ici à la fin du mois de mars. Nous me­nons aus­si une ré­flexion plus ma­cro qui consiste à réuti­li­ser les packs de confor­mi­té que nous avons dé­ve­lop­pés ces der­nières an­nées. Le but est de créer un ré­fé­ren­tiel sec­to­riel qui per­met­trait d’évi­ter quelques dé­marches aux en­tre­prises qui y adhèrent. Ain­si, les en­tre­prises sau­ront exac­te­ment ce que le ré­gu­la­teur at­tend en termes de confor­mi­té dans leur sec­teur, en fonc­tion des usages.

Les « gui­de­lines », les guides de bonnes pra­tiques pu­bliés par le G29

[l’or­ga­nisme qui fé­dère les Cnil eu­ro­péennes, pré­si­dé par Isa­belle Falque-Pierrotin

jus­qu’en fé­vrier 2018] pour ai­der les en­tre­prises à in­ter­pré­ter le texte, ne sont pas toutes sor­ties. De fait, beau­coup de so­cié­tés se plaignent de ne pas pou­voir se mettre en confor­mi­té car elles n’ont pas les ou­tils né­ces­saires…

Je rap­pelle que le G29 n’avait au­cune obli­ga­tion de sor­tir des gui­de­lines. Nor­ma­le­ment, un rè­gle­ment est ap­pli­cable dès qu’il est vo­té. Or, l’UE a lais­sé un dé­lai de deux ans. Nous avons pris l’ini­tia­tive de ré­di­ger des gui­de­lines sur les su­jets clés car nous crai­gnions que la com­plexi­té du texte amène à des in­ter­pré­ta­tions dif­fé­rentes de la part des au­to­ri­tés na­tio­nales. Ces gui­de­lines ont été éla­bo­rées en co­cons­truc­tion avec les fé­dé­ra­tions pro­fes­sion­nelles. Leur but est d’être souples, utiles, et de col­ler aux usages du ter­rain. Elles ar­rivent tard car elles ont de­man­dé un tra­vail mons­trueux de dia­logue avec les ac­teurs. Les en­tre­prises peuvent dé­jà se fé­li­ci­ter de les avoir.

Al­lez-vous com­men­cer votre tra­vail de contrôle et de sanc­tion dès le 25 mai, tout en sa­chant que la plu­part des en­tre­prises ne sont pas en si­tua­tion de confor­mi­té ?

Le RGPD ne part pas d’une feuille blanche. Un cer­tain nombre de prin­cipes liés à la gou­ver­nance des don­nées exis­taient dé­jà, comme la fi­na­li­té du trai­te­ment des don­nées par exemple. Nous les contrô­le­rons donc comme avant, car les en­tre­prises sont dé­jà cen­sées les avoir in­té­grés. La mé­thode se­ra la même : soit nous ré­agi­rons à des plaintes – nous en re­ce­vons 8000 par an –, soit nous di­li­gen­te­rons nous-mêmes des contrôles, qui peuvent dé­bou­cher sur des sanc­tions. En re­vanche, nous sou­hai­tons faire preuve de prag­ma­tisme et de bien­veillance pour les prin­cipes nou­veaux du rè­gle­ment, comme le droit à la por­ta­bi­li­té ou l’obli­ga­tion de mettre en place un re­gistre, car il faut lais­ser aux en­tre­prises

le temps de se les ap­pro­prier. Le but d’un ré­gu­la­teur n’est pas d’af­fi­cher un ta­bleau de chasse de sanc­tions. Dans un pre­mier temps, nous pri­vi­lé­gie­rons l’ac­com­pa­gne­ment et l’ex­pli­ca­tion.

Au­rez-vous une to­lé­rance plus forte en­vers les PME qu’en­vers les grands groupes et les géants du Net, par exemple ?

Nous rai­son­nons au cas par cas. Une PME sus­cite bien sûr une cer­taine ré­serve, mais ce­la ne veut pas dire qu’on lais­se­ra pas­ser n’im­porte quoi. Ima­gi­nez une PME dans l’éco­no­mie des don­nées de san­té qui laisse pas­ser une faille de sé­cu­ri­té consi­dé­rable. Dans un tel cas, nous se­rions for­cés de ré­agir vite. Il ne faut pas tom­ber dans des au­to­ma­tismes.

Ima­gi­nez une PME dans l’éco­no­mie des don­nées de san­té qui laisse pas­ser une faille de sé­cu­ri­té consi­dé­rable. Dans un tel cas, nous se­rions for­cés de ré­agir vite

Le RGPD oblige les struc­tures qui uti­lisent des don­nées à grande échelle à re­cru­ter un Da­ta Pro­tec­tion Of­fi­cer (DPO). Mais il n’y a pas as­sez de DPO… Com­ment faire ?

J’en­tends cette dif­fi­cul­té, mais je crois aus­si que les DPO vont « se faire » sur le ter­rain. Ce nou­veau mé­tier, cen­tral, né­ces­site des com­pé­tences trans­ver­sales. Des for­ma­tions se mettent en place dans tous les pays eu­ro­péens. Mais les en­tre­prises peuvent aus­si faire évo­luer un pro­fil exis­tant. Le DPO peut être un ju­riste, un tech­ni­cien, un CIL (cor­res­pon­dant in­for­ma­tique et li­ber­tés)… Son po­si­tion­ne­ment doit à la fois être proche des mé­tiers et bran­ché sur la chaîne de dé­ci­sion pour qu’il ne soit pas un per­son­nage de paille et que ses re­com­man­da­tions soient sui­vies.

Avec le RGPD, le mar­ché de la confor­mi­té ex­plose. Vous avez d’ailleurs mis en garde contre la mul­ti­pli­ca­tion des ar­naques…

Ce mar­ché n’est pas nou­veau mais il prend de l’am­pleur. De nou­veaux ou­tils et pro­grammes de confor­mi­té émergent à par­tir des rè­gle­ments eu­ro­péens. À cer­tains égards, je m’en ré­jouis car il n’y avait pas suf­fi­sam­ment d’ac­teurs in­ves­tis dans l’opé­ra­tion­na­li­sa­tion des prin­cipes eu­ro­péens. Cette ac­ti­vi­té peut être com­plé­men­taire de celle des ré­gu­la­teurs. De­puis quatre ans, nous émet­tons des la­bels qui prennent la forme de ré­fé­ren­tiels en fonc­tion des sec­teurs. À pré­sent, nous vou­lons pro­gres­si­ve­ment pas­ser des la­bels à une vé­ri­table cer­ti­fi­ca­tion, en s’ap­puyant sur des cer­ti­fi­ca­teurs pri­vés. Ce­la per­met­tra de mieux en­ca­drer ce mar­ché et de ré­duire les ar­naques. Il est vrai que cer­tains pra­tiquent un gros­sier mar­ke­ting de la peur en ac­cen­tuant les dif­fi­cul­tés du RGPD pour vendre des pres­ta­tions par­fois in­utiles à un prix exor­bi­tant. Face à ce­la, nous rap­pe­lons que tout n’est pas nou­veau : si vous êtes en confor­mi­té avec les ré­gle­men­ta­tions pré­cé­dentes, le RGPD ne né­ces­site qu’un tra­vail de toi­let­tage. Les en­tre­prises doivent res­ter vi­gi­lantes, vé­ri­fier la cré­di­bi­li­té de leur in­ter­lo­cu­teur et uti­li­ser nos ou­tils sur notre site pour iden­ti­fier leurs be­soins de confor­mi­té.

Vous in­sis­tez sur les nou­veaux droits que le RGPD offre aux ci­toyens pour mieux contrô­ler leur vie nu­mé­rique. Mais les usages ré­vèlent une at­ti­tude pa­ra­doxale : d’un cô­té les ci­toyens se mé­fient des ac­teurs qui « as­pirent » leurs don­nées de ma­nière non trans­pa­rente, de l’autre ils conti­nuent d’uti­li­ser en masse ces ser­vices…

Le « pri­va­cy pa­ra­dox » est une réa­li­té mais je crois que le RGPD ar­rive à point nom­mé pour ap­puyer un chan­ge­ment de culture vis-à-vis des don­nées per­son­nelles. Il y a de plus en plus de blo­queurs de pu­bli­ci­té. De plus en plus de pro­fils Fa­ce­book ferment, ce qui n’était pas le cas il y a quelques an­nées. On sent bien que les ser­vices qui se pré­sentent comme plus res­pec­tueux des don­nées re­cueillent de plus en plus d’in­té­rêt. Il est vrai que beau­coup de droits exis­tants, comme le droit d’ac­cès ou le droit de rec­ti­fi­ca­tion, sont peu uti­li­sés, en grande par­tie car ils res­tent peu connus. Mais le droit à l’ou­bli sur les mo­teurs de re­cherche est un vrai suc­cès en France et en Eu­rope. Je suis éga­le­ment per­sua­dée que le nou­veau droit à la por­ta­bi­li­té des don­nées, ain­si que la pos­si­bi­li­té de re­cours col­lec­tifs face aux ac­teurs qui ne res­pectent pas leurs obli­ga­tions, vont être plé­bis­ci­tés. Le RGPD va ac­cé­lé­rer cette prise de conscience, qui est pour l’heure mar­gi­nale. C’est un vrai choix po­li­tique de la part de l’Union européenne.

Dans quel sens ?

Avec le RGPD, nous af­fir­mons une cer­taine vi­sion de l’in­no­va­tion. Con­trai­re­ment à ce qui peut être dit, le rè­gle­ment ne frei­ne­ra pas l’in­no­va­tion, bien au contraire. Com­mer­cia­le­ment et stra­té­gi­que­ment, l’idée de l’Eu­rope est de bâ­tir une in­no­va­tion ro­buste parce qu’elle est construite sur le res­pect des droits, qui sont pris en compte en amont. Bien sûr, il y au­ra tou­jours des pa­ra­dis de la don­née. Mais est-ce le mo­dèle que l’Eu­rope veut construire? Non. Le RGPD in­carne un mo­dèle d’in­no­va­tion du­rable.

ISA­BELLE FALQUEPIER­ROTIN PRÉ­SI­DENTE DE LA COM­MIS­SION NA­TIO­NALE DE L’IN­FOR­MA­TIQUE ET DES LI­BER­TÉS

Dans les sec­teurs qui uti­lisent beau­coup les don­nées (star­tups du nu­mé­rique…), le sou­ci de pro­té­ger celles-ci pro­gresse, es­time la pré­si­dente de la Cnil.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.