Identifier et réduire les risques juridiques et financiers, améliorer la réputation et l’accès au marché, mais aussi instaurer la confiance grâce à un suivi continu auprès des tiers comme des clients. Tels sont plusieurs des objectifs affichés du schéma « Europrivacy », le tout premier label approuvé le mois dernier par le Comité européen du traitement des données (CEPD), un organe indépendant basé à Bruxelles qui réunit les autorités de régulation des 27 Etats membres de l’Union. Cette certification arrive plus de six ans après la promulgation du règlement général de protection des données (RGPD) et quatre ans et demi après son entrée en vigueur, un délai justifié par la complexité de son processus d’adoption. « Ce schéma – qui peut être comparé à une norme ISO – a mis du temps à voir le jour car il a fallu se coordonner avec les différentes autorités de protection en Europe, procéder à son écriture, à la mise en place de son organisation ainsi qu’à sa validation, analyse Cécile Théard-Jallu », associée au sein de De Gaulle Fleurance, l’un des partenaires aux côtés notamment d’autres cabinets d’avocats (Dentons, Osborne Clarke, DLA Piper), d’experts-comptables (Deloitte, EY, KPMG et PWC) ou de conseil (Accenture, etc.).

Une prise de conscience progressive des enjeux

Un acteur qui veut obtenir ce label doit concrètement s’engager à protéger les données personnelles au travers d’un Privacy Pact avant de documenter sa conformité avec le soutien de partenaires du programme dans le cadre d’un processus de suivi. Puis viendra l’étape de l’évaluation via un organisme certificateur et, enfin, l’obtention du précieux sésame, valable pour une période de trois ans renouvelable. Le label permet d’assurer sa conformité au RGPD ainsi qu’aux diverses obligations complémentaires nationales ou spécifiques à un domaine. L’enjeu est de taille car le défaut de respect de la législation en vigueur peut durement impacter les entreprises défaillantes, à la fois d’un point de vue économique comme réputationnel.

Il faut dire que ces acteurs n’ont pas toujours conscience des enjeux du RGPD et voient ces nouvelles obligations comme une contrainte plutôt qu’un investissement réel. Pourtant, si en France la Commission nationale de l’informatique et des libertés (Cnil) avait annoncé une période de « tolérance » de trois ans concernant la conformité au RGPD après son entrée en vigueur au printemps 2018, l’heure est désormais davantage aux sanctions. Celles-ci peuvent être significatives et certains le savent bien : Google et Facebook ont par exemple été condamnés dans l’Hexagone, respectivement, à des amendes de 150 et 60 millions d’euros par le gendarme des données personnelles en raison de leurs « cookies ».

« Méthodologie vertueuse »

Les promoteurs du label insistent sur l’intérêt du projet à l’heure où les enjeux liés au numérique et à la vie privée en ligne ne font que croître. « C’est un outil à la fois technique et organisationnel qui permet d’adopter une méthodologie vertueuse pour la protection des données personnelles. Il s’agit d’un langage qui parle au-delà des frontières juridiques et qui va permettre, en cas de transfert international de données, de remplacer des clauses contractuelles », poursuit Cécile Théard-Jallu.

Son confrère Xavier Pican, associé chez Osborne Clarke, rappelle que « dans une économie de la donnée où la confiance est un bien précieux, les individus pourraient souhaiter savoir et donc apprécier que leurs données personnelles soient utilisées par des organisations certifiées ». Le label sera-t-il pour autant l’apanage des grands groupes ? Ce n’est pas l’idée. « Cette certification a vocation à intéresser les acteurs de toutes tailles », précise Xavier Pican qui rappelle simplement que les entreprises internationales « disposant d’un programme global, d’équipes internes, de conseils externes, d’une documentation complète et à jour » auront logiquement plus de maturité pour se faire certifier rapidement. Une chose est sûre, un acteur qui entame cette démarche doit s’attendre à devoir faire des efforts. « S’il a un inconvénient, c’est que cet outil peut faire ressortir des non-conformités dans les organisations. Il invite à un exercice de transparence qui peut mettre en lumière des actions ou inactions qu’on n’aurait pas voulu voir », souligne Cécile Théard-Jallu.

Développé dans le cadre du programme de recherche européen Horizon 2020, « Europrivacy » est mis à jour par le Centre européen de certification et de protection de la vie privée (ECCP) à Luxembourg ainsi que par son comité international d’experts. Le label aura vocation à être revu en fonction de l’évolution de la législation et de la jurisprudence. Reste à voir dans quelle mesure il sera adopté dans l’écosystème en Europe, sous quel délai et s’il aura même de l’influence au-delà des frontières du Vieux Continent. Un précédent inspire en tout cas les plus optimistes : lorsque la Californie, avec son « Consumer Privacy Act », avait adopté en 2020 sa propre loi ambitieuse en matière de données personnelles dans la foulée du RGPD européen, avant même une loi fédérale en la matière. D’ici la survenue d’un scénario similaire pour ce label, la route est encore longue.