Par Sarra Jougla-Ygouf, associée In Extenso-Avocats et DPO externalisé, Eric Féjan, DPO externalisé, et Bénédicte Daull Massart, directrice générale de Values Associates

I/ Mise en conformité RGPD – initialisation et premiers constats

Toute organisation, qu’elle soit publique ou privée, quelle que soit sa taille, sur n’importe quel secteur, exerce un traitement sur la donnée. Cet état de fait appelle à la responsabilisation des entreprises sur le RGPD pour encadrer les données collectées. Cette responsabilisation nécessite une prise de conscience globale de l’importance des données que l’entreprise détient vis-à-vis de toute personne physique, qu’elle soit salariée, fournisseur, prospect ou client.

a. Illustrations de pratiques de lancement

La mise en œuvre du RGPD dans les organisations peut être vécue comme intrusive, puisque la première étape consiste à identifier les traitements de données réalisés quotidiennement afin de les auditer. Un grand nombre d’acteurs économiques se sont effet rendus compte que leurs processus étaient trop souvent, peu, voire pas du tout, cadrés. La méthode d’initialisation préconisée par la CNIL est d’ailleurs rarement appliquée puisqu’elle correspond à des standards souvent trop éloignés des pratiques de nombreuses organisations. Le premier écueil du RGPD est donc lié au fait que les juristes se heurtent à une importante résistance de la part des organisations qui ne souhaitent pas modifier leurs pratiques, souvent par manque de temps ou par peur de perdre du business.

Il faut alors se glisser dans les process de l’entreprise pour pouvoir identifier minutieusement les traitements de données à encadrer et faire preuve de pédagogie afin de leur expliquer que leurs pratiques ne sont pas nécessairement vouées à être changées, mais doivent être analysées et documentées.

Ensuite, il est important de constater que le RGPD impose une approche obligatoirement transversale, puisqu’un certain nombre de données identiques vont être traitées de manières différentes en fonction des lois, codes et règlements propres à son secteur d’activité et des pratiques de l’entreprise. Prenons l’exemple d’une entreprise sous-traitante d’une autre, soumise au Secret Défense. Dans le cadre des processus de recrutement, l’entreprise peut avoir besoin de récupérer les casiers judiciaires des candidats. Le RGPD intervient ici sur les réglementations liées au droit du travail de manière transverse avec les réglementations liées au secret défense. Elle impose à l’entreprise d’apprécier son intérêt légitime à collecter ce type de donnée, de vérifier l’étendue de ses obligations légales et réglementaires et si elle peut se réserver le droit de refuser un salarié pour son casier judiciaire.

b. Des effets positifs inattendus

Le RGPD génère également des effets positifs inattendus. Il permet en effet aux acteurs économiques de rationaliser leurs traitements de données et leurs processus, parfois laissés de côté, et par contrecoup d’améliorer leur visibilité interne. Revenir sur des pratiques existantes et jusqu’alors non cadrées (notamment le shadow IT) permet aux organisations de pointer du doigt certains sujets non conformes au règlement européen et peut-être aussi obsolètes, vis-à-vis du contexte actuel de l’acteur économique. Le RGPD impose finalement un mouvement perpétuel qui, au-delà des applications recensées par les DSI, crée l’opportunité de gagner en transversalité entre les métiers de l’entreprise, en fluidité, et de fait, en performance.

c. Les mauvaises pratiques

Mais le RGPD fait également naître certaines mauvaises pratiques entre les différents acteurs concernés. Il convient donc de redéfinir le rôle et la responsabilité de chacun sur le traitement des données personnelles. Certains acteurs tentent en effet de reporter la responsabilité de la mise en conformité sur d’autres, comme sur les sous-traitants (l’inverse est également vrai, où il est constaté que le fournisseur s’empresse de transmettre à son donneur d’ordre l’expression du statut qu’il s’octroie : en principe celui de sous-traitant). Or le fournisseur peut avoir un vrai rôle dans le traitement des données personnelles d’une entreprise, comme des comptables externalisés, en charge de collecter et transmettre des données confidentielles, telles que les fiches de paye. Il convient donc de définir clairement les contrats entre les acteurs économiques et leurs prestataires afin de désigner un ou plusieurs responsables sur le traitement des données. En effet le fournisseur peut être responsable ou coresponsable du traitement pour une part de sa mission, et sous-traitant pour une autre part. La notion de sous-traitant, au sens purement juridique du terme, ou bien au sens où l’entend l’entreprise, n’est pas nécessairement identique à la notion de sous-traitant de données et peut donc varier en fonction des relations contractuelles. Afin de minimiser les risques, les acteurs doivent donc obligatoirement revoir leurs contrats et pratiques (la coopération entre DPO peut lever certains freins), afin de les mettre en conformité.

II/ Impacts du RGPD sur certains environnements professionnels

Le RGPD a permis de lever le voile sur des risques liés à de nouveaux environnements professionnels de plus en plus convoités par les entreprises. L’enjeu de la protection des données pour les salariés exerçant une activité en télétravail par exemple en est l’illustration parfaite. Les entreprises n’ont, souvent, pas conscience des enjeux de sécurité que leurs salariés, hors de la structure, peuvent leur faire encourir. Tous les canaux d’usages les plus courants tels qu’Internet, une boîte e-mail, un téléphone mobile, un ordinateur portable ou encore une clé USB sont de potentielles sources de fuites de données pour l’entreprise.

Dans le cadre du télétravail, le domicile, pour partie, devient zone de l’entreprise, et il est indispensable d’y instaurer des règles. Chaque structure a la responsabilité de mettre en place des outils et un cadre permettant de protéger les données qu’elle détient. Et la question se pose également dans le sens inverse. Comment garantir la sécurité informatique de l’entreprise sans tomber dans une surveillance ou un contrôle trop intrusif du télétravailleur ?

Egalement, on voit émerger depuis quelques années maintenant, de nouvelles pratiques grâce à la géolocalisation, le profilage ; utilisé par la grande distribution entre autres, qui consiste à croiser des données de manière automatique pour aboutir à un résultat ou un diagnostic. Ces données de géolocalisation servent officiellement à améliorer l’expérience client, en envoyant des publicités très ciblées, par SMS via des applications mobiles, aux consommateurs qui se situeraient à proximité du magasin. Officieusement ces données sont utilisées à des fins publicitaires pour améliorer le rendement de l’entreprise. Plusieurs start-up ont d’ailleurs déjà été condamnées pour manquement constaté à l’obligation de recueillir le consentement des personnes sur leurs données de géolocalisation à des fins de ciblage publicitaire. Il convient à présent de faire preuve de plus de transparence quant à la finalité de ces pratiques et de recueillir le consentement des individus ciblés.

III/ Les regtech, une réponse technologique aux enjeux de conformité

Devant le vaste programme engagé par le RGPD et la perception, pour beaucoup d’organisations, d’un chantier complexe, de nombreux acteurs se sont rapidement imposés comme partenaires sur ce nouveau marché. Ces nouveaux entrants proposent des solutions, selon des axes d’approches très variés pour les mises en œuvre réglementaires, permettant aux parties prenantes de se concentrer sur des tâches à plus forte valeur ajoutée. Les mesures de régulation concernent aujourd’hui l’ensemble du monde économique. C’est pourquoi les acteurs des regtech interviennent à point nommé, en solution externalisée, d’autant plus intéressante que les directions juridiques ne disposent pas forcément des ressources nécessaires pour créer des outils performants en interne.

De façon paradoxale, autant le RGPD est une véritable innovation sur le marché, une approche différente impulsant un vent nouveau, autant les outils qui sont proposés pour accompagner sa mise en œuvre capitalisent souvent sur des adaptations d’outils existants. Or les regtech peuvent changer la mise. Premier exemple : le collaboratif. Il est en effet possible de solliciter facilement l’ensemble des acteurs pour recueillir les informations nécessaires. Les outils facilitant cette approche permettent un gain considérable en termes de coûts et de délais et facilitent également l’exhaustivité du recueil et les nuances. Autre exemple : la data visualisation, qui connaît un fort essor depuis quelque temps, permet une analyse rapide sur de grandes quantités de données afin d’accélérer et de fiabiliser la prise de décision. Le concept «d’eye brain» rend la décision plus sûre. Lorsque les informations sont en nombre trop important, la restitution graphique rend la complexité compréhensible et appréhendable.

Le champ de regtech s’élargit de jour en jour, au grand bénéfice des organisations. D’ores et déjà, Forrester identifie près d’une quinzaine de segments spécifiques pour ces technologies en forte croissance (1). Toutefois, les fondamentaux demeurent ; l’association des technologies aux enjeux de conformité permet d’agir sur trois axes forts : le coût global de la conformité, les délais et la maîtrise des risques.

Il est important de rappeler qu’il n’y a aucun obstacle technologique au respect du RGPD et contrairement aux idées reçues, il n’est pas un frein à l’innovation, bien au contraire. Le RGPD peut révéler des opportunités de business, permettre de retrouver une transversalité entre les acteurs et une fluidité dans les échanges.

1. The Forrester Tech Tide™ : Risk And Compliance Management, Q2 2018.