RGPD : passer de la prise de conscience à la conformité
Quelque 1.000 délégués à la protection des données (DPO) s'étaient réunis le 14 janvier 2020 à l'occasion de la 14e Université des DPO organisée par l'Association française des correspondants à la protection des données à caractère personnel (AFCDP). Parmi eux, plusieurs dizaines de DPO de collectivités. Si la prise de conscience des enjeux du RGPD fait son chemin, celui de la conformité reste encore long.
Un an et demi après son entrée en application, le RGPD fait partie des réglementations européennes parmi les plus connues tant le sujet de la protection des données est devenu central. "67% des Européens ont entendu parler du règlement et 57% savent qu'il existe une autorité en charge de la protection des données personnelles" a fait valoir Olivier Micol, chef de l’unité "Protection des données" à la direction générale de la justice et des consommateurs. "C'est aussi un modèle qui inspire" selon lui. Sigle parmi les plus cités dans l'enceinte du Congrès américain, le texte intéresse le Japon ou encore l'Afrique. Si le RGPD s'exporte, son application reste cependant encore perfectible en Europe. Une étude récente sur les cookies - des micro-programmes qui permettent de tracer les utilisateurs de sites ou d'application - révélait par exemple qu'à peine 10% des sites respectent le RGPD. Autre critique : le manque d'harmonisation des règles adoptées par les pays membres. Entre règlement et directive, le RGPD peut en effet être adapté sur plus d'une cinquantaine de points. Avec parfois le risque de créer de fortes disparités, comme sur le volet sanctions. Ainsi le fait que l'État français se soit exonéré des sanctions (applicables aux collectivités) alors que la Commission européenne y est soumise et que d'autres États ont modulé les sanctions par catégorie d'acteurs peut poser question. Par ailleurs, si pas moins d'une vingtaine de lignes directrices élaborées par le Comité européen de la protection des données (CEPD) fournissent une interprétation partagée du texte, certaines dispositions restent encore peu claires. Autant de sujets d'amélioration qui devraient émerger à la faveur de l'examen de la mise en application du RGPD, programmée mi-2020 par la Commission.
Priorité à la protection des données numérique du quotidien
En France, pour aider les acteurs à s'emparer du RGPD, la présidente de la Cnil, Marie-Laure Denis, a fait valoir les nombreux outils et guides élaborés ces derniers mois par l'instance nationale de régulation. Certains sont généralistes, tels le Mooc RGPD qui a attiré 60.000 personne ou le modèle de registre des traitements. D'autres sont sectoriels, à l'image du guide RGPD ciblant les petites collectivités (notre article) ou encore du guide sur l'ouverture de données publiques coproduit avec la Cada (notre article). Ces outils seront bientôt complétés d'un guide du DPO. Soucieuse d'apporter la preuve des bénéfices du RGPD la présidente a annoncé qu'en 2020, "le fil rouge de la Cnil portera sur la protection des données numérique au quotidien". Promettant "une régulation équilibrée, alliant pédagogie et dissuasion", elle s'est aussi engagée à un dialogue approfondi avec les acteurs, comme actuellement sur les cookies pour lesquels une consultation vient d'être lancée. En matière d'innovation, la présidente a réaffirmé sa vigilance sur les sujets émergents comme l'identité numérique, la reconnaissance faciale ou l'intelligence artificielle. Elle a aussi promis de prouver que la Cnil "n'était pas un frein mais un levier pour innover", citant notamment le potentiel créé par les obligations des plateformes en matière de portabilité des données. Elle a enfin insisté sur la responsabilisation des acteurs, invitant les organisations à se saisir pleinement du RGPD, au plus haut niveau hiérarchiques, le DPO ne pouvant s'entendre que comme "le chef d'orchestre d'une montée en compétence collective".
Le long chemin de la conformité
De nombreux DPO de territoires avaient bravé les grèves pour se rendre à cette manifestation. Des territoires qui ont désormais dépassé le stade des formalités initiant la démarche – désignation d'un DPO, cartographie des applications et registre des traitements – pour rentrer dans le dur de la mise en conformité. Pour les intercommunalités où le DPO est mutualisé, le principal défi est d'intégrer l'ensemble des petites communes dans le processus. "Nous avons organisé plus de 50 réunions ciblant les élus et les secrétaires de mairie" explique le DPO du Grand Poitiers. Chaque collectivité a son système d'information, ses logiciels, ses habitudes… qu'il s'agit de passer au crible du RGPD. "Ils ne se rendent pas compte qu'ils ont la responsabilité de données confidentielles voire sensibles" explique le référent sécurité des systèmes d'information avec qui travaille main dans la main le DPO poitevin. Si la vidéoprotection, l'état civil ou les services sociaux sont facilement perçus comme des points de vigilance, d'autres sujets sont moins bien compris comme la fin des fichiers Excel circulant de services en services ou encore l'utilisation de la liste électorale pour inviter les personnes âgées au dîner annuel de la mairie…. À Lorient, la DPO de la ville finalise la tournée des services pour auditer l'ensemble des applications et établir un plan de mise en conformité : "Au-delà de la sensibilisation, il y a la question financière car s'il existe pléthore de logiciels pour faciliter la mise en conformité, tous ne sont pas abordables. Idem pour la sécurisation des outils informatiques qui peut se révéler très onéreuse." Le RGPD implique par ailleurs de changer en profondeur les pratiques. "Saisir les données personnelles d'un usager pour réaliser une formalité, garder indéfiniment la copie d'un titre d'identité dans un dossier… de nombreuses habitudes doivent être remises à plat au regard du RGPD", souligne le DPO de Fleury-les-Aubrais. Autre difficulté : s'assurer de la conformité de toutes les solutions. "Nous ne sommes pas toujours associés en amont sur le choix des logiciels par les services, déplore le DPO. Et, dès lors que nous avons à faire à un gros éditeur basé à l'étranger, il est impossible de négocier les clauses du contrat." D’où l'importance de travailler avec un réseau national des DPO.