RGPD : quel bilan et quelle sensibilisation des entreprises à la protection des données ?
Avis d'experts
05 février 2022
La journée européenne de la protection des données du 28 janvier est l’occasion de faire le bilan de 4 ans de RGPD. Ainsi que de continuer à sensibiliser grand public et entreprises à la protection des données personnelles. Plus qu’un sujet juridique, la privacy s’inscrit dans un mouvement sociétal mondial d’intérêt des personnes sur la vie privée et sur la manière dont les gens peuvent faire respecter leurs droits. Dans ce contexte, le RGPD en vigueur depuis 2018 pose un contexte juridique unifié pour l’Europe. Là où auparavant, chaque pays y allait de sa propre initiative, y compris la France avec la loi informatique et libertés. Désormais, la gestion de la vie privée et de la souveraineté de la vie privée occupe une place extrêmement importante au niveau mondial.
Selon les stratégies gouvernementales, les politiques tendent soit à offrir des droits aux personnes sur leurs données, soit à s’assurer que le contrôle de ces données restent au sein de l’Etat. En Europe et en France, les entreprises et le grand public ont désormais 4 à 5 ans de recul sur le RGPD. BORDEAUX Business s’est donc entretenu avec Christophe Gueguen, associate Partner au sein de la practice Sécurité de Magellan Consulting, pour faire le bilan notamment des enjeux de la protection des données pour les entreprises comme pour le grand public.
Quelle est la valeur des données personnelles sur le marché ?
Aujourd’hui, la valeur financière des données personnelles est une question à plusieurs facettes. D’abord, on parle de ces données comme du nouveau pétrole. On reconnaît bien par là la valeur marketing pour les entreprises de bien connaître leurs clients.
Dans ce contexte, le RGPD a d’abord été perçu comme une contrainte pour les entreprises. De notre côté, Magellan Consulting a été largement sollicité par les équipes marketing. Lesquelles se sont finalement intéressées davantage aux possibilités pour tendre vers “mieux” de données plutôt que “beaucoup” de données. Notamment parce que les conditions sont devenues beaucoup plus restrictives et donc laborieuses à gérer, avec par exemple les durées de conservation imposées par le règlement. Avec le RGPD, le marketing s’interroge davantage sur : est-ce que les données sont vraiment pertinentes ? En a-t-on vraiment besoin ? Quel tri faire pour mieux valoriser ces informations ? On observe un vrai changement sur la qualité des données et leur valorisation.
Autre aspect de la valeur financière des données : la fuite de données et les cyberattaques. Avec le digital, on peut désormais se demander combien vaut un numéro de carte bleu ou des données de santé. Et par conséquent, combien les institutions et les personnes sont prêtes à payer pour que les informations ne soient pas divulguées. L’industrie des cyber attaques sait très bien valoriser les données. Et elle sait aussi parfaitement solliciter les personnes comme les entreprises en demandant des rançons qu’ils sont capable de payer.
Comment le RGPD a-t-il impacté les entreprises françaises ?
L’impact du RGPD se ressent à plusieurs niveaux dans les entreprises.
D’abord, le règlement a eu un impact financier avec de nouveaux budgets associés aux mécanismes de protection des données. Au départ, il s’agissait surtout de la peur du gendarme et des amendes (4% du CA etc). Finalement, à l’épreuve du terrain, on remarque une vraie volonté de protéger les données pour une image de marque avant tout. Mais aussi pour éviter des impacts financiers des actions malveillantes vis à vis des personnes. Se prémunir des amendes donc mais surtout d’un attaquant, d’une fuite qui pourrait atteindre l’image, la valorisation ou la capacité d’une entreprise à attaquer son marché.
Autre impact du RGPD, les entreprises ont soudain pris conscience de la nécessité de mettre en conformité des process non-conformes depuis des années. Cela a donc été l’occasion d’une remise à niveau, notamment sur des sujets compliqués de purge de données : combien de temps les garder ? comment les traiter ?
Aussi, en plus de l’impact marketing évoqué plus tôt, le RGPD a un impact organisationnel. Il impose notamment la nomination d’un DPO ou data privacy officer. En complément, il met l’accent sur la responsabilisation des managers et les process à instaurer. Désormais, les entreprises sont de mieux en mieux sensibilisées. Avec la pression faite en France et à l’international, on assiste à un changement des mentalités.
Plus encore, le RGPD impose une co-responsabilité entre le responsable des données et les sous-traitants. Avant, la responsabilité était simplement déléguée à un sous-traitant. Aujourd’hui, les sociétés optent pour la sécurisation, par exemple avec la mise en place de questionnaires. Pour pouvoir assurer leur business, les entreprises doivent répondre à leurs clients favorablement et pouvoir prouver les actions mises en place. Finalement, l’ensemble crée un cercle vertueux pour conserver ou gagner des marchés.
Les entreprises arrivent-elles à se conformer à ces nouvelles obligations ?
C’est compliqué pour certaines mais dans différentes mesures car il existe plusieurs niveaux de complexité.
Je pense notamment à des secteurs d’activités où la mise en application concrète est particulièrement difficile. Dans certains cas, les textes prévoient même des durées de conservation des données avec des réglementations contradictoires. La loi leur impose de conserver des documents et des informations pendant longtemps mais le RGPD exige une suppression des informations.
D’autres entreprises se heurtaient à des problématiques beaucoup plus liées à leur structure et leur organisation. Il fallait alors revoir la totalité des process qui avaient été conçus sans conscience du sujet et modifier des pratiques pour le moins datées. Aujourd’hui, encore dans certaines sociétés, on note un besoin de travailler en profondeur sur la culture d’entreprise.
Autre difficulté, il y aussi tout un imaginaire au niveau du RGPD. Mais quand on explique ce qu’il faut réellement faire, comment l’organiser par rapport à leur activité, les priorités et les apports, il y a un vrai intérêt.
Magellan Consulting travaille à la fois pour de très grands groupes qui gèrent les données de millions de personnes, ou des petites structures. Dans ce contexte, on remarque des difficultés particulières pour les entreprises qui veulent se développer à l’international. La France compte un tissu industriel actif avec des marchés de pointe au niveau mondial. Ces entreprises là rencontrent souvent des difficultés pour être en conformité à la fois avec le RGPD et les équivalent qui arrivent dans tous les pays, même hors Europe, notamment en Russie. Pour les entreprises en marché de niche qui veulent s’étendre sur des marchés étrangers, cela implique un effort important à faire et une industrialisation des process.
A quelles sanctions s’exposent les entreprises qui ne sont pas en conformité avec le RGPD ?
Avant toute chose, il faut savoir que les sanctions prévues sont réellement appliquées. On assiste même à une accélération des sanctions. Forcément, on remarque surtout les amendes annoncées pour les gros acteurs américains. Pour les plus petites structures, les montants sont variables, selon le chiffre d’affaires et l’ampleur des non-conformités.
Dans le fonctionnement, la CNIL a été très accompagnatrice avec une volonté d’aider les sociétés à passer le cap. Finalement, pendant les premières années, elle n’a pas adopté la posture du gendarme sauf sur les choses béantes ou en cas de manque de volonté des entreprises de régulariser la situation. Au contraire, elle s’est montrée très tolérante, pédagogue.
Maintenant, gérer correctement les données personnelles rentre dans les mœurs. Donc il y a quelques sujets acceptables au début du RGPD qui sont désormais surprenants et intolérables. Au moins sur les basiques. C’est ce qui explique que les sanctions se multiplient à présent.
Auteur de la tribune
Entretien avec Christophe Gueguen, associate Partner au sein de la practice Sécurité de Magellan Consulting.
Interview réalisée pour Bordeaux Business : https://bordeaux.business/rgpd-bilan-sensibilisation-entreprises-protection-donnees-interview-christophe-gueguen-magellan-consulting/
Notre practice Sécurité
Découvrez les offres et publications de notre équipe
Sécurité
A propos de Magellan Consulting
Magellan Consulting est le catalyseur de la transformation digitale de ses clients en les accompagnant dans le changement profond de leurs métiers et de leurs socles technologiques pour aborder les nouveaux business modèles, la transition sociétale, énergétique et écologique.