Introduction
Les lois RGPD et Informatique & Liberté modifiées sont entrées en application depuis presque un an et demi. Pendant toute cette période j’ai eu l’occasion d’assister quelques dizaines de clients sur leur mise en conformité et d’être en mesure de faire une première esquisse du portrait de la RGPD en pays de Brest (même si mes clients vont jusqu’en pays nantais et même à Paris ou à la Réunion).
Quels profils de clients ?
Contrairement à ce qui aurait pu être imaginé au départ, les structures avec lesquelles j’ai travaillées sont des petites structures PME (parfois relativement grosses) ou TPE (parfois avec une seule personne).
On y trouve des secteurs d’activités très variés (assurances, hébergement à caractère social, immobilier, EHPAD, services à la personne, communication, prévention des risques, boutique de mode, artisanat, équipement touristique, …) plus quelques associations.
Le secteur public s’est pour sa part montré très fermé malgré une obligation de mise en conformité beaucoup plus sévère que pour la majorité des autres établissements.
Les sociétés qui ont (réellement) des missions où le respect de l’individu est fort semblent plus enclines à respecter rapidement la loi. Lorsqu’il s’agit de nommer un délégué à la protection des données (DPD) et pas seulement de prendre en compte les impératifs documentaires et quelques éléments de protection, on constate que certains établissement hésitent à ouvrir le budget nécessaire à ce poste.
Au final, les sociétés qui ont décidé de se mettre en conformité progressent rapidement dans le bon sens et à un coût finalement modeste lorsqu’elles ne doivent pas nommer un DPD.
Alors cela va plutôt bien ?
Oui, pour les entreprises qui ont pris les choses en main, cela va assez bien du point de vue du respect de la législation. Le travail n’est pas nécessairement abouti (c’est objectivement long) mais leurs clients, collaborateurs et partenaires ont toutes les raisons de faire confiance à ces établissement en matière de protection de leurs données personnelles.
Cependant, il se trouve que pour ma part je suis à l’étape de vérification de la conformité des sous-traitants des clients qui m’ont demandé d’être leur délégué à la protection des données personnelles. Et là, il faut bien avouer que l’on découvre à côté des entreprises vertueuses le côté sombre de la force du RGPD…
Parmi tous les sous-traitants de mes clients (et j’arrive presque à une centaine), un seul a spontanément envoyé les éléments de sa conformité. C’est si rare que je vais me permettre de le citer : il s’agit de la société Elis (blanchisserie industrielle). Pour les autres, même les gros comme les banques ou les assurances, il faut aller chercher les éléments de conformité, qui n’existent pas toujours.
Tout d’abord, le premier mail demandant les informations de conformité reçoit rarement une réponse, même en y mettant les formes. La sensibilisation à la RGPD semble si faible dans certaines sociétés que toute demande (même clairement identifiable) est d’abord vue comme un spam ! Mais décrocher son téléphone ne permet pas forcément d’aller plus loin. Entre le responsable des traitements qui vous affirme avec autorité que le DPD c’est aussi lui (alors que c’est explicitement interdit) ou l’assistante quelque peu paniquée qui ne sait absolument pas de quoi vous lui parlez et encore moins vers qui se tourner, on a un spectre assez large de situations très en marge de la légalité.
Certaines situations pourraient prêter à rire mais il faut bien comprendre qu’en cas de problèmes cela pourrait se révéler assez catastrophique. Un contrat (ici de sous-traitance) non conforme à la RGPD peut dans certains cas être frappé de nullité, entraînant alors une cascades de conséquences négatives.
Et je ne parle pas ici de sociétés qui ne stockeraient que quelques noms de clients avec une adresse de livraison de leurs produits, mais plutôt de données de santé, de mineurs ou de personnes fragiles. Des sociétés qui affichent parfois parallèlement leur responsabilité sociétale et environnementale avec fierté. Je ne me prononcerai pas sur l’environnement, mais lorsque l’on ne respecte pas les données personnelles des individus on ne peut pas décemment prétendre à un engagement RSE pour ces mêmes individus. Je pense qu’il y a là un énorme problème de compréhension de ce qu’est vraiment la RGPD.
Et le secteur public ?
Le secteur public a été un peu plus et mieux sensibilisé que le secteur privé. Cela ne veut pas dire que la situation est cependant meilleure.
Certains établissements sont simplement en retard sur leur plan de conformité pour des raisons d’abord budgétaires. J’ai cependant rencontré un cas où le chef d’établissement semblait résolument refuser de se mettre en conformité alors qu’il était sur un domaine hautement sensible au sens RGPD !
Les élections approchants, j’ai eu aussi la curiosité de demander à mon maire en sa qualité de responsable des traitements de bien vouloir me communiquer les données personnelles me concernant (exercice légal de mon droit de consultation – RGPD, art. 15). La réponse s’est un peu faite attendre mais elle est arrivée dans le délai d’un mois (bon point).
Comme on peut le lire ci-dessous, si la réponse est bien arrivée, si elle donne la liste des données personnelles et (en partie) les traitements et leur base légale, il manque un petit quelque chose : mes données elles-mêmes ! Comme ma demande n’était pas mue par une nécessité impérative, j’en suis resté là. Même si mon maire n’a pas fini son travail de mise en conformité, il fait partie des élus qui ont quand même fait quelque chose pour cette mise en conformité. En qualité de DPD (et à titre gracieux), je ne peux que lui conseiller d’accélérer et de s’occuper en particulier des caméras dont il a doté notre commune.
Enfin, pour finir sur le secteur public, j’ai aussi rencontré des administrations qui se sont engagées avec force sur la protection des données personnelles, en particulier l’administration départementale.
Conclusion
La protection des données personnelles avance clairement. Les établissements qui s’en sont emparés avancent souvent à une vitesse que l’on souhaiterait plus importante, mais cela va dans le bon sens.
Par contre il existe un lot important d’établissements qui ne comprennent pas ou ne veulent pas comprendre l’importance du sujet et des risques qu’ils prennent et font courir aux personnes.
Tout devrait pourtant les inciter à se mettre en conformité : des sanctions qui lorsqu’elles tombent sont lourdes, aux ambitions qui sont à la fois nobles et fondamentales. Cette loi est notre dernier rempart contre la disparition de notre droit à la vie privée voire intime, et n’en doutons pas, à moyen terme de la disparition de l’idée même de liberté. Les capacités de captation et de traitement de l’information par le numérique et les capacités prédictives de l’Intelligence Artificielle sont absolument hors norme, loin de tout ce que nous avons connu jusqu’ici.
Si nous savons protéger nos données personnelles, nous continuerons à être libres. Dans le cas contraire nous obéirons aux sollicitations « bienveillantes » des algorithmes. Ce n’est pas de la science fiction, c’est aujourd’hui que cela se passe.