Comment concrétiser le GDPR sans avoir la culture de la donnée ?
Officiellement, le GDPR est entré en vigueur le 25 mai 2018. Dans les faits, il en va différemment. Comment s’y prendre alors que nous n’avons toujours pas la culture de la donnée ?
«La culture de la donnée, nous devrions l’avoir développée depuis trente ans, voire quarante ans. Or, il n’en est rien. Nous en avons découvert le sens le 25 mai 2018. Un peu tard…» Remarque cinglante de Anne Mikusinski, juriste attachée à la direction générale, UCM, qui la lance tout sourire lors de la table ronde animée par Marc Husquinet à l’issue du salon ICT Infrastructure 2018, le 31 mai à Namur Expo.
Que s’est-il passé depuis le 25 mai 2018, date du nouveau règlement européen relatif à la protection des données ? Rien. Ou si peu. «Hormis un discours marketing d’acteurs spécialisés particulièrement bien rodé, force est de constater le défaut d’information, poursuit la spécialiste GDPR de l’UCM. Pour preuve, l’incapacité des TPE et PME à définir leurs responsabilités. Pour beaucoup, quand on les interroge, elles n’utilisent tout simplement pas de données à caractère personnel… Elles ne s’estiment donc pas concernées !»
Constat d’échec ? Un peu plus tôt, au cours de cette journée de 30 conférences, qui a attiré pas moins de 600 participants, Fabrice Hecquet, Sales Director, Excelllium Services, avait simplement constaté que nous étions désormais dans l’«après» et non plus dans l’«avant». La date du 25 mai 2018 est derrière nous. Et le constat est sans surprise : «missions impossible !». «Même le site web de la Commission de la protection de la vie privée ne répond pas aux critères du GDPR. Impossible, le 25 mai, de déposer une notification ! Ce matin, en arrivant à Namur Expo, je me suis tout naturellement branché sur le Wi-Fi. Surprise : les conditions d’accès m’ont été imposées. Soit je les acceptais, en livrant certaines informations personnelles, soit je ne disposais pas de la connexion…»
Faire l’impasse…
L’exemple n’a rien n’anecdotique. Les cas de consentement forcé sont légion. Difficile, dès lors, de défendre l’idée que le GDPR est une opportunité non seulement pour nos organisations, mais pour tout citoyen. Bref, nos entreprises ont du mal. «Ne nous leurrons pas, il y a plus de contraintes que d’opportunités, constate Olivier Bruylandt, Business Developer Belux, Digital Security. On se dit qu’il faut y aller. Et soit on y va, en se jetant à l’eau, soit on hésite, on reporte. Ou on décide carrément d’ignorer le règlement…»
Et, indirectement, Fabrice Hecquet de confirmer : «Jusqu’ici, nous n’avons vu que le meilleur : des organisations qui ont décidé de se lancer; des clients volontaires, déterminés. Mais nous serons amenés à accompagner des organisations qui viendront au GDPR en freinant des pieds. Parce qu »il faut’. Car, pour beaucoup, le GDPR est tout simplement un sujet inconnu… Aussi, quand j’entends certains spécialistes parler de désinformation, je m’étonne : il s’agit plutôt de non-information ! C’est à croire que le GDPR est né le 25 mai, pas avant. Et pas le matin, non, mais à l’heure du JT. Dès lors, que penser d’un tel projet -imposé- quand, en même temps, les autorités sont incapables de montrer l’exemple ?»
De là à voir des entreprises clairement décidées à faire l’impasse du GDPR, il n’y a qu’un pas. «Elles en ont évalué le risque et elles l’assument, assure Olivier Bruylandt. Leurs arguments ? Trop lourd, trop coûteux en ressources diverses. Et si elles y viendront, ce sera plus tard.»
Finalement, constate Marc Husquinet, la date du 25 mai 2018 n’aura été qu’un jalon. Et maintenant que nous sommes dans l »après’ pour reprendre l’expression de Fabrice Hecquet, les organisations qui feront la démarche de la conformité le feront par opportunisme : renforcer leur image auprès de leurs clients, pouvoir répondre à des appels d’offres… «Je constate aussi que les entreprises se méfient davantage des plaintes de consommateurs que des sanctions. Il pourrait y avoir un syndrome GDPR comme il existe un syndrome TripAdvisor. Au nom de la protection de la donnée, certains se défouleront… » Un risque que souligne aussi Anne Mikusinski en évoquant les «ayatollah de la donnée» et les actions collectives à venir, à l’instar des premières plaintes lancées par l’activiste autrichien Max Schrems contre les GAFA.
Un vrai malaise
A plus grande échelle on pourrait même craindre le «GDPR-as-a-Weapon», comme le dit Claudia Grosu, Data Protection Officer, NRB. En somme, l’usage du règlement comme une arme économique. Déjà, depuis le 25 mai, certains sites américains bloquent l’accès aux internautes de l’Union européenne. C’est le cas, par exemple, du Los Angeles Times qui affiche clairement «Notre site web est malheureusement indisponible dans la plupart des pays européens. Nous nous en préoccupons et nous nous engageons à examiner les options pour soutenir notre gamme complète d’offres numériques sur le marché de l’Union européenne. Nous continuons à chercher des solutions de conformité technique qui fourniront à tous les lecteurs notre journalisme, titulaire de récompenses.»
Qui plus est, au sein même de l’Union européenne, force est de reconnaitre que les Etats membres n’ont pas abordé la question du GDPR au même rythme. Les Allemands ont été les plus engagés, leurs grandes entreprises ayant intégré dès le 25 août 2017 -soit quasi un an plus tôt- les nouvelles exigences européennes en la matière dans la loi fédérale de protection des données à caractère personnel -le BDSG (New Bundesdatenschutzgesetz).
De là, un vrai malaise. «Pour être d’équerre, il faudra encore du temps, observe Olivier Bruylandt. Quand on regarde sous le tapis, ce n’est souvent pas très joli. Même dans les grosses boîtes, il arrive qu’elles n’aient pas de registre ou réutilisent des données qu’elles auraient dû supprimer depuis longtemps.» Conséquence : l’arrivée du GDPR déclenche une véritable explosion du «business de la conformité». Le sentiment d’urgence lié à un effet de rattrapage des entreprises a ouvert un énorme marché. Tout un écosystème d’acteurs -avocats, cabinets de conseil, startups, spécialistes historiques de la gestion des données personnelles… – propose des audits, des accompagnements à la conformité, des solutions logicielles et diverses prestations jusqu’à la formation des Data Protection Officers (DPO).
Conclusion : même si nous sommes désormais dans l’après, tout ne fait que commencer. «Le fait d’être conscient des enjeux ne suffit pas, constate encore Claudia Grosu. Encore faut-il avoir le buy-in de la direction, disposer des ressources et prendre le temps, car il en faut du temps. Bref, si on entrevoit plus ou moins ce qu’il y a à gagner, on sait pertinnement ce qu’il en coûte !»
Sans culture de la donnée…