Protection des données et RGPD

« Lorsque le citoyen s’inquiétera de ses données, on parlera vraiment du RGPD »

Entretien avec Olivier Mondin

Ingénieur et entrepreneur, tombé dans le RGPD en 2016, formateur de DPO et consultant en assistance à la mise en conformité et DPO externe.
Président de IMPACT RGPD SAS : formateur de DPO

Le RGPD est entré en application il y a 4 ans, en 2018, avec un changement d’approche dans la protection des données personnelles, dont la création du poste de DPO. Quelle est la particularité de ce poste ?

D’abord, le DPO n’est pas un poste comme les autres. C’est un poste dont la mission est définie par le Règlement dont on en accepte les conditions. Cela oblige l’entreprise employeur du DPO, qu’il soit interne ou externe, à lui garantir non seulement l’indépendance dans l’exercice de sa mission, mais en plus l’accès à des ressources, à de la formation et aux données à caractère personnel tel que défini dans le RGPD. Prendre un DPO dans une entreprise, c’est d’un côté s’assurer que l’on prend quelqu’un de compétent pour accomplir une mission, mais aussi, d’un autre côté, accepter aussi que cette mission est définie et gérée par cette personne elle-même.

Ensuite, il faut séparer deux choses. L’obligation d’avoir un DPO et l’obligation de se conformer au RGPD. Toutes les entreprises n’ont pas l’obligation d’avoir un DPO. Seules en ont l’obligation les entités publiques, collectivités et les établissements publics et tout organisme exerçant une mission de service public, ainsi que les entreprises traitant des données personnelles à grande échelle avec un suivi systématique ou celles qui traitent des grandes quantités de données sensibles.

En pratique, 90 % des entreprises n’ont pas l’obligation d’avoir un DPO, mais, en revanche, 100% des entreprises doivent être conformité avec RGPD !

Ce n’est pas parce qu’on a pas l’obligation d’avoir un DPO qu’on ne doit pas maîtriser les compétences d’un DPO, il faut bien en prendre conscience.

Comment choisir entre DPO interne ou DPO externe ? Quels critères identifiez-vous ?

Tout d’abord, si l’on choisit un DPO en interne, un salarié ou un agent de l’entité, il faut bien voir que l’on choisit quelqu’un qui devra avoir la possibilité de travailler en toute indépendance au sein de la structure et donc sans conflit d’intérêt.

Ensuite, je distinguerai selon que l’on a besoin d’un DPO à temps plein ou à temps partiel, si la volumétrie des données n’exige pas un temps plein.

Si seul un temps partiel est nécessaire, le critère déterminant est l’indépendance. Il convient, en effet, de pouvoir s’assurer que la personne en interne travaillant à temps partiel comme DPO ne se retrouvera pas dans l’autre partie de son temps dans une situation de conflit d’intérêt propre à affecter son indépendance. C’est le premier critère.

Sur le second critère, lorsque le DPO travaille à temps plein en tant que tel, on peut prendre quelqu’un en interne à former ou un externe. En fonction de la charge de travail et de la volumétrie des données à analyser, si celle-ci est importante, le coût d’un DPO externe peut s’avérer élevé. Cela peut toutefois être intéressant si l’on ne veut pas enlever une ressource allouée à un poste en interne, mais il est difficile de répondre de façon théorique à cette équation. Il demeure que dans le cas d’une petite structure ne disposant pas de la compétence en interne, faire appel à une personne morale DPO externe est naturellement une solution fondée.

Vous êtes DPO, également formateur à la fonction de DPO, et donc en contact avec beaucoup de structures. Considérez-vous que les entreprises respectent généralement les obligations du RGPD ?

La réponse est non ! D’abord, il est très difficile de savoir quelle est la quantité de DPO qu’il va falloir nommer encore. La CNIL avait estimé que 80.00 ETP* étaient nécessaires en France, juste pour le poste de DPO. Ce n’est pas qu’on est loin du compte actuellement, on est très très loin du compte !

Car un DPO qui est à temps plein dans un grand groupe de plusieurs dizaines de milliers de personnes ne peut absolument pas travailler seul, mais ce groupe ne nommera qu’un seul DPO auprès de la CNIL ! Il aura besoin d’une équipe de personnels qualifiés qui n’auront pas le titre de DPO mais qui travailleront cependant en tant que tel, relais dans les départements, les filiales, les business units. Dans certains groupes, il faudrait presque cent personnes en ETP !

Donc si l’on regarde la globalité du marché, l’ensemble des personnes qui vont être référents RGPD pour leurs entreprises, plus l’ensemble des parties prenantes intervenant au niveau de la sécurité informatique (spécialistes réseaux, spécialistes sécurité, consultants internes accompagnant le changement de pratiques…etc) et de la formation à la conformité, on est excessivement loin de 80.000 personnes. On peut estimer que la fourchette de ressources s’occupant de sécurité des données personnelle devrait plutôt se situer entre 300 et 500 000 personnes en France ! Rien qu’au niveau de la cybersécurité, les études montrent qu’on manque d’au moins 20.000 personnes formées chaque année en France.

Il y a des raisons culturelles et historiques à cette situation. Dans les pays latins, l’Etat a vocation à s’occuper de tout, la réglementation en émane et dans la population le jeu naturel est de tout faire pour s’en affranchir et de parvenir à naviguer entre les lignes (je conduis à 140 km/h sur autoroute mais je dispose d’un GPS qui m’avertit de la position des radars)… Historiquement, dans les pays latins il n’existe pas de structures et de cohésion professionnelle suffisamment puissantes pour assurer les processus d’autorégulation comme on trouve dans les nations anglo-saxonnes. Pour caricaturer, dans les pays latins on a une multitude de lois que les gens s’efforcent de pas respecter, en revanche, dans les pays anglo-saxons le manque de loi est pallié par les professionnels s’efforçant de respecter ce qui est érigé par leurs pairs. C’est pour cela qu’il existe dans ces pays beaucoup de structures fédérales et associatives qui écrivent et suivent leur propres recomandations sectorielles. Autant le monde anglo-saxon a l’habitude de s’autoréguler, autant le monde latin demeure dans l’évitement, tant qu’on a la carotte mais pas le baton…. on suit la carotte, si je puis dire !

L’Etat ne donne pas à l’autorité de contrôle les moyens d’accomplir sa mission

En France, au risque de me faire taper sur les doigts, notre autorité de contrôle fait les fonds de tiroirs.

La CNIL a en son sein des gens extrêmement compétents et impliqués, mais à qui l’Etat refuse de donner les moyens de la mission qu’elle devrait tenir. Il faut savoir quand même qu’en Angleterre plus de 500 personnes travaillent au sein de leur autorité de régulation (ICO), contre 200 en France où la population est pourtant plus nombreuse. Certes, la France inflige de lourdes amendes à Google, mais la probabilité pour une entreprise française de se faire rappeler à l’ordre par notre autorité de contrôle demeure quasi nulle, sous réserve de ne pas faire l’objet de trop de plaintes ou ne pas avoir une trop grande visibilité digitale… Si on voulait avoir un service cohérent au regard des enjeux que représente la protection des individus et de leurs données personnelles, il faudrait avoir au moins dix fois plus d’agents à la CNIL ! Il n’est pas idiot de penser qu’il devrait y avoir autant de contrôleurs à la CNIL qu’il existe d’inspecteurs du travail (environ 2000 agents) ! Pourquoi ? Parce qu’aujourd’hui la protection des données personnelles représente un enjeu au moins aussi important que les conditions de travail si l’on songe au nombre de dangers liés à leurs atteintes, tels que, par exemple, les cambriolages, les usurpations d’identité, le divugltion d’informations privées, le piratage de comptes, les vols d’informations médicales par exemple… N’oublions pas qu’à un moment la France avait la réputation d’être le paradis des hackers du monde car les assureurs cyber en France leur payaient les rançons demandées en cas de cyber attaque … Je pense que l’on sous-estime l’importance de la protection des données tant d’un point de vue du coût social, fiscal monétaire direct pour la société que de celui du coût indirect, à un niveau individuel. Mettons de la police des données autour des entités qui en traitent ! D’autant plus que cette police ne constitue en rien un frein à l’activité d’une entreprise ou d’un organisme public !

Quelles difficultés en particulier rencontrent les entreprises et entités publiques pour se conformer au RGPD?

La première difficulté est la méconnaissance du sujet, encore trop souvent, on ne sait pas de quoi on parle concrètement.

La deuxième, est relative à l’idée de dépenser de l’argent pour être conforme. Nous avons, collectivement en tant qu’employeur, l’impossibilité de comprendre qu’une contrainte règlementaire puisse faire gagner de l’argent. Pourtant souvent quand on engage des coûts cela permet de réduire des risques de nature à entrainer des coûts plus élevés, le plus notable étant rien moins que la disparition des clients ! Une entreprise qui n’inspire plus la confiance perd ses clients, quelle que soit la qualité du produit qu’elle fabrique ou vend ! La CNIL devrait à cet égard proposer plus d’information sur les risques encourus par l’entité ne se conformant pas au RGPD. Aujourd’hui la CNIL publie seulement ses décisions alors que seraient, par exemple, plus efficaces et percutantes des petites vidéos pédagogiques qui permettraient de mieux faire parler du sujet.

La protection des données personnelles est un enjeu de protection de la clientèle

Une troisième difficulté apparaît chez ceux qui s’intéressent vraiment au sujet. Elle est relative à la difficulté d’appréhender le texte et à la quantité de travail que l’on présume nécessaire pour se mettre en conformité. Il faut rappeler, à titre liminaire, que les législations en matière règlementaire ne sont pas faites pour embêter les gens mais pour que chacun puisse être assuré d’un minimum de sécurité. Or, on ne peut pas, d’un côté vouloir être assuré, et de l’autre ne pas accepter d’en assumer le coût. En matière de RGPD, il s’agit pour les entreprises et les organismes publics de protéger le client, le consommateur et l’usager de service public. Il ne s’agit rien d’autre que de protéger la vie privée des personnes qu’on a la charge de servir au départ. Un client dont on reçoit de l’argent, c’est bien la moindre des choses de lui assurer en retour que les informations dont l’entreprise dispose sur lui sont protégées selon des modalités claires et transparentes. Le RGPD, ce n’est rien que du bon sens même s’il est vrai qu’aborder concrètement ce gros pavé apparaît assez effrayant !

En particulier pour les TPE et PME et petites entités publiques qui ne disposent pas de DPO ou de beaucoup de moyens de formation ! Quels conseils leur donneriez-vous pour se conformer au RGPD ?

Avec une démarche progressive et pragmatique, il est possible, en prenant ne serait-ce que quelques minutes deux fois par semaine, de se mettre globalement en conformité sur une période de 1 an à 18 mois.. Si l’on adopte, en effet, la mentalité d’amélioration continue de la conformité, on entre dans un cercle vertueux qui permet de penser la protection des données personnelles que l’on nous a confiées comme une mission essentielle de la vie de l’entreprise.

Tant que l’individu n’aura pas compris le risque qu’il court pour lui-même, il ne sera pas capable de prendre conscience du risque qu’il gère pour autrui dans son travail

J’ai, bien sûr, conscience de la quantité importante de règlementations qui s’imposent aujourd’hui à toutes les entités, privées comme publiques, et des contraintes que cela représente, en particulier pour les plus petites. Alors, je voudrais juste m’adresser ici, non au professionnel, au chef d’entreprise croulant sous les tâches qui n’a pas envie de m’entendre mais au citoyen qu’il est également. Chaque indivudu devrait regarder sur des sites spécialisés (Exemple I habe Been Pawned) combien de bases de données de hackers vendent ses données avec son adresse email, adresse, telephone, et combien d’entre eux connaissent son mot de passe ? Je pense que le citoyen comprendra que l’enjeu de la protection des données est colossal.

En quelque sorte, la seule personne qui peut convaincre Monsieur Dupont employeur, c’est Monsieur Dupont citoyen qui s’est fait hacker !

Appelez votre mairie ou le service RH de votre entreprise !

Et à ce même citoyen, comme aux 65 millions d’autres d’ailleurs, j’ai aussi envie de l’inviter à appeler sa mairie pour demander comme elle gère la sécurité des listes électorales, les données de ses enfants à l’école ou en centre aéré, ainsi que les traitements relatifs aux diverses taxes locales… Idem, j’invite tout citoyen à appeler le service RH de l’entreprise où il travaille pour demander comment est géré le traitement informatique des évaluations dont il a fait l’objet ces cinq dernières années ou même comment est réalisé sa fiche de paie mensuelle. Je peux aussi conseiller les entreprises de faire des tests de Phishing auprès de leurs collaborateurs (Avant de cliquer : https://avantdecliquer.com/) pour comprendre réellement quelle est l’exposition à se faire hacker par manque de formation de leurs collaborateurs

Ce ne sera que lorsque les citoyens commenceront à s’inquiéter de la façon dont sont gérées leurs données personnelles que l’on commencera vraiment à parler du RGPD.

Tant que l’individu n’aura pas compris le risque qu’il court pour lui-même, il ne sera pas capable de prendre conscience du risque qu’il gère pour autrui dans son travail. Le problème de la donnée personnelle est vraiment devant nous, avec une offre technologique qui ne cesse de croître et de se diversifier. Nous avons parfois besoin de ces nouvelles technologies, mais celles-ci ne doivent pas nous asservir.

* Equivalent Temps Plein