Depuis l’an dernier, le RGPD est au centre des discussions dans beaucoup d’entreprises en relation avec la protection de la vie privée et des données personnelles, leur sécurité, les risques associés et les contrôles à mettre en place. Un grand nombre d’organisations sont engagées dans des programmes de mise en conformité a grande échelle, et ont dirigé des sommes considérables dans ce sens (£15M en moyenne pour les entreprises britanniques du FTSE100 selon une étude du cabinet SIA Partners).

Mais la réalité reste que le concept de « conformité » RGPD est mal défini, en dépit de ce que beaucoup d’éditeurs et de consultants – grands et moins grands – voudraient vous faire croire. Les 99 articles cachent littéralement des centaines de points autour desquels la conformité pourrait être questionnée, et beaucoup d’éléments de langage non définis (« grande échelle », « état de l’art ») autour desquels le G29 n’a pas apporté beaucoup de lumière jusqu’ici et sur lesquels l’interprétation des régulateurs devra s’appliquer.

Les objectifs finaux en termes de conformité restent difficiles à cerner pour beaucoup d’organisations, et comme nous l’avons répété déjà plusieurs fois depuis l’an dernier (essentiellement dans notre livre blanc 2017 sur le sujet), il faudra des mois pour que des précédents émergent et des années pour que la poussière retombe.

N’oublions pas que le RGPD sera mis en œuvre par chacun des régulateurs domestiques de l’union européenne, chacun avec sa propre histoire et sa propre pratique sur le sujet.

  • Est-ce concevable que certains puissent aller « sonner aux portes » le 28 Mai ? (le 26 est un samedi …)
  • Est-ce concevable que certains puissent prendre une ligne plus dure que d’autres – ou ignorent certains sujets – créant par la même des précédents dans toute l’Europe ?
  • Est-ce concevable que le RGPD ne soit finalement qu’un énorme marteau-pilon destiné aux GAFA (et qu’en fait les entreprises ordinaires ne soit absolument pas impactées) ?

Voilà quelques-uns des « known unknowns » autour du RGPD pour reprendre une formule restée célèbre…

Et donc en fait la vraie échéance n’est plus vraiment le 25 Mai, mais la date inconnue dans le futur à laquelle la première amende réelle sera fixée.

Et en pratique, cela prendra au moins plusieurs mois supplémentaires (le temps pour les premiers incidents d’être détectés et traités)

Qu’ils prennent une ligne dure sur un incident mineur, se focalisent seulement sur les GAFA, se laissent entrainer dans des procédures judiciaires autour d’amendes déraisonnables, ou prennent des positions contradictoires d’un pays a l’autre, le rôle des régulateurs et leur crédibilité seraient affaiblis. Ils demandent de vrais pouvoirs depuis plus d’une décade ; maintenant il va leur falloir trouver une vraie approche équilibrée pour leur mise en œuvre.

Est-ce que cela signifie qu’il vaut mieux ne rien faire pour l’instant et attendre (en particulier pour les entreprises qui découvrent le problème aujourd’hui) ? Probablement pas…

Le RGPD fait partie d’une véritable évolution de la société vers un usage plus responsable des données personnelles par les acteurs économiques et les pouvoirs publics. Il s’agit d’une tendance de fond, qui a peu de chance d’être inversée sur le court terme.

Une fois de plus, pour ceux qui veulent faire des progrès véritables sur les mois qui viennent et sur 2018, la clé est de ne pas paniquer, de commencer par analyser leur niveau actuel de maturité autour des problématiques RGPD et de construire une feuille de route adaptée à leurs propres priorités et à leurs propres ressources, en se fixant des objectifs au 25 Mai et au-delà si nécessaire : Il y a des choses qui pourront être faites d’ici au 25 Mai et des choses qui prendront plus longtemps. Il ne faut pas transformer l’exercice en une série de cases à cocher, et pour beaucoup d’entreprises, cela sera un vrai sujet de transformation culturelle. Il n’y a pas de produit ou de liste magique pour mettre en conformité en quelques mois une entreprise qui démarrerait véritablement de rien aujourd’hui.

A quelques semaines du 25 Mai, le problème va bien au-delà d’un simple problème de ressources financières et d’ETP si l’objectif est de créer une vraie dynamique de transformation autour du sujet RGPD. Il est essentiel de s’assurer d’un niveau de sponsorship interne suffisamment élevé pour qu’il soit audible et crédible dans tous les silos de l’entreprise (juridique, technique, opérationnel) et au travers de la structure elle-même de l’organisation (divisions, géographies, partenaires externes), et de mettre en place dès le début un modèle de gouvernance pour piloter la montée en conformité réellement et efficacement.

Un véritable soutien interne de la part du management et une véritable approche traçable sur le long-terme tournée vers la mise en œuvre des principes de « privacy by design » qui sont au cœur de la régulation, devrait toujours jouer en faveur de n’importe quelle entreprise aux yeux des régulateurs, indépendamment des challenges de mise en conformité auxquels elles pourraient être confrontées.

 Livre blanc : RGPD, à quoi s’attendre jusqu’au 25 Mai et au delà ?