La première année d’application du RGPD a-t-elle été « horribilis » pour les entreprises ? Les difficultés n’ont en tout cas pas manqué. À commencer par un changement radical de perspective. Le RGPD a rendu caduc le système d’autorisation préalable. Désormais, les entreprises sont entièrement responsables du respect de la loi lorsqu’elles créent et mettent en œuvre des traitements de données. Le choc a été d’autant plus rude que « beaucoup d’organisations n’avaient pas conscience de leurs obligations vis-à-vis du RGPD », rappelle Jérémy Lamri, directeur de la recherche, de l’innovation et de la prospective de Job Teaser, fondateur et administrateur du Lab RH.

La mise en place de la documentation exigée par le RGPD (registre des traitements, notes d’informations destinées aux salariés, contrats avec les sous-traitants et responsables de traitement conjoints) a soulevé une difficulté inattendue. Beaucoup d’entreprises ont ainsi découvert la multitude des échanges de données déjà en place dont certains n’étaient guère en adéquation avec les principes posés par le RGPD. « Par souci de simplification, certaines envoyaient un seul fichier de données à tous leurs prestataires, or tous n’avaient pas besoin de toutes les informations pour accomplir leur mission », indique Guillaume Bordier, avocat du cabinet Capstan. Si les entreprises industrielles, souvent cantonnées à des relations avec d’autres sociétés, n’en ont pas trop pâti, celles fournissant des services et des produits au grand public ont eu à gérer des situations complexes, surtout si les données en cause comportaient des informations sur la situation personnelle des clients ou leurs données bancaires. Cette première difficulté en a soulevé une autre. Très souvent, les flux de données stratifiés au cours du temps sont adressés à différents acteurs, or le RGPD exige que soient déterminés les rôles respectifs de chacun des maillons de la chaîne. Sont-ils responsables de traitement, sous-traitants ou encore responsables de traitement conjoint ? « Beaucoup d’entreprises ont eu tendance à considérer tous leurs prestataires auxquels ils transfèrent des données comme des sous-traitants, alors que certains d’entre eux se considéraient à juste titre comme des responsables de traitement à part entière et ont donc refusé de signer les contrats standards que leur proposaient les entreprises, indique Guillaume Bordier. La définition se fait encore au cas par cas, selon le métier du prestataire, la façon dont il traite les données, les outils utilisés et les objectifs. »

Chaque traitement de données devant être conforme au RGPD, les entreprises ne peuvent plus se contenter d’un dispositif figé. C’est vers une gouvernance des données personnelles qu’elles doivent s’orienter pour gérer un système que la CNIL qualifie de « conformité dynamique ». C’est là que le bât blesse. Après avoir consenti des efforts importants pour se mettre en conformité, nombre d’entreprises ont levé le pied. Une attitude qui sera source de difficultés ultérieures, estime Guillaume Bordier. Il attire l’attention sur la situation prévalant au Royaume-Uni. Dans le cadre de stratégies de précontentieux, des salariés conseillés par leurs avocats y demandent la communication de l’intégralité des données les concernant : « Pour l’instant, aucune réponse standard n’existe face à de telles demandes, note le spécialiste. Certaines entreprises acceptent de communiquer tous ces éléments alors que d’autres ne communiquent que certains éléments en enlevant notamment les données relatives à d’autres personnes. Ce type de demande pose le problème du délai très court – le RGPD accorde à l’entreprise un délai d’un mois – et celui du risque de communiquer des données personnelles ou confidentielles de façon injustifiée. En France, la mise en œuvre de ce droit d’accès reste une inconnue. La CNIL ne s’est pas prononcée sur ce qui devait être communiqué dans le cadre de l’exercice du droit d’accès, sur lequel le RGPD n’est pas très précis non plus. Pour l’instant, l’ampleur et le périmètre de l’obligation ne sont pas clairs. »

Un flou similaire entoure aussi le mode de vérification de la conformité, estime Jérémy Lamri, qui pointe l’absence de moyens « à l’échelle » : « S’il [le législateur] ne se dote pas de tels moyens, capables de vérifier massivement et automatiquement le respect des obligations du RGPD, deux camps vont se former : celui des bons élèves, une minorité, et celui de tous les autres. Les grandes entreprises prennent les devants car elles ne veulent pas voir leur image ternie par un procès, mais pour l’immense majorité des entreprises, ce n’est clairement pas une priorité. » Il en appelle donc à la création de chartes et à une meilleure formation des dirigeants, levier qui aurait aussi le mérite de faire remonter la gouvernance des données au sommet de la pile des priorités. Des outils de vérification automatisés seraient aussi nécessaires et leur usage possible, « moyennant quelques éléments réglementaires supplémentaires comme le format des données ou l’inclusion dans les bases de données de métadonnées comme la date à laquelle l’information a été enregistrée ». Reconnaissant que ce type de vérification systématique « peut faire peser une pression sur les entreprises qui n’ont pas des moyens humains et financiers importants », il appelle la CNIL à prendre en compte les situations spécifiques. Une seule chose est sûre : les entreprises ont encore du travail pour intégrer les exigences du RGPD dans leurs processus et se mettre ainsi à l’abri d’amendes administratives.

Consciente du manque de préparation de la plupart des entreprises, la CNIL a choisi de faire de 2018 une année d’accompagnement. Comme elle s’y attendait, le nombre de plaintes a franchi le cap des 10 000, soit une hausse de 32 %, le trafic sur son site a doublé pour atteindre les 8 millions de visiteurs et elle a reçu 190 000 appels téléphoniques, en progression de 40 000 sur un an. En parallèle, elle a commencé à distribuer des sanctions. Bouygues Telecom et Uber ont ainsi écopé d’amendes administratives se montant, respectivement, à 250 000 et 400 000 euros, pour manquement à l’obligation de sécurité des données des utilisateurs de leurs services. Google s’est vu infliger une sanction de 50 millions d’euros pour n’avoir pas informé assez clairement ses utilisateurs. En 2019, la CNIL compte faire preuve d’une sévérité accrue, comme l’a indiqué sa présidente Marie-Laure Denis : « Un an après la mise en œuvre du RGPD, c’est la fin d’une certaine forme de tolérance liée à la transition. » Les entreprises ont donc tout intérêt à finaliser leur mise en conformité ou en tout cas démontrer qu’elles ont investi les moyens nécessaires pour éviter une amende administrative qui peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial ! G. S. M.