Date couperet pour certains, simple poursuite d'un processus de conformité engagé pour d'autres, la date du 25 mai 2018 ne laisse pas beaucoup d'entreprises indifférentes. Et pour cause, il s'agit de la mise en application du RGPD sifflant pour nombre d'entre elles la fin de la récréation en termes de gestion douteuse des données personnelles. « Clairement, il y a un avant et un après RGPD dans l'histoire », annonce Paul-Olivier Gibert, président de l'Afcdp. « Le RGPD prend une dimension géopolitique au niveau mondial avec d'un côté ceux qui partagent et protègent les données et de l'autre ceux qui cherchent à contrôler les personnes et à les surveiller ». 

A un niveau plus local, le RGPD a aussi bousculé les entreprises qui ont du mal à s'approcher d'un niveau de conformité élevé bien que des efforts sensibles ont été effectués. Dans son dernier Observatoire trimestriel, l'association française des correspondants aux données personnelles s'est penchée justement sur la maturité des entreprises en termes d'évolution de mise en conformité. Parmi les résultats (245 DPO interrogés), certains interpellent, comme le fait que 54% estiment qu'il y a encore beaucoup de chemin à faire. 

Considérer le RGPD comme une opportunité plutôt qu'une contrainte 

Aujourd'hui encore, les entreprises sont nombreuses à considérer davantage le RGPD comme une contrainte et une obligation plutôt qu'une opportunité business et de développement. Et cela ne devrait pas changer vraiment dans les mois qui viennent. « On ne va pas se mentir, c'est toujours pour beaucoup d'entreprises une question de temps et d'investissement », confirme Clémence Scottez, cheffe du service des affaires économiques de la Cnil. Pour autant, l'horloge tourne et l'étau légal se resserre sur elles. « Depuis fin mai 2021, toute entreprise doit être en mesure de justifier de son analyse de risque sur le traitement des données personnelles et pour nombre d'entre elles, le compte n'y est pas », prévient Paul-Olivier Gibert. Cela va-t-il changer la donne ? Rien n'est moins sûr.

Tout d'abord, il ne faut pas perdre de vue que, selon les secteurs d'activité, les enjeux en termes de protection des données ne sont pas les mêmes. « Pour les artisans, le traitement des données est simple et on a vu avec l'essor du click and collect une adoption de solutions simples et clés en mains qui facilite la mise en conformité », poursuit Clémence Scottez. « Certes, toutes les entreprises n'ont pas atteint un niveau élevé en termes de protection des données personnelles mais dans des secteurs en retard comme celui de la banque, on a observé une montée en puissance avec une prise en compte des risques beaucoup plus fréquente », analyse de son côté Paul-Olivier Gibert. 

Discuter avant de sanctionner

L'adoption des bonnes pratiques en termes de traitement des données personnelles ne constitue pas, on le sait bien, une fin en soi mais plutôt un processus itératif étalé sur plusieurs années. A ce jour, d'ailleurs, les entreprises progressent en matière d'accompagnement RGPD avec plus de 25 000 DPO enregistrés auprès de la Cnil, un chiffre en croissance de 20% par an. Il existe cependant encore une marge de progression et la capacité à faire prendre conscience les dirigeants d'entreprise que la protection des données personnelles ne doit surtout pas être abordée comme une liste de cases à cocher. « Le traitement des données, c'est quelque chose de vivant, les risques peuvent changer en fonction du contexte et nécessitent de mettre en place un outil d'analyse d'impact », résume Clémence Scottez. La difficulté qui transparait se trouve moins être dans la difficulté à se conformer que de prendre conscience qu'il s'agit d'un processus itératif, et donc quasiment sans fin. « Les entreprises commencent à réaliser que le RGPD n'est pas un outil de conformité mais de lutte contre les problèmes de violation de données », souffle Clémence Scottez.

De là à penser que les entreprises sont majoritaires pour percevoir le RGPD comme un bon moyen « d'assainir » leur système d'information, il y a encore sans doute encore du chemin à parcourir. En tout état de cause, la Cnil a à sa disposition un arsenal de mesures - amendes et autres - pour rappeler à l'ordre les contrevenants voire ceux qui se sentiraient peu concernés par le RGPD. La Cnil assure cependant ne pas chercher à les multiplier et les précède toujours de mise en demeure pour laisser une chance de se conformer. « La Cnil sanctionne après des plaintes mais son but premier n'est pas de sanctionner mais d'avoir d'entamé d'abord une discussion », rappelle Clémence Scottez. Un principe qui montrera toutefois ses limites en cas de mauvaise foi évidente de l'entreprise fautive qui devra en assumer les conséquences, parfois lourdes mais n'atteignant que très rarement dans les faits la lourde peine des 4% de chiffre d'affaires.