C'est le vendredi 25 mai qu'entrera en vigueur le General Data Protection Regulation (GDPR). Cette nouvelle loi européenne est destinée à remplacer l'actuelle, datant de 1992, et vise à améliorer la gestion et la sécurité des données des utilisateurs. La nouvelle réglementation donnera plus de responsabilités aux entreprises, organisations et pouvoirs publics.
...

C'est le vendredi 25 mai qu'entrera en vigueur le General Data Protection Regulation (GDPR). Cette nouvelle loi européenne est destinée à remplacer l'actuelle, datant de 1992, et vise à améliorer la gestion et la sécurité des données des utilisateurs. La nouvelle réglementation donnera plus de responsabilités aux entreprises, organisations et pouvoirs publics.Mais d'une récente étude effectuée par Glen Joris et le Dr. Peter Merchant du groupe de recherche 'Media, Innovatie, Communicatie en Technologie' (MICT) de l'Universiteit Gent, il apparaît que les entreprises ou organisations belges ne sont même pas encore en ordre vis-à-vis de la loi existante, et encore moins évidemment de la prochaine. Les chercheurs ont interrogé 220 entreprises, organisations, villes et communes à propos de leurs données, mais n'ont reçu une réponse que de moins de la moitié d'entre elles (106). Parmi ces dernières, 99 ont réagi endéans le délai légal de 45 jours ouvrables. En outre, seules 39 entreprises et organisations, qui ont effectivement réagi, ont effectué un contrôle d'identité. 'Il semble donc parfaitement possible de solliciter les données de tiers, sans que vous deviez vous-même vous identifier', déclare le chercheur Glen Joris.Les entreprises et organisations belges sont-elles donc à ce point en retard? Le secrétaire d'Etat en charge du respect de la vie privée Philippe De Backer (Open VLD) avait encore déclaré fin janvier que la Belgique était sur les bons rails.JORIS: 'Je trouve qu'une telle déclaration ne correspond actuellement pas avec ce que nous avons découvert sur le terrain. Les entreprises et organisations émettent suffisamment de signaux qu'elles ne sont pas encore parées. Le travail de De Backer ne sera prêt que quand on sera paré sur le terrain et pas avant.A la Commission vie privée, on pense aussi différemment du secrétaire d'Etat De Backer. La Commission dispose d'un comité-conseil pour soutenir les entreprises et organisations. Mais pour pouvoir formuler des réponses aux questions et aux besoins du terrain, cela exige avant tout une prise de contact intensive avec ces dernières. Aussi longtemps qu'il n'y a pas de normes claires, les entreprises et organisations évolueront encore et toujours dans l'obscurité à propos de ce qu'exige précisément le GDPR.Le terrain ne sait donc pas encore comment réagir exactement à ce genre de demande de regard et ce que cela implique.JORIS: 'Effectivement. Lorsque nous avons exercé notre droit de regard des données, nous avons reçu un véritable méli-mélo de formats de fichier allant du PDF au JPEG. Il y a même une organisation qui avait fait une capture d'écran de son propre fichier clients. Si un consommateur reçoit ce genre de fichier, il a de quoi se poser pas mal de questions.La législation européenne a avec le GDPR définit diverses directives auxquelles devront satisfaire les entreprises, organisations, villes et communes. Mais dans ces directives, il y a encore de la place à l'interprétation, alors que les entreprises ne veulent que des accords clairs et uniformes. Cela démontre un manque flagrant de normes claires.'Pourquoi les entreprises trouvent-elles si compliqué de satisfaire à la nouvelle règlementation? On le savait dès le début que la date-butoir du 25 mai ne serait pas respectée. La responsabilité en incombe-t-elle uniquement au politique?JORIS: 'Non, mais je dirais avant tout clairement qu'il y a des circonstances atténuantes tant pour les entreprises que pour le monde politique. On ne peut oublier que le GDPR constitue un sérieux changement de cap par rapport à l'ancienne loi. Contrairement à la loi sur le respect de la vie privée de 1992, le GDPR mise davantage sur la responsabilisation et la transparence. Pour les entreprises et les consommateurs, cela représente un changement de mentalité à ne pas sous-estimer. Avant, les entreprises et organisations ne se posaient que peu, voire pas de questions en matière de confidentialité. Les données revêtaient et revêtent toujours une grande valeur. Elles étaient donc collectées intégralement, traitées et éventuellement revendues. Les systèmes professionnels de gestion des données ont été mis au point à partir de cette logique commerciale, sans se poser trop de questions fondamentales. Le GDPR, lui, exige que ces systèmes soient revus de fond en comble, ce qui prend évidemment du temps.De plus, les entreprises et organisations sont aussi aux prises avec la recherche de personnes adéquates, capables de convertir le GDPR en leur sein. Cela exige en effet des compétences juridiques, techniques, administratives, communicatives et organisationnelles. Ce genre de profil ne se trouve pas du jour au lendemain. Thomas More assure certes une formation qui est relativement proche de ce profil, mais tout bien considéré, l'offre de formations est encore relativement rare. Je suis par contre nettement plus dérangé par le fait que de grandes entreprises ou organisations n'aient placé en ligne que quelques semaines avant la date-butoir du 25 mai une petite annonce de recrutement d'un data protection officer (DPO). Cela montre en suffisance qu'elles ne prennent encore et toujours pas au sérieux la nouvelle réglementation.Qu'est-ce que le monde politique et les entreprises peuvent-ils alors faire pour pouvoir satisfaire le plus rapidement possible à la nouvelle réglementation européenne?JORIS: 'Ce qui ne me semble pas être une bonne idée en tout cas, c'est de mettre à présent subitement nettement plus de pression sur les entreprises. Je suis entièrement d'accord avec le secrétaire d'Etat De Backer, quand il dit que c'est une évolution et pas une révolution. On se focalise trop sur la date exacte à laquelle les entreprises et organisations devront en principe satisfaire à la réglementation. Il me paraît nettement plus important que le thème du respect de la vie privée reçoive au fil du temps toute l'attention qu'il mérite. Mais soyons clairs, cela ne signifie pas que l'on puisse se croiser les bras.'Pensez-vous que dès le 25 mai, les consommateurs exerceront subitement en masse leur droit de regard sur leurs données? Ou le GDPR sera-t-il plutôt une affaire de principe?JORIS: 'Je n'attends évidemment pas une ruée massive, mais il s'agit en effet d'une question plus fondamentale. Aux Etats-Unis, on a constaté récemment que Cambridge Analytica avait réussi à utiliser sous de faux prétextes les données de millions d'utilisateurs pour la campagne de Trump. Le président américain a entre-temps retiré les Etats-Unis de l'accord de Pais sur le climat, dont les effets ne doivent pas être sous-estimés. Le respect de la vie privée ne s'arrête donc pas à la porte d'entrée. Les pratiques de Cambridge Analytica ne pourraient en principe plus se passer sous le GDPR, à condition du moins que l'on satisfasse à la réglementation. Pour cela, il faudra instaurer un contrôle suffisant. Ici aussi, il y a encore du pain sur la planche.'