‘Les entreprises ne sont pas encore prêtes pour le GDPR à cause d’un manque flagrant de normes claires’
Le fait que beaucoup d’entreprises et d’organisations ne soient pas encore en ordre au niveau de la protection des données, est dû, selon le chercheur MICT Glen Joris à une carence de normes claires: “Au sein même des directives du GDPR, il y a encore de la place à l’interprétation, alors que les entreprises ne veulent que des accords clairs et uniformes.”
C’est le vendredi 25 mai qu’entrera en vigueur le General Data Protection Regulation (GDPR). Cette nouvelle loi européenne est destinée à remplacer l’actuelle, datant de 1992, et vise à améliorer la gestion et la sécurité des données des utilisateurs. La nouvelle réglementation donnera plus de responsabilités aux entreprises, organisations et pouvoirs publics.
Mais d’une récente étude effectuée par Glen Joris et le Dr. Peter Merchant du groupe de recherche ‘Media, Innovatie, Communicatie en Technologie’ (MICT) de l’Universiteit Gent, il apparaît que les entreprises ou organisations belges ne sont même pas encore en ordre vis-à-vis de la loi existante, et encore moins évidemment de la prochaine. Les chercheurs ont interrogé 220 entreprises, organisations, villes et communes à propos de leurs données, mais n’ont reçu une réponse que de moins de la moitié d’entre elles (106). Parmi ces dernières, 99 ont réagi endéans le délai légal de 45 jours ouvrables. En outre, seules 39 entreprises et organisations, qui ont effectivement réagi, ont effectué un contrôle d’identité. ‘Il semble donc parfaitement possible de solliciter les données de tiers, sans que vous deviez vous-même vous identifier’, déclare le chercheur Glen Joris.
Les entreprises et organisations belges sont-elles donc à ce point en retard? Le secrétaire d’Etat en charge du respect de la vie privée Philippe De Backer (Open VLD) avait encore déclaré fin janvier que la Belgique était sur les bons rails.
JORIS: ‘Je trouve qu’une telle déclaration ne correspond actuellement pas avec ce que nous avons découvert sur le terrain. Les entreprises et organisations émettent suffisamment de signaux qu’elles ne sont pas encore parées. Le travail de De Backer ne sera prêt que quand on sera paré sur le terrain et pas avant.
A la Commission vie privée, on pense aussi différemment du secrétaire d’Etat De Backer. La Commission dispose d’un comité-conseil pour soutenir les entreprises et organisations. Mais pour pouvoir formuler des réponses aux questions et aux besoins du terrain, cela exige avant tout une prise de contact intensive avec ces dernières. Aussi longtemps qu’il n’y a pas de normes claires, les entreprises et organisations évolueront encore et toujours dans l’obscurité à propos de ce qu’exige précisément le GDPR.
Le terrain ne sait donc pas encore comment réagir exactement à ce genre de demande de regard et ce que cela implique.
JORIS: ‘Effectivement. Lorsque nous avons exercé notre droit de regard des données, nous avons reçu un véritable méli-mélo de formats de fichier allant du PDF au JPEG. Il y a même une organisation qui avait fait une capture d’écran de son propre fichier clients. Si un consommateur reçoit ce genre de fichier, il a de quoi se poser pas mal de questions.
La législation européenne a avec le GDPR définit diverses directives auxquelles devront satisfaire les entreprises, organisations, villes et communes. Mais dans ces directives, il y a encore de la place à l’interprétation, alors que les entreprises ne veulent que des accords clairs et uniformes. Cela démontre un manque flagrant de normes claires.’
Pourquoi les entreprises trouvent-elles si compliqué de satisfaire à la nouvelle règlementation? On le savait dès le début que la date-butoir du 25 mai ne serait pas respectée. La responsabilité en incombe-t-elle uniquement au politique?
JORIS: ‘Non, mais je dirais avant tout clairement qu’il y a des circonstances atténuantes tant pour les entreprises que pour le monde politique. On ne peut oublier que le GDPR constitue un sérieux changement de cap par rapport à l’ancienne loi. Contrairement à la loi sur le respect de la vie privée de 1992, le GDPR mise davantage sur la responsabilisation et la transparence. Pour les entreprises et les consommateurs, cela représente un changement de mentalité à ne pas sous-estimer. Avant, les entreprises et organisations ne se posaient que peu, voire pas de questions en matière de confidentialité. Les données revêtaient et revêtent toujours une grande valeur. Elles étaient donc collectées intégralement, traitées et éventuellement revendues. Les systèmes professionnels de gestion des données ont été mis au point à partir de cette logique commerciale, sans se poser trop de questions fondamentales. Le GDPR, lui, exige que ces systèmes soient revus de fond en comble, ce qui prend évidemment du temps.
Le fait que de grandes entreprises ou organisations n’aient placé en ligne que quelques semaines avant la date-butoir du 25 mai une petite annonce de recrutement d’un data protection officer, montre en suffisance qu’elles ne prennent encore et toujours pas au sérieux la nouvelle réglementation.
Glen Joris (MICT)
De plus, les entreprises et organisations sont aussi aux prises avec la recherche de personnes adéquates, capables de convertir le GDPR en leur sein. Cela exige en effet des compétences juridiques, techniques, administratives, communicatives et organisationnelles. Ce genre de profil ne se trouve pas du jour au lendemain. Thomas More assure certes une formation qui est relativement proche de ce profil, mais tout bien considéré, l’offre de formations est encore relativement rare. Je suis par contre nettement plus dérangé par le fait que de grandes entreprises ou organisations n’aient placé en ligne que quelques semaines avant la date-butoir du 25 mai une petite annonce de recrutement d’un data protection officer (DPO). Cela montre en suffisance qu’elles ne prennent encore et toujours pas au sérieux la nouvelle réglementation.
Qu’est-ce que le monde politique et les entreprises peuvent-ils alors faire pour pouvoir satisfaire le plus rapidement possible à la nouvelle réglementation européenne?
JORIS: ‘Ce qui ne me semble pas être une bonne idée en tout cas, c’est de mettre à présent subitement nettement plus de pression sur les entreprises. Je suis entièrement d’accord avec le secrétaire d’Etat De Backer, quand il dit que c’est une évolution et pas une révolution. On se focalise trop sur la date exacte à laquelle les entreprises et organisations devront en principe satisfaire à la réglementation. Il me paraît nettement plus important que le thème du respect de la vie privée reçoive au fil du temps toute l’attention qu’il mérite. Mais soyons clairs, cela ne signifie pas que l’on puisse se croiser les bras.’
Les pratiques de Cambridge Analytica ne pourraient en principe plus se passer sous le GDPR
Pensez-vous que dès le 25 mai, les consommateurs exerceront subitement en masse leur droit de regard sur leurs données? Ou le GDPR sera-t-il plutôt une affaire de principe?
JORIS: ‘Je n’attends évidemment pas une ruée massive, mais il s’agit en effet d’une question plus fondamentale. Aux Etats-Unis, on a constaté récemment que Cambridge Analytica avait réussi à utiliser sous de faux prétextes les données de millions d’utilisateurs pour la campagne de Trump. Le président américain a entre-temps retiré les Etats-Unis de l’accord de Pais sur le climat, dont les effets ne doivent pas être sous-estimés. Le respect de la vie privée ne s’arrête donc pas à la porte d’entrée. Les pratiques de Cambridge Analytica ne pourraient en principe plus se passer sous le GDPR, à condition du moins que l’on satisfasse à la réglementation. Pour cela, il faudra instaurer un contrôle suffisant. Ici aussi, il y a encore du pain sur la planche.’
Réaction du cabinet De Backer: ‘Un travail de longue haleine’
Au cabinet du secrétaire d’Etat en charge du respect de la vie privée Philippe De Backer, les résultats de l’étude ne signifient pas forcément que le GDPR ne sera pas suffisamment respecté dans un premier temps. ‘Au contraire, l’étude démontre surtout que la précédente loi sur la confidentialité datant de 1992 devait être rénovée dans l’urgence. Elle était trop peu connue, n’était pas respectée, et il manquait de contrôles. Voilà pourquoi la nouvelle réglementation était indispensable’, déclare la porte-parole Lotte Vanderstockt.
‘De plus, la réforme de la Commission vie privée a été unanimement approuvée en décembre dernier. La Commission vie privée sera remplacée par l’Autorité pour la protection des données, qui disposera d’une meilleure capacité de contrôle. Si une entreprise refuse à plusieurs reprises de se conformer à la loi après une plainte, les sanctions pourront aller jusqu’à 4 pour cent de son chiffre d’affaires. En outre, cette Autorité pour la protection des données communiquera de manière proactive dans le futur.’
De plus, le cabinet De Backer envisage un meilleur avenir pour ce qui est du comité-conseil de la Commission vie privée. ‘Outre la capacité de contrôle, il y aura un centre de la connaissance qui fournira aux entreprises et aux organisations des informations et des recommandations dans le cadre du GDPR. Qui plus est, il y aura aussi une cellule de réflexion qui devrait répercuter l’avis de la société et offrir une plate-forme’, selon Vanderstockt.
Mais cette cellule de réflexion ne pourra prodiguer que des conseils non-contraignants et ne sera officiellement créé, tout comme le centre de la connaissance, que le 25 mai, jour d’entrée en vigueur de la réglementation européenne et date à partir de laquelle les entreprises devront donc satisfaire à celle-ci. Selon Vanderstockt, tout cela ne viendra cependant pas trop tard: ‘Ces derniers mois et semaines, on a nettement progressé à propos des informations distillées aux entreprises à propos du GDPR et du droit de regard sur les données. De plus, il ne faut pas se faire d’illusions: chaque entreprise ne sera pas parfaitement en ordre vis-à-vis de la nouvelle réglementation le 25 mai. C’est un travail de longue haleine, et nous ferons tout, conjointement avec les entreprises, organisations et pouvoirs publics belges, pour satisfaire au GDPR le plus rapidement possible.’
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici