Frédéric Vonner, Partner, PwC Luxembourg. (Photo: Olivier Toussaint)

Frédéric Vonner, Partner, PwC Luxembourg. (Photo: Olivier Toussaint)

PwC Luxembourg lance une nouvelle enquête consacrée aux entreprises et à leur mise en place du RGPD. Tour d’horizon de la démarche et des suites qui seront données par Frédéric Vonner, partner.

Pourquoi vouloir prendre le pouls des entreprises, 18 mois après la mise en place du RGPD?

Frédéric Vonner. – «Le Règlement général sur la protection des données, ou RGPD, est effectivement en application depuis plus de 18 mois maintenant. Ce règlement a confirmé de nombreuses règles déjà établies en termes d’utilisation et de protection des données permettant d’identifier des individus, tout comme il a introduit de nouveaux concepts et de nouvelles obligations s’imposant aux entreprises, associations, collectivités, etc., traitant ce type de données.

N’oublions pas que la genèse de cette réglementation est notamment le souhait des autorités européennes de renforcer, au sein de l’Union, un cadre commun permettant aux personnes résidentes dans l’Union de mieux protéger les usages faits de leurs données, en nous rendant le contrôle sur nos données.

Lors de l’entrée en application du règlement en 2018, nous avions déjà conduit une étude sur la préparation au RGPD des entreprises et collectivités luxembourgeoises. Cette première étude avait notamment apporté des informations mitigées quant au niveau de préparation effectif des répondants. Nous souhaitons maintenant faire un nouvel état des lieux, afin d’identifier la progression des acteurs locaux dans leur mise en œuvre du règlement: ont-ils continué à travailler sur le sujet et à améliorer leurs pratiques?

Quelles difficultés ont-ils rencontrées, ou rencontrent-ils encore? Quelle a été l’intensité des travaux de mise en conformité?

«Cette nouvelle étude vise également à porter le débat au-delà de la seule conformité avec le règlement, en ouvrant la porte à un sujet plus large, celui de la protection et de la confidentialité des données personnelles, autrement identifiée par son terme anglais ‘data privacy’.

Nous pensons en effet qu’il est important que les acteurs locaux embrassent cette thématique, qui est le pendant d’une saine utilisation de plus en plus large des données, et de la donnée, par les entreprises, les associations et les collectivités.

Quelles suites seront réservées aux résultats de l’étude?

«À l’issue de notre première étude, nous avions publié un rapport sous forme de ‘white paper’, qui avait été présenté lors d’un événement que nous avions organisé.

Cette année, nous souhaitons changer quelque peu le format. La primeur des conclusions de notre analyse sera réservée aux participants de l’édition du 5 mars prochain de notre DPO Meet Up, une plate-forme de rencontre et d’échange que nous animons pour la communauté des spécialistes de la protection des données au Luxembourg et dans la Grande Région.

À la suite de cela, nous publierons également les éléments-clés de notre analyse dans la presse, afin de permettre à tout un chacun de s’approprier ceux-ci: les entreprises, les associations et les collectivités pourront avoir des éléments de comparaison avec leurs pairs, tandis que le grand public pourra apprécier les efforts que les acteurs locaux mettent en œuvre afin de traiter au mieux leurs données.

À votre niveau, comment percevez-vous la mise en place du RGPD en interne depuis ces 18 mois?

«Je préfère ne pas répondre à cette question, au risque de m’attirer les foudres de notre délégué à la protection des données!

Plus sérieusement, je pense que notre exercice de mise en conformité est à l’identique de ce que nous observons auprès des acteurs les plus avancés sur le sujet. Après une phase en mode «projet» ayant visé à faire un état des lieux des traitements de données, à établir nos propres règles de fonctionnement et de gouvernance quant à ces données et à assurer la formation de l’ensemble de notre personnel, l’équipe en charge de ce sujet travaille maintenant en mode ‘run’, notamment en s’assurant de l’application continue et régulière des procédures et des règles établies, en répondant aux interrogations de notre personnel, de nos clients et des tiers avec lesquels nous sommes engagés, et en s’assurant que les risques liés aux traitements de données que nous opérons sont gérés de manière appropriée.

En somme, nous sommes maintenant passés dans la phase où l’appropriation du RGPD étant faite, nous essayons de faire au mieux pour traiter correctement les données personnelles à notre disposition.»

Informations sur l’étude et participation sur .