COMMUNAUTÉS & EXPERTISES — Expertises

DROIT: ICT, GDPR & IMMATÉRIEL

Happy birthday GDPR! Faut-il vraiment le fêter?



240959.jpg

Elisabeth Guissart  et Raymond Faber - Avocats à la Cour | Associés dans l’étude d’avocats /c law Photo: /c law

Le 25 mai 2019, GDPR souffle sa première bougie. L’occasion de fêter ceci? Rien n’est moins sûr.

Nous voilà quasi 1 an après l’entrée en vigueur de GDPR.

Que s’est-il vraiment passé pendant cette année intensive en mises en conformité? Disons-le clairement: beaucoup de choses qui auraient déjà dû se passer il y a des années (avec notamment l’entrée en vigueur de la loi de 2002 sur la protection des données (abrogée aujourd’hui)).

Donc si on voulait vraiment fêter quelque chose, ce serait plutôt les 17 ans de législation nationale sur la protection des données ou bien 40 ans de protection des données en Europe. Or ceci accentuerait probablement encore la mauvaise conscience de ceux qui ne se sont toujours pas décidé à, ne serait-ce que, démarrer leur processus de mise en conformité. Y en a-t-il vraiment? Eh bien, il semblerait que oui!

Le 26 mai 2018 ou le jour d’après et la pression commence à relâcher…

Bizarrement, des chiffres récents montrent que si jusqu’au 25 mai 2018 les efforts redoublaient partout pour arriver au moins à un début de mise en conformité au jour J, l’intérêt pour la protection des données semble, depuis, être en chute libre. Sans vouloir généraliser ces chiffres, comment peut-on essayer de les expliquer?

Ce n’est certainement pas un manque de présence ou de visibilité de la Commission nationale de la protection des données (CNPD) qui peut expliquer un tel recul d’intérêt. En effet, après avoir activement conseillé les entreprises pendant les mois précédant l’entrée en vigueur de GDPR, ce n’est pas plus tard qu’en octobre 2018 qu’elle a commencé, de sa propre initiative, à lancer les premiers audits, notamment sur le rôle du data protection officer («DPO» ou «DPD»), dans 25 entreprises choisies sur base de leurs activités, leur taille, etc.

En l’absence de sanctions à ce jour à Luxembourg1, le problème semble donc plus se situer au niveau de la compréhension de l’intérêt de la mise en conformité, alors que seulement 33% des entreprises estiment que GDPR a amélioré la gouvernance de leur entreprise et que 58% des entreprises continuent malgré les nombreux efforts de sensibilisation tous azimuts à voir encore GDPR surtout comme une contrainte et non comme une opportunité pour leur entreprise.

Souvent, toute la documentation est en place, mais personne ne l’applique

Même pour les plus diligents, il ne suffit pas d’avoir rédigé les différents documents exigés par le GDPR (notices d’informations, politique de protection des données, procédure d’accès aux données, procédure de data breach, etc.), si après on ne les communique et explique pas de façon intelligible en interne.

On sait que la sensibilisation et la formation des employés est clé pour le respect de la protection des données personnelles dans une entreprise. Celui qui ne forme pas son personnel s’expose au risque de se le voir reprocher par la CNPD, car la protection des données doit dorénavant rentrer dans la culture d’entreprise et chaque employé individuellement peut être à l’origine d’une violation de données et doit savoir comment réagir lorsqu’il se retrouve dans une telle situation.

La montée vertigineuse du nombre de déclarations de violations de données

Finalement, peut-on considérer que le nombre très important de déclarations de violations de données est un signe que les entreprises prennent le sujet au sérieux? Oui et non. Car le problème aujourd’hui est que les entreprises notifient souvent tout et n’importe quoi, sans faire une analyse préalable assez précise sur la nécessité même de la notification, laissant à la CNPD le soin de faire le tri. Si donc ce nombre croissant de notifications est plus le fruit de la peur que d’une analyse intelligente, alors la réponse est malheureusement négative.

On l’aura compris, le chemin à faire reste long et tout est loin d’être parfait dans le monde GDPR. Néanmoins, les efforts entrepris par de très nombreuses entreprises sont bien réels et porteront sans doute leurs fruits à moyen et long terme. La culture de la protection des données, malheureusement nouvelle pour la grande majorité des acteurs, ne rentrera pas dans la tête des employés et dans leurs habitudes d’un jour à l’autre. Cela prend du temps, mais l’essentiel est de ne pas s’arrêter en cours de route.

Dans cet esprit, on ne va pas se laisser gâcher la fête!

Happy Birthday GDPR!

 

1 La première sanction au titre du GDPR en Europe est tombée au Portugal en novembre 2018, condamnant un hôpital à une amende de 400.000 EUR.