ENTREPRISES & STRATÉGIES

RGPD

Entre préparation et appréhension



larsen_cnpd.jpg

Tine A. Larsen affirme que la CNPD sera prête pour le 25 mai prochain. (Photo: CNPD / archives)

Au cœur de toutes les interrogations depuis plusieurs mois, le nouveau règlement européen sur la protection des données comporte encore de nombreuses zones d’ombre, autant pour les entreprises que pour le futur régulateur.

Il est bientôt là! Le règlement général sur la protection des données (RGPD) entrera en application le 25 mai prochain dans les 28 pays de l’Union européenne. Une date synonyme de grand saut dans l’inconnu pour des millions d’entreprises en Europe et dans le monde. Mais aussi pour les régulateurs. Car, en tant que règlement, ce texte oblige les entreprises à se conformer. Et qui dit conformité dit contrôle. Au Luxembourg, c’est la Commission nationale pour la protection des données (CNPD) qui sera en charge de cette tâche. «Nous sommes en train de finaliser les questionnaires que nous utiliserons lors de nos contrôles et les thématiques que nous choisirons pour définir les échantillons d’entreprises concernées», explique Christophe Buschmann, le chef du pilier Contrôle de la CNPD. «C’est nouveau pour tout le monde, ajoute la présidente de l’institution, Tine A. Larsen. Mais nous serons prêts pour le 25 mai.»

À l’heure actuelle, la CNPD peut procéder à des contrôles sur le terrain sur la base des lois communautaires déjà existantes sur la protection des données personnelles. Mais seulement à la suite d’une plainte. Avec le RGPD, elle aura bientôt la possibilité d’agir de manière proactive et donc de choisir elle-même les sociétés qu’elle contrôlera. «L’objectif n’est pas de commencer une chasse aux sorcières dès le 25 mai, tempère Tine A. Larsen. Nous saurons être compréhensifs avec les entreprises qui montrent de la bonne volonté, car nous avons aussi la mission de les accompagner. Par contre, nous n’hésiterons pas à sévir chez celles qui ne font aucun effort.»

25 audits prévus en 2018

À l’heure actuelle, le service de Christophe Buschmann compte cinq personnes, qui pourront s’appuyer sur la vingtaine d’experts sectoriels que compte la CNPD. Mais les effectifs vont augmenter. «Des recrutements d’auditeurs sont en cours, assure-t-il. Nous sommes en train de définir les derniers détails de la méthodologie que nous appliquerons, mais nous veillerons à être très professionnels pour transmettre un sentiment de confiance.» Créée en 2002 suite à la transposition dans la loi de la directive européenne sur la protection des données, la CNPD va devenir une institution-clé de l’État à partir du 25 mai. Il y a trois ans, elle comptait une quinzaine de collaborateurs. Il est prévu qu’ils soient 35 d’ici la fin de l’année et 49 en 2020. Des effectifs qui vont crescendo pour des contrôles qui seront de plus en plus nombreux au fil des ans. Pour l’année 2018, seulement 25 audits sont prévus par la CNPD. «Cela ne veut pas dire que nous n’effectuerons que 25 contrôles, tient à préciser Tine A. Larsen. Nous utiliserons des approches à la fois thématiques et sectorielles. Nous viserons donc à chaque fois plusieurs entreprises.»

Des situations différentes selon les entreprises

Du côté des entreprises, les situations varient beaucoup. Une frontière assez claire se dessine toutefois entre les grosses structures et les PME. Le Centre hospitalier de Luxembourg (CHL), qui compte plus de 2.100 employés, n’a pas attendu 2018 pour mettre en place une politique de gestion des données personnelles. Il faut dire qu’il reçoit près de 70.000 patients par an, ce qui correspond à tout autant de données administratives et médicales. À celles-ci s’ajoutent celles de son personnel. «Nous avons mis en place il y a cinq ans un comité de pilotage composé de membres de la direction, détaille Jean-Paul Freichel, le directeur administratif et financier de l’établissement. Il s’agissait de prendre toutes les actions nécessaires pour protéger ces données.» Plus récemment, le CHL s’est doté d’un délégué à la protection des données (DPO), obligatoire dans le cadre du RGPD pour les entreprises qui utilisent des données nécessitant un suivi «régulier et systématique à grande échelle». L’hôpital mène également des campagnes de sensibilisation auprès de ses employés. Il s’agit plus précisément de deux modules vidéo. L’un concerne la protection des données, l’autre la sécurisation de l’information. «Nous essayons de sensibiliser nos employés sur ces questions en les plaçant dans la situation des patients», détaille Ludovic Meja, le DPO de l’établissement.

Beaucoup de commerçants n’ont toujours pas compris ce qu’on attend d’eux

Nicolas Henckes, directeur de la Confédération luxembourgeoise du commerce (CLC)

La situation est un peu différente dans les petites structures. Dans le secteur du commerce, un sentiment d’inquiétude domine. «Je n’ai aucune idée des mesures que je devrais mettre en place, confie le directeur d’une agence immobilière, qui préfère garder l’anonymat. J’avoue ne pas m’y être encore intéressé.» «Aujourd’hui encore, beaucoup de commerçants n’ont toujours pas compris ce qu’on attend d’eux», confirme Nicolas Henckes, le directeur de la Confédération luxembourgeoise du commerce (CLC). Son organisation a lancé plusieurs programmes pour accompagner les entrepreneurs. «Nous visons une conformité a minima, adaptée à la taille de l’entreprise, ajoute-t-il. Pour la plupart des structures concernées, il s’agit d’un investissement de quelques heures, mais il s’ajoute à l’avalanche de travail existant.»

Beaucoup d’experts sont d’accord pour dire que le RGPD n’a pas été pensé pour ces petites sociétés, qui sont aussi les plus fragiles économiquement. Il faudra toutefois que leurs patrons trouvent le temps de se conformer à cette nouvelle réglementation, car la patience de la CNPD aura ses limites.