Comme l’on pouvait s’y attendre, ce 25 mai ne s’est pas accompagné d’une pluie de sanctions. Il est vrai que l’attente n’a pas été sans générer d’anxiété, tous secteurs confondus. Celle-ci s’est notamment matérialisée par les multiples initiatives (souvent maladroites) de mass mailing dont nous avons tous été témoins (ou victimes?) à l’approche de la date fatidique.
Ce phénomène est l’illustration parfaite de l’un des nombreux pièges dans lesquels les organisations, soucieuses de se mettre en conformité dans des délais restreints, tombent parfois.
Face aux nouveaux défis à relever et afin de répondre aux nouvelles exigences imposées par le GDPR, les organisations sont parfois conduites à engager des ressources humaines, techniques et financières significatives dans un certain climat d’incertitude réglementaire.
Alors que le projet de loi (n° 7184) censé venir compléter le GDPR au niveau national est toujours en discussion, les acteurs manquent à ce jour de la visibilité juridique adéquate pour se mettre en conformité de manière satisfaisante. Par exemple, les règles qui seront applicables aux traitements de données sensibles (santé, génétique) ou à la surveillance sur le lieu de travail (vidéosurveillance, badges, géolocalisation, informatique, etc.) ont encore fait l’objet de modifications importantes dans les derniers développements parlementaires. Cette situation crée une grande instabilité, ce qui est dommageable.
Certes, des conseils pratiques des régulateurs ont été annoncés. Toujours est-il que l’incertitude actuelle peut être source d’une certaine paralysie ou, à l’inverse, d’un excès de zèle des organisations.
La première attitude pourrait être résumée comme suit: «Dans la mesure où il ne se passe rien pour le moment, rien ne sert de se hâter.» Si cette attitude peut sembler compréhensible en partie, compte tenu des éléments d’incertitude susmentionnés, elle ne doit pas ignorer les pouvoirs de contrôle accrus reconnus par le GDPR à la CNPD, qui entend bien les exercer, tout en retenant une approche pragmatique basée sur la taille, la nature de l’organisation, le volume et la sensibilité des données traitées.
Mais l’excès de zèle s’accompagne parfois de conséquences néfastes.
À titre d’illustration, une tendance – excessive à notre sens - parfois observée depuis le 25 mai consiste à qualifier de «sous-traitant» au sens du GDPR tout prestataire externe de services quel que soit son champ d’intervention (avocat, comptable, société de nettoyage, etc.) sans s’interroger sur les actes de traitement de données personnelles réellement délégués à ce dernier. Il découle alors de cette qualification à l’emporte-pièce la mise en place de nouveaux contrats comportant les clauses requises par l’article 28 du GDPR. Une telle démarche est bien souvent inadaptée et alourdit inutilement la charge administrative des organisations. Il est vrai que l’analyse du rôle de chacun est souvent fine et réclame une certaine expérience.
Un autre écueil souvent rencontré est la confusion entre information et consentement. En pratique, ce n’est que pour des situations relativement limitées que le consentement est requis ou peut jouer pleinement. Beaucoup pensent que le consentement sécurise le responsable du traitement. Or, c’est tout l’inverse! Demander un consentement sans en avoir besoin expose l’organisation à un risque supplémentaire puisque le traitement devra être arrêté en cas de retrait du consentement quand bien même il serait fondé sur une obligation légale ou contractuelle.
Parmi les exemples rencontrés, l’on peut aussi citer l’idée de prévoir une entrevue avec chaque individu exerçant son droit d’accès. Si une telle initiative peut a priori sembler positive, la lourdeur de sa mise en œuvre en pratique peut avoir un effet «d’usine à gaz» intenable dans la durée. Or, le GDPR est justement là pour durer.
Certes, la matière est souvent technique et la mise en œuvre des principes du GDPR parfois complexe. Cependant, une interprétation extensive de certains concepts peut ainsi avoir pour conséquence de dénaturer le texte et de créer un risque additionnel de non-conformité. Mettre en place une approche rigoriste peut bien sûr être louable. Mais en voulant faire mieux, on fait souvent pire. Il est donc essentiel de ne pas se précipiter et de savoir raison garder.
La clé du succès réside en partie dans la création du registre des traitements qui opère une forme d’introspection dans les pratiques des organisations, en interrogeant leur rapport à la donnée personnelle. C’est sur base du registre que pourront ensuite être déterminés une feuille de route, le rôle de chacun, l’information à fournir aux personnes concernées et les risques résiduels de non-conformité.
En définitive, n’oublions pas que le GDPR n’a pas été adopté pour paralyser l’économie mais au contraire la protéger face au risque que représentent des traitements de données mal gérés ou sécurisés. Restons calmes et faisons preuve de bon sens.