Cyril-Pierre Beausse (Photo: CP. Beausse)

Cyril-Pierre Beausse (Photo: CP. Beausse)

Dans le sillage de l’économie numérique et de son célèbre corolaire Big Data, le challenge de rationnaliser la gestion des données est de taille, quel que soit le secteur d’activité envisagé. La journée internationale de la protection des données du 28 janvier est le moment indiqué pour refaire le point sur les obligations légales en matière de confidentialité. Dont le futur règlement européen en la matière porté par la Commission européenne. 

«Ce projet de règlement communautaire est un sujet très important pour le moment. Il demandera des réformes qui rendront la tâche plus complexe pour les entreprises. D’une démarche binaire de conformité à posteriori, elles vont devoir intégrer le souci des données dès la conception de tout produit, qu’il s’agisse d’une tablette ou d’un service financier», indique Cyril-Pierre Beausse, avocat spécialisé dans l’IT et la protection des données. Il évoque un bouleversement majeur dans la gouvernance des entreprises.

Cette optique de «privacy by design», soit dès le départ, renverse la perspective et réclame de nouvelles manières de travailler. «C’est un tout autre paradigme. Aujourd’hui, la protection des données est encore la cinquième roue du carrosse, peu d’entreprises s’y intéressent vraiment, mais cela va rapidement changer».

Refonte légale

Au Luxembourg, c’est la loi relative à la protection des personnes à l’égard du traitement des données à caractère personnel du 2 août 2002 qui fixe le cadre de référence. Émanation de directives européennes, elle a été complétée, dans un deuxième temps, par la loi du 30 mai 2005 liée aux communications électroniques, qui prend plus spécifiquement en compte les innovations technologiques, comme par exemple, les possibilités de géolocalisation. À terme, le projet de règlement européen viendra modifier ce socle en profondeur.

«Le texte n’est pas encore figé, mais il prévoit d’ores et déjà des amendes de plusieurs centaines de millions d’euros en cas de non respect grave au principe de confidentialité, à l’instar de ce qui se fait dans le domaine de la concurrence. Les montants seront plus que conséquents! La loi actuelle est déjà très sévère, mais n’est que peu appliquée».

On parle d’un texte définitif à l’horizon 2016. Fruit d’un long processus, il devrait être en vigueur deux ans après. «C’est un texte qui est beaucoup discuté. C’est celui qui a historiquement connu le plus de réactions au sein du parlement européen. Il y a énormément de lobbying à l’œuvre. D’une logique de conformité noir/blanc, on va vers une logique plus nuancée. On se dirige vers l’idée que plus personne ne sera conforme à 100%. La loi fera en sorte de réduire les risques au maximum. La philosophie est toute autre».

Sanctions financières

Le challenge sera de faire de la protection des données un reflexe transversal. «Les organisations y voient trop souvent la source d’un impôt supplémentaire, une charge pénible ou une tracasserie administrative de plus. Elle permet, au contraire, de travailler plus efficacement en ne choisissant que les bonnes données à conserver et en rationnalisant leur stockage, défend Cyril-Pierre Beausse, fréquemment invité à intervenir en entreprise. On sent cependant une prise de conscience encourageante. Il y a 10 ans, le management s’en moquait complètement. Actuellement, la question commence à devenir un enjeu stratégique discuté en conseil d’administration».

Défendu par Viviane Reding, ce projet européen a une résonance particulière au Luxembourg. «Le pays peut jouer un rôle moteur dans ce domaine». Une fois transposé et traduit en droit national, le règlement en chantier pourrait également permettre une évolution dans le rôle de la Commission nationale pour la protection des données.

Essentiellement attachée à un contrôle externe et administratif poussé, elle pourrait adopter une démarche plus proactive. «Elle est aujourd’hui débordée par la gestion des formulaires. Libérés d’obligations administrative et de paperasse sans grande valeur ajoutée, ses conseillers pourront sortir de leur bureau, faire de l’investigation sur le terrain et aider les entreprises», estime l'avocat. À l’avenir, c’est aussi elle qui pourrait attribuer les amendes. «La CNDP pourra graduer les sanctions. Aujourd’hui, elle hésite à solliciter le Parquet pour éviter des conséquences pénales trop lourdes. Certaines entreprise font n’importe quoi, mais ne craignent pas grand chose».          

Point de contact interne

Si certains acteurs privés se préparent à modifier leur approche de la protection des données, c’est encore loin d’être la majorité. Très technique, cette matière va leur demander une formation soutenue des équipes, et sans doute la création d’un poste dédié. «La clé est d’investir dans la formation de ses collaborateurs. Dans toute organisation, il faudra nommer une personne responsable de ces sujets en interne, et qui sera le point de contact des instances de contrôle. La fonction de data protection officer existe déjà, mais est encore peu répandue.» La CNDP en répertorie une cinquantaine dans son registre public.

«Ce n’est pas une grande spécialité au Luxembourg, même si on voit quelques profils émerger. Le métier est déjà en train de changer. Avant, il s’agissait surtout de juristes, à présent, ils sont de plus en plus nombreux à disposer d’un parcours IT. Je pense que ce sont eux qui ont la bonne approche intellectuelle et la bonne sensibilité. Les entreprises n’ont pas besoin d’un ayatollah qui dise non à tout, mais d’un spécialiste qui comprenne l’activité de l’entreprise, et surtout qui sache que le risque zéro n’existe pas. C’est déjà une matière que j’enseigne aux informaticiens depuis huit ans. À l’avenir, l’effort va devoir être soutenu. C’est une matière qui ne s’improvise pas», achève Cyril-Pierre Beausse.