Le RGPD, un an après
Plus d’un an après sa mise en application, le RGPD fait couler beaucoup d’encre : amendes, conseils pour se mettre en conformité, apports supposés pour chacun de nous mais aussi pour les entreprises, assainissement de pratiques commerciales ou marketing parfois excessives et j’en passe.
On entend à peu près tout et son contraire au sujet du RGPD mais, si j’en crois mes lectures sur les réseaux sociaux et le site de la CNIL, le principal pour les entreprises semble résider dans deux aspects majeurs : le RGPD est une formidable opportunité pour tout le monde et les mauvais élèves seront sévèrement punis.
Tout cela peut sembler logique sur le fond. Mais sur la forme et les conditions d’application, je me permets d’émettre quelques interrogations.
Depuis mai 2018, la réglementation européenne nous garantit une meilleure protection de nos données personnelles
Toutes nos données personnelles sont concernées, que celles-ci soient détenues par notre fournisseur d’accès internet, notre coiffeur ou les administrations publiques.
Après avoir opté durant les premiers mois pour l’approche pédagogique, les réseaux sociaux et la CNIL se font désormais le relai des amendes infligées à ceux qui n’ont pas respecté les règles. Mais il y a également ces formidables opportunités que le RGPD nous apporterait : davantage de transparence entre clients et fournisseurs, sécurisation accrue des serveurs, identification facilitée des « mauvais élèves », optimisation des architectures et des bases de données informatiques…
Tout ceci nous est annoncé comme une vérité évidente, et donc indiscutable par principe. Sans considération aucune pour les détracteurs du RGPD, moins visibles certes mais dont les objections ne me semblent pas devoir être écartées d’un simple revers de main.
Pour ma part, propulsé au cœur de la machine en juillet 2017 par une entreprise qui me sollicitait pour piloter sa mise en conformité RGPD, j’ai pris le parti de travailler en appliquant un principe énoncé par Henri Poincaré : « douter de tout ou tout croire sont deux solutions également commodes qui nous dispensent de réfléchir ».
Ainsi, plutôt que d’écouter benoîtement la bonne parole de la CNIL ou, à l’inverse, la colère de ceux pour qui l’Europe n’a pas pris en compte les impacts sur les PME, tout en accordant de nombreuses exceptions aux administrations de l’Etat, je préfère guider mes clients vers la conformité RGPD en expérimentant la réalité du terrain.
Expérimenter et sensibiliser, sans mentir ni hypnotiser
Le RGPD est devenu mon terrain de jeu, non seulement dans ma vie professionnelle mais aussi dans ma vie privée. Je mène des expérimentations dont les résultats interrogent les communications lues ici et là, les lois et leur application ou mettent en lumière des pratiques parfois surprenantes.
Depuis deux ans, je constate que, dans la majorité des cas, les entreprises font un usage responsable des données personnelles qui leur sont confiées. Il y a certes des progrès possibles, mais mes observations me poussent à penser que les abus relayés sur les réseaux sociaux ne sont que des exceptions, ce qui me semble rassurant. Personnellement, je ne vis pas dans la peur que mes données soient utilisées à de mauvaises fins, mais je reste attentif et n’ai d’ailleurs pas hésité à porter moi-même plainte auprès de la CNIL pour une utilisation que j’estimais abusive de mes données personnelles. Ce sera encore un sujet d’expérimentation dont j’attends les résultats avec impatience car ma plainte vise une administration publique et j’ai de bonnes raisons de mettre en doute l’égalité de traitement entre public et privé dans ce domaine.
Gérer le RGPD avec pragmatisme
Ainsi, en juin dernier, un client me demandait de sensibiliser ses collaborateurs au RGPD en proposant un véritable « retour terrain », à l’opposé des oiseaux de mauvais augure qui nous mettent simplement en garde contre le risque d’amende.
Sans trahir de secret professionnel ou privé, c’est ce principe du retour terrain qui me permettra de proposer durant les prochaines semaines un témoignage issu de deux années de pilotage et d’expérimentation autour du RGPD. C’est le plus souvent rassurant, parfois amusant, toujours riche d’enseignements.
Première thématique que j’aborderai dans quelques jours : l’audit RGPD. Ou pourquoi il faut commencer par regarder les choses en face, même si cela provoque parfois quelques frayeurs bien légitimes.