Contribution #17 — Le RGPD au Panthéon
A l’occasion du premier anniversaire du RGPD, le Village de la Justice m’a sollicité pour livrer mon regard sur ce texte. J’ai réalisé pour l’occasion une série de 5 vidéos intitulées “Le RGPD au Panthéon”, pour célébrer ce texte décrié et moqué par certains acteurs, qui aujourd’hui est en train de devenir incontournable et essentiel dans la transformation de notre société, ce que confirment les récents messages de Mark Zuckerberg, Jack Dorsey et Tim Cook , les nouveaux apôtres du RGPD, à voir dans la première vidéo “préambule” .
Préambule
Mark Zuckerberg écrivait le 30 mars 2019 :
« Je pense qu’il serait bon pour Internet que davantage de pays adoptent une réglementation telle que le RGPD comme cadre commun. »
Même si la posture doit être transformée en actions, la valeur des messages diffusés par Mark Zuckerberg, Jack Dorsey et Tim Cook ne doit pas être sous estimée et doit nous inciter à croire en une économie numérique éthique non seulement européenne mais aussi mondiale.
Les réseaux sociaux permettent à tout citoyen de publier les contenus de son choix et de les partager avec d’autres utilisateurs du réseau. Ils ont ainsi révolutionné l’industrie des médias et les modes de communication en offrant aux citoyens et à la société civile un support d’expression directe. Le recours aux médias classiques n’est plus obligatoire pour communiquer publiquement. La possibilité pour les citoyens d’exercer leurs libertés d’expression, de communication, et de s’informer sont donc considérablement accrues par ces services.
Leur responsabilité sociétale est devenue tellement importante que la passivité n’est plus concevable, la généralisation de la pratique du “name and shame” combinée aux non-respect des obligations résultants du RGPD aura demain des effets conséquents.
Chapitre 1–25 mai 2017 — UN AN AVANT
Vent de panique dans les grandes organisations et relative indifférence dans les PME
Dans 365 jours, le règlement no 2016/679 voté par le Parlement Européen le 14 avril 2016, dit règlement général sur la protection des données (RGPD, ou encore GDPR, de l’anglais General Data Protection Regulation) rentrera en application.
Dans les colonnes du journal le Monde, Isabelle Falcque Pierrotin, présidente de la CNIL déclare « la période du chèque en blanc est terminée ».
Si les PME restent relativement indifférentes au sujet, dans les grandes entreprises c’est un peu la panique. Une panique entretenue par les cabinets de conseils qui font planner le spectre de la sanction de 4 % du chiffre d’affaires mondial de l’entreprise en cas d’infractions.
Pour ma part, cette période restera comme une des plus exaltantes de ma vie professionnelle. A l’époque, à la direction juridique d’une entreprise du CAC 40, je propose d’assurer en plus de mes fonctions celle de pré-DPO pour le Groupe. Dans l’exercice de cette mission, je vais accompagner la mise en conformité de six pays plutôt hétérogènes.
Ils sont nombreux les consultants et les avocats à proposer leur assistance à la mise en conformité. Mais qu’il est difficile de mettre en œuvre la conformité, alors que les décrets d’application les plus importants du Règlement ne sont pas parus. Les lignes directrices du groupe de travail “Working Party 29” les plus attendues et notamment celles relatives au consentement ne paraîtront qu’en février 2019, soit trois mois avant l’entrée en application du Règlement.
Il faut donc être patient, résister à la pression et aux Cassandres qui répètent inlassablement « il est trop tard », « on ne sera jamais prêt ». Il faut être pratique et pragmatique, avec un avantage important durant cette période : le management est à l’écoute de la problématique « protection des données ».
Avant le règlement et l’accélération du Big Data, seules les entreprises de technologies « acteurs de la donnée », les établissements financiers, les assureurs et les opérateurs télécoms soumises à régulations spécifiques se sentaient concernées par la « protection des données ». Les autres traitaient le sujet avec des considérations administratives en nommant dans le meilleur des cas un correspondant informatique et liberté (CIL). D’ailleurs, pour être tout à fait honnête, quand je manifeste mon intérêt pour le poste de DPO France et Groupe, les concurrents ne se bousculent pas…
Chapitre 2 — 25 mai 2018, LE GRAND JOUR
Nous y sommes, il faut être beau pour la photo,
Ca y est, l’organisation a mis son plus beau costume, les Questions/Réponses sont préparées et relues avec attention par une dizaine de personnes…
Après une vingtaine de comités de pilotage, nous arrivons à la date fatidique.
Comme pour le passage à l’an 2000 ou le passage à l’euro, c’est l’effervescence, la peur du « BUG ».
La communication est soignée, même si tout n’est pas parfait :
- La Dynamique a été enclenchée
- Une abondante documentation a été produite
- Les mentions légales ont été modifiées
- Les sites toilettés
- Des référents ont été désignés
- Un et/ou des DPO a(ont) été désigné(s) ou le seront prochainement
- La gouvernance est en place.
Il ne faut pas trop gratter, comme dans toute construction bâtie rapidement, il les finitions restent à finaliser et il faut éviter que les peintures ne craquent ou ne se fissurent …
Chapitre 3 — 25 mai 2019 — UN AN APRES
Le spleen du DPO, lendemains difficiles, l’attention du management n’est plus la même
Comme pour le passage à l’an 2000 ou le passage à l’euro, c’était l’effervescence, la peur du « BUG ».
Comme pour le passage à l’an 2000 ou le passage à l’euro, pas de « BUG » et les mois qui suivent voient l’effervescence se dissiper.
L’attention du management n’est plus la même, d’autres préoccupations ont remplacé le RGPD. Les process et la gouvernance sont difficiles à mettre en œuvre, les ressources mobilisées sont affectés à d’autres missions et le DPO qui avait accepté le poste en pensant devenir une « personne clé » se retrouve la « cinquième roue » du carrosse.
Pas facile, car avec la formalisation des registres et des procédures, tout est désormais écrit et tracé, le DPO devra rendre compte et sensibiliser le responsable de traitement à la bonne exécution, c’est l’ « accountability »,
Organisation et Gouvernance
Le registre des traitements doit être maintenu à jour, ainsi que celui des incidents de sécurité, les PIA doivent être réalisés et les conclusions rédigés avec attention …
Chapitre 4 — Et au-delà …
Jack Dorsey, Mark Zuckerberg et Tim Cook, les nouveaux apôtres du RGPD
Même si la posture doit être transformée en actions, les messages de Mark Zuckerberg, Jack Dorsey et Tim Cook ne doivent pas être sous estimées.
Alors que nous nous préparons à célébrer le 1er anniversaire du RGPD, la tribune que vient de publier Mark Zuckerberg dans quatre quotidiens internationaux surprend. Cette tribune surprend, car en 2017, il appelait à construire autour de Facebook une « communauté globale », Facebook allait : publier les nouveaux standards et fournir aux citoyens du monde des instruments de décisions collectives.
Deux ans plus tard, Mark Zuckerberg admet que Facebook ne peut pas faire « face seul ». Après Cambridge Analytica et plus récemment la tuerie de Christchurch en Nouvelle Zélande, et de manière générale l’accélération de la propagation de contenus violents et haineux sur les réseaux sociaux (plus de 10 % des messages), il en appelle aux gouvernements et aux pouvoirs publics :
“Les décideurs publics me disent souvent que nous avons trop de pouvoir en matière d’expression, et franchement, je suis d’accord. J’en viens à croire que nous ne devrions pas prendre de telles décisions tout seuls.”
Dans sa tribune, il détaille “quatre idées pour réguler Internet”. Elles concernent les contenus violents et haineux, l’intégrité des élections, la protection de la vie privée et la portabilité des données , je vous invite à la lire en intégralité ainsi que deux articles complémentaires l’un écrit par Gaspard Koenig, intitulé « Quand Zuckerberg redécouvre le contrat social » et l’autre paru dans Maddyness « Cédric O sur la même longueur d’ondes que Mark Zuckerberg ».
Pour conclure, rien de mieux que les derniers mots de Mark Zuckerberg :
« Les règles régissant Internet ont permis à une génération d’entrepreneurs de créer des services, qui ont changé le monde et créé beaucoup de valeur dans la vie des gens. Il est temps d’actualiser ces règles afin de définir clairement les responsabilités les personnes, des entreprises et des gouvernements. »
Verbatim :
“ Tous les jours, nous devons prendre des décisions pour déterminer quel discours est dangereux, ce qui constitue de la publicité politique ou encore comment prévenir des cyber-attaques complexes.
« Faire évoluer la régulation d’Internet nous permettra de préserver ce qu’Internet a de meilleur »
« Nous travaillons aussi avec les gouvernements, et notamment avec les pouvoirs publics français dans le cadre d’un groupe de travail commun, afin de garantir que nos dispositifs de modération des contenus soient efficaces. »
« Une idée pourrait être de confier à des organismes tiers le soin de définir des standards sur la diffusion des contenus violents et haineux, et d’évaluer les entreprises sur la base de ces standards.
« Seuls les gouvernements peuvent créer des sanctions qui découragent les interférences »
« Nous avons besoin de clarté sur la manière dont les données peuvent être utilisées pour servir l’intérêt général »
Cette contribution a été diffusée sur le site du Village de la Justice, le 9 mai pour la Journée de l’Europe, qui célèbre la paix et l’unité en Europe.
Le 9 mai 1950, sur proposition de Jean Monnet, Robert Schuman, ministre des Affaires étrangères français, faisait une déclaration historique dans le salon de l’Horloge du Quai d’Orsay : il appellait à la mise en commun sous une autorité internationale des productions française et allemande de charbon et d’acier.
La Journée de l’Europe est célébrée chaque année le 9 mai dans tous les pays européens pour rendre hommage à ce moment fondateur que fut le 9 mai 1950.