Le Règlement général sur la protection des données, plus fréquemment appelé par son acronyme RGPD, est entré en vigueur le 25 mai 2018. Visant à protéger les droits numériques des individus, il a causé dans les services informatiques des entreprises un bouleversement similaire à celui du passage à l’an 2000.

Mais maintenant que la date fatidique est passée, que va-t-il se passer ? Le RGPD est-il de l’histoire ancienne ? Et si ce n’est pas le cas, quelles sont les prochaines étapes ?

GDPR has come

Pour répondre à ces questions, je vais aborder trois des principaux mythes à propos du RGPD. Attention, spoiler : le RGPD n’est pas mort !

Le sujet du RGPD a été traité en mai dernier

Nuxeo et l’AIIM ont récemment publié un rapport, GDPR After the Deadline, mettant en évidence que 39 % des organisations ont œuvré à la conformité avec le RGPD uniquement parce qu’elles le devaient sur le plan juridique. Mais même si la date fatidique d’entrée en vigueur du RGPD est passée, il n’est pas question pour les organisations de relâcher leurs efforts en matière de confidentialité des données.

La conformité au RGPD est un processus continu, pas un projet ponctuel. En réalité, étant donné que seulement 30 % des organisations ont déclaré être parfaitement conformes le 25 mai, il semblerait qu’il reste du chemin à parcourir pour un grand nombre d’entre elles.

En outre, le rapport souligne que les entreprises s’attendent à recevoir en moyenne 60 demandes d’accès aux informations personnelles (SAR) dans les 12 mois suivant l’entrée en vigueur du RGPD. Cela signifie que les nouvelles procédures vont rapidement être testées. Cependant, le fait que ces mêmes entreprises estiment le coût de chaque demande à environ 4 600 € laisse penser que ces nouvelles procédures ne sont peut-être pas aussi rationalisées qu’elles le pourraient.

Le RGPD ne fait peut-être plus autant débat qu’à ses débuts, mais avec le temps, de plus en plus d’organisations se retrouvent confrontées à leurs propres limites. Le RGPD doit continuer à être une priorité du point de vue de la sécurité et du contrôle des données.

Le RGPD ne concerne que l’Europe

Le RGPD étant né en Europe, de nombreuses organisations basées hors de l’UE pensent qu’elles ne sont pas sujettes au règlement. C’est faux. Le RGPD s’applique à toute organisation détenant des informations sur des citoyens basés dans l’UE ou faisant des affaires avec des organisations européennes. C’est à dire, à la grande majorité des entreprises.

GDPR Europe

Cependant, et de manière quelque peu ironique, le budget moyen pour les projets de RGPD était 60 % supérieur aux États-Unis qu’en Europe continentale, à 4,7 millions d’euros contre 2,8 millions d’euros. Le Royaume-Uni faisait figure d’exception, avec une dépense moyenne estimée à 4,4 millions d’euros.

Cela ne signifie pas que les entreprises européennes ont pris le RGPD à la légère, mais plutôt qu’elles étaient sans doute plus avancées en matière de procédures de gestion de l’information et des données personnelles. Seul le temps pourra nous donner une idée de l’impact global du RGPD sur les organisations européennes. Aux États-Unis cependant, il semblerait qu’il ne s’agisse que de la partie émergée de l’iceberg.

En effet, selon Don Elledge de Forbes, « En 2017, au moins 42 États américains ont déposé 240 projets de loi et résolutions liés à la cybersécurité, soit deux fois plus que l’année précédente. » Ceux-ci ne semblent pas directement liés au RGPD, mais plutôt formulés en réponse aux différentes fuites de données (Equifax, Uber, etc.) qui ont fait de la protection des données un sujet sensible aux États-Unis. Ces violations ne montrant aucun signe de diminution en 2018, il faut s’attendre à une multiplication des lois sur le plan local (ce que le RGPD essaye pourtant d’éviter, tout du moins en Europe).

Le RGPD est sous contrôle

Comme je l’ai évoqué précédemment, environ 30 % des entreprises s’estimaient parfaitement conformes lors de l’entrée en vigueur du RGPD. 50 % de plus estimaient ne pas en être loin. Des valeurs positives, mais qui peuvent être légèrement trompeuses.

Au risque de me répéter, le RGPD n’est pas une solution ponctuelle, c’est un projet sur la durée. Même si elle est parfaitement conforme aujourd’hui, une organisation devra continuer ses efforts dans la durée pour le rester. Et pour toutes les autres, plusieurs problèmes doivent encore être résolus, notamment en matière de contrôle des données contenues dans les :

  • Disques partagés (34,5 %)
  • E-mail (28 %)
  • Applications Saas tierces (30 %)

GDPR data control

Le rapport évoque d’autres points faibles du côté des organisations : mise à disposition de données lisibles par les machines, réponse aux objections de traitement et du droit à l’oubli.

Ce dernier point est particulièrement intéressant. La Harvard Law Review de 1890 introduit la phrase « le droit d’être laissé en paix ». En quelque sorte une version pré-digitale du droit à l’oubli actuel. Il semblerait que presque 130 années plus tard, ce concept ne soit toujours pas si facile à mettre en place. Espérons que nous ne parlerons plus de RGPD (et de défauts de conformité) dans 130 ans !