GDPR : nouveau bug de l’an 2000, menace ou opportunité pour les entreprises françaises ?
Pour y voir plus clair dans le nouveau règlement européen sur la protection des données privées, l’avocat spécialisé François-Pierre LANI explique les points clefs à comprendre et à mettre en œuvre. Cette quatrième partie revient sur son champ d’application réel.
François-Pierre LANI est avocat associé au sein du cabinet Derriennic Associés. Il est spécialiste en droit de l’informatique et des technologies nouvelles.
Cet article est le cinquième et dernier de cette série consacrée au RGPD. Le premier a abordé les trois piliers du RGPD que sont l’« Accountability », la coresponsabilité et le « Privacy by Design ». Le deuxième a précisé quelles données et quelles entreprises sont concernées par le RGPD. Le troisième s’est penché sur les outils que l'on peut d'ores et déjà commencer à mettre en place pour atteindre la conformité. Et le quatrième est revenu sur les différentes étapes d’un projet de mise en conformité pour la DSI.
On sent que vous considérez le RGDP comme quelque chose de très positif sur de nombreux plans.
Oui, cela va dans le bon sens. Et attention, ceux qui ne le feront pas, seront perdus !
Je l’ai dit à des clients spécialisés dans la construction et l’hébergement de plateforme Internet. Si demain ils n’ont pas les mesures de sécurité qui permettent de répondre à ces fameuses listes de sécurisation des données, ils sont morts, tout simplement. Ils n’auront plus aucun marché, qu’il s’agisse de petites sociétés ou de grands groupes.
D’ailleurs les petits peuvent tirer leur épingle du jeu grâce au RGPD. A titre d’exemple, un fonds de formation des professions libérales a lancé un appel d’offres auquel des petites sociétés ont répondu, dont une - notre client (env. 30 personnes) – deux fois plus cher que d’autres « gros » concurrents.
Il a quand même remporté le marché car il a répondu positivement à toutes les exigences du questionnaire de sécurité. Ce que n’ont pas été capables de faire les autres qui n’avaient pas anticipé cette problématique.
Ainsi, une mise en conformité bien anticipée n’est pas discriminante en termes d’investissements et les raisons de vos prix affichés s’expliqueront par votre choix de sécurisation et de conformité.
Donc oui je trouve cela est très positif.
Mais c'est vrai, aussi, que c'est une vraie contrainte. J’ai du mal à convaincre certains de mes clients. Les éditeurs par exemple, qui pensent que ce n’est pas leur problème - que c’est au client, et éventuellement à celui qui héberge les solutions, de prendre toutes ces mesures.
Je suis donc dans l’obligation de les prévenir que s’ils répondent systématiquement par la négative à la question de savoir si leur logiciel prévoit telle sécurité ou tel système de protection, ils n’auront plus de clients.
Lors de tables rondes, on a entendu des comparaisons avec le bug de l’an 2000. En gros il y aurait une bonne part de FUD autour de la RGPD pour provoquer des investissements IT...
Oui, enfin, je mettrai quand même en garde. C'est vrai qu'il y avait beaucoup de bluff pour ce bug. Mais là c'est différent.
Déjà c’est moins brutal. Beaucoup d’entreprises se focalisent sur mai 2018. Mais comme je vous l’ai expliqué, en mai 2018 il faudra juste avoir initié la démarche pour être en conformité en 2020.
Cette idée de taux de conformité me va bien. Evidemment mon objectif est d’arriver à des conformités totales. Mais il faut des vases de décantation pour passer de palier en palier. L’an 2000 était une échéance immédiate, en une seule fois, sur une seconde.
Deuxièmement, on vu a posteriori qu’il y avait eu beaucoup d’esbroufe et de tapage sur ce bug. C’est vrai qu’il y a tout autant de tapage sur la RGPD. Il y a des offres partout (des avocats, des consultants, etc.) y compris des non-spécialistes. Ceci étant il y a quelque chose de très sérieux à la clé et un passage obligé pour tout le monde. Pour le coup, il n’y a pas d’aléas.
Certains experts pensent que les entreprises françaises vont, comme souvent, composer avec la loi, l’appliquer a minima, voire ne pas l’appliquer du tout, et - par inertie - la rendre caduque. Qu’en pensez-vous ?
Effectivement, certains se disent « moi je vis non conforme depuis 1978 et ça me va très bien, je n'ai jamais eu de problème ». Mais c’est un peu comme ceux qui fraudent les impôts, et qui jouent sur le « pas vu, pas pris ». Sauf que désormais la sanction est très importante.
Je recommande donc vivement une sensibilisation et le lancement d’un audit - assez rapide - qui permettent au moins, en cas de contrôle, de dire où l’on en est aujourd’hui dans l’entreprise concernant la protection des données et de quels outils fiables de protection on dispose.
François-Pierre LANI est avocat spécialiste en droit de l’informatique et des technologies nouvelles. Il a été pendant plus de dix ans juriste et directeur juridique au sein de différentes directions juridiques dont celles d’AXA, de SLIGOS (ATOS) et du groupe ELF AQUITAINE. Ces expériences ainsi que celle de « business development manager » pendant 3 ans lui permettent aujourd'hui d'accompagner les dirigeants dans leurs différentes décisions.