RGPD : pourquoi beaucoup d’entreprises ne seront pas au rendez-vous

RGPD : pourquoi beaucoup d’entreprises ne seront pas au rendez-vous

5
0
SHARE

Toutes les entreprises n’abordent pas le 25 mai avec la même appréhension. Il y a d’abord celles pour qui le RGPD, le règlement général sur la protection des données personnelles, n’aura pas d’incidence sur leurs traitements quotidiens. En effet, les entreprises qui ne traitent pas de données personnelles ne sont pas concernées. Pour les autres, la mise en conformité est obligatoire, même si la CNIL essaie de temporiser, en rappelant que nombre de mesures du règlement européen existent déjà dans le droit français, comme le principe de finalité de la collecte des données. A l’ère du numérique, des entreprises annoncent avoir pris conscience de  l’aspect stratégique que revêt le traitement des données , et ont anticipé la date du 25 mai.  L’AP-HP , Airbnb et d’autres se servent même de la conformité au RGPD comme d’un élément marketing pour attester de leurs bonnes pratiques auprès de leurs clients.

Toutes conformes ? La réalité serait plus complexe. « La prise de conscience n’est pas encore actée partout », avoue la CPME. La Confédération des petites et moyennes entreprises va jusqu’à parler d’une situation de panique dans certaines entreprises… Des PME prises de court par l’échéance, mais aussi des grandes entreprises. « Si une majorité de ces dernières seront sans doute conformes sur des critères très précis comme la présence du délégué à la protection des données (DPO) ou la mise ne place d’un registre des traitements, très peu le seront sur le droit à l’oubli ou le droit à la portabilité des données », note Elias Baltassis, directeur au Boston Consulting Group (BCG). Il souligne que des données collectées par le passé ont pu être utilisées à travers de nombreux usages internes – un test marketing par exemple – et qu’il est extrêmement difficile de certifier à un client avoir supprimé l’intégralité de ses données du système informatique. « Le RGPD oblige les entreprises à un important travail de localisation de toutes leurs données », précise Jérôme Siméon, CEO de Capgemini Application Services France.

La CNIL, reconnaissant aisément qu’un grand nombre d’entreprises ne seront pas prêtes d’ici dix jours, met à disposition une multitude d’outils d’aide à la mise en conformité : des guides, un registre type simplifié pour faciliter le recensement des traitements et une liste de prestataires fiables. La CPME, le Medef ou encore  bpifrance offrent aussi des éclairages sur des points précis , comme la gestion de la responsabilité avec les sous-traitants. De son côté, l’Association française des correspondants à la protection des données à caractère personnel (AFCDP) a établi  une charte de déontologie de DPO . « Cette charte fournit un cadre pour structurer les relations entre le DPO et son employeur », explique le président de l’association, Paul-Olivier Gibert. Tous les acteurs institutionnels, du secrétariat d’Etat au Numérique à la CNIL en passant par bpifrance,  tentent de calmer les craintes« Le RGPD sera extraordinairement protecteur de vos clients et porteur pour votre business », affirme Nicolas Dufourcq, directeur général de la banque publique. Toutefois, cette vision ne semble pas être partagée par tous.

Face aux exigences de cette nouvelle réglementation, Facebook a décidé d’y soustraire 1,5 milliard de ses utilisateurs. Jusqu’à présent, lorsque l’un d’entre eux résidant en Afrique, en Asie ou en Amérique latine acceptait les conditions générales, il contractait un accord avec le siège de Dublin. Désormais, ce sera avec celui de Menlo, en Californie, afin de bénéficier d’une législation moins contraignante que le RGPD.LinkedIn a engagé un mouvement similaire. De son côté, l’entreprise Coca-Cola aurait fait passer l’ordre à ses filiales de fermer les sites de marques générant moins de 10.000 visiteurs uniques mensuels. L’enjeu est de pouvoir concentrer les ressources juridiques et techniques sur la mise en conformité des sites plus importants. Des stratégies qui entrent en dissonance avec le discours rassurant porté par les voix officielles.

Le RGPD entraverait-il la compétitivité de l’économie européenne ? Elias Baltassis du BCG s’interroge. Appliquer un traitement différent entre les données des clients européens et les autres a un prix : « Cela revient à scinder le système informatique en deux », précise-t-il, avant d’ajouter : « Seule une minorité d’entreprises dont la clientèle ne comprend qu’une petite partie de citoyens européens font le choix de ne pas se mettre en conformité, arguant que le coût serait plus important qu’une éventuelle amende. » Selon l’expert, une banque américaine a préféré vendre sa clientèle européenne – qui ne représentait que 4 % de son chiffre d’affaires mondial – plutôt que de  se conformer au RGPD . Et elle n’est pas la seule sur cette voie. D’autres entreprises américaines, plus petites mais très digitalisées comme Drawbridge, une solution d’identification d’utilisateurs via différents appareils, ont également fait le choix de cesser leur activité en Europe.

A la Une – Les Echos Business

LEAVE A REPLY