Interview RGPD : Maylis Durand, DPO chez Fidens, nous parle des 5 ans du RGPD et de la suite

Dès l’annonce de sa publication en 2016 et plus encore à la veille de son entrée en application en 2018, le RGPD (Règlement Général sur la Protection des Données) était annoncé comme un big bang pour les organismes en matière de protection des données personnelles. Alors encore floues et obscures pour la plupart des gens, mais souvent inquiétantes du fait de l’augmentation des montants des sanctions, les obligations étaient à ce moment mal connues du grand public. Ainsi, les premiers temps du RGPD ont donc été consacrés, pour la CNIL comme pour les professionnels à rassurer et expliquer les enjeux de la démarche. Cela fut aussi l’occasion de rappeler l’existence de la Loi informatique et Libertés de 1978, qui posait en substance les premières pierres de l’édifice de protection des données personnelles.

Le 25 mai 2023 est l’occasion de souffler les 5 bougies du RGPD et Maylis Durand, consultante en protection des données (DPO) chez Fidens depuis 2018, nous propose une rétrospective de son application et prend du recul pour imaginer son avenir dans les prochaines années.

RGPD : 5 ans après, le big bang n’a pas eu lieu

5 années de RGPD : un passage difficile de la théorie à la pratique.

La première remarque que l’on a beaucoup entendu de la part des métiers comme des directions était le manque de caractère pratique du RGPD. Comme son nom l’indiquait, il avait vocation à poser un cadre général d’utilisation des données ainsi que des obligations à respecter comme la désignation d’un DPO, la réalisation du registre des traitements, le registre des violations, les analyses d’impact et les notifications à la CNIL, pour ne citer que celles-là. En revanche, lorsque l’on veut encadrer un traitement en particulier, des directives générales sont énoncées mais pas la déclinaison pratique. Face à cette situation, les professionnels du métier de la protection des données ont pu s’appuyer sur l’existant (durée de conservation légale, processus SMSI Système de Management de la Sécurité de l’Information…), ainsi que sur les bonnes pratiques des autorités de contrôle, la doctrine et la jurisprudence qui ont été particulièrement riches tout au long de ces cinq dernières années.

Force est de constater que les DPO ont pu compter sur leur homologue RSSI dans les entités pour le volet Sécurité et Procédure de gestion des incidents, ainsi que sur les cellules juridiques pour assurer la conformité des traitements que ce soit pour remonter des problématiques RGPD, des contrats à mettre en conformité, etc.

De mon expérience, les entités privées de grandes tailles sont celles qui ont un état de maturité le plus avancé, par opposition à des TPE et PME mais aussi à des entités publiques ou certaines associations.

On constate que globalement la protection des données a infusé auprès des collaborateurs tant dans leur sphère privée, en tant que consommateur ou utilisateur de service, que dans leur sphère professionnelle en faisant respecter eux-mêmes ces obligations et droits. L’ensemble des secteurs a joué le jeu. Certains avec plus de difficultés que d’autre, on pense notamment aux Centres Hospitaliers qui ont dû se mettre en conformité à marche forcée entre subvention, doctrine étatique et cyberattaques ou au secteur de l’Adtech qui est celui qui a eu le plus de mal à mettre en cohérence les obligations de protection des données avec leur cœur de métier. Pour exemple, voir l’explication du point de vue de la société Fidzup, décrit dans l’article des Echos «Fidzup tire le rideau et accuse la CNIL de l’avoir tué » du 06/02/2020, à confronter évidemment avec celui de la CNIL.

Ainsi, dans la majorité des cas, ces années ont conduit à une prise de conscience de la nécessité de protéger les données à caractère personnel, sans pour autant que l’on puisse dire, cinq ans après, que l’ensemble du travail a été fait.

5 années de pédagogie et de jurisprudence pour la CNIL

La CNIL a confirmé son rôle d’autorité de contrôle et d’accompagnement à l’occasion du déploiement du RGPD, rôle qu’elle avait déjà endossé avec la Loi Informatique et Libertés de 1978.

Accompagnement à la mise en conformité

Elle s’est placée une nouvelle fois en précurseur sur le sujet de la protection des données personnelles par la publication de nombreux articles et de webinaires afin de traduire les textes de façon pratique sur son site internet. Non seulement elle est intervenue sur différent secteurs, technologies et thématiques afin de couvrir au mieux les besoins de la société, mais elle a aussi accompagné certaines entités sur des mises en conformité de traitement que ce soit l’ordre des médecins, les associations ou des entités ayant postulées à ce tutorat. La permanence CNIL a été d’un certain soutien lors d’interrogation des DPO.

Autorité de contrôle

Sur le volet des contrôles, elle fait preuve de rigueur sans répression excessive. Pour preuve de sa rigueur juridique sans excès, elle a émis 35 sanctions, dont seulement 2% ont été retoqué par le CEPD (Comité Européen de la Protection des Données). A l’inverse de la CNIL irlandaise qui a vu 80% de ses 25 sanctions revu par le CEPD. Ces décisions ne sont pas toutes publiques mais l’argumentaire permet de comprendre les reproches faits à l’entité et d’en déduire certaines pratiques attendues. Aidé sur le volet de la cybersécurité par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), elle se pose en spécialiste de la protection des données au niveau national.

Application proportionnée

Cette position a permis aux professionnels de la protection des données de rassurer les organismes français sur le caractère rationnel et pondéré des sanctions tout en maintenant une certaine tension pour rester mobilisé sur l’objectif de mise en conformité. La CNIL avait laissé un délai de 2 ans de tolérance, 3 pour les PIA dont le traitement avait fait l’objet d’une déclaration préalable sous l’ancien régime. Aujourd’hui, le renforcement du volet répressif est annoncé avec le renforcement des équipes ainsi qu’en parallèle la mise en place de procédures simplifiées de contrôle.

Extension du champ d’intervention de la CNIL

La CNIL s’approprie légitimement le sujet de l’intelligence artificielle en ce que cette technologie suppose un important volume de données, dont certaines personnelles. La CNIL, de par son laboratoire de recherche LINC, s’est saisi du sujet très tôt, pour exemple cet article datant de 2016 « Sans données, le futur de l’IA restera artificiel » rédigé par Anuchika Stanislaus et que l’on retrouve dans le dossier Intelligence artificielle | LINC (cnil.fr). Le Conseil d’Etat lui a officiellement reconnu cette compétence dans une étude publiée le 30 août 2022, il « recommande que la CNIL devienne l’autorité nationale de contrôle des systèmes d’IA au titre du règlement » (source).

Au niveau européen, la CNIL intervient aussi dans le Comité européen de protection des données (CEPD) avec les autres autorités de contrôle. Elles se prononcent sur les différentes règlementations en cours de négociation au Parlement européen, par exemple : Stratégie européenne pour la donnée : la CNIL et ses homologues se prononcent sur le Data Governance Act et le Data Act | CNIL. De cet article est extrait l’infographie suivante, publiée le 13 juillet 2022, qui met en lumière le rôle de la CNIL dans l’environnement de protection des données national, européen et mondial.

En somme, la CNIL a su conforter son rôle de spécialiste des données à caractère personnel grâce au RGPD et anticiper des besoins stratégiques tels que celui de l’intelligence artificielle.

Quel avenir pour la protection des données et le RGPD ?

A la suite du constat précédent d’une application disparate de la protection des données dans les organismes, le premier axe à poursuivre est celui de cette mise en conformité globale des entités.

A côté de cela, on assiste à un élargissement du spectre règlementaire de sécurité et de protection des données au niveau européen avec des règlements généraux et sectoriels.

Continuité de l’effort de déploiement de la protection des données

Le RGPD en 2018 venait en partie réaffirmer les principes de la Loi informatique et libertés, la compléter et enfin augmenter les sanctions.

En qualité de consultante en protection des données, je constate dans ma pratique qu’un très petit nombre d’entités n’en sont aujourd’hui qu’au stade de l’initiation du projet, voire de la découverte totale du sujet. La plupart au contraire, connaissent déjà les grands axes et ont besoin d’un accompagnement sur des thématiques complexes et particulières ou ont besoin de faire vivre leur SMPD, Système de Management de la Protection des Données, le pendant de l’outil SMSI pour la cybersécurité, avec  des prestations de DPO externalisé ou de mise à jour de livrable.

Lors des premières années de pratique, le gros du travail a été de vulgariser et de mobiliser les équipes internes sur les exigences attendues et les raisons de cette action. Cela a supposé la construction des documents alimentant le SMPD, le DPO a ainsi pu s’appuyer sur certains existants et compter sur le soutien du RSSI dans l’exercice pour le volet sécurité. Chez Fidens, nous avons capitalisé sur la double expertise de nos équipes pour créer des documents communs plutôt que de créer des doublons.

On a beaucoup dit du DPO qu’il est un mouton à cinq pattes. En effet, cette double expertise, voire plus, entre le droit de la protection des données personnelles, les techniques de sécurisation et la gestion de projet, pour ne citer que ceux-là, font que la bonne personne est extrêmement difficile à trouver. Cette fonction créée par le RGPD est riche et passionnante et devrait encore perdurer longtemps. Non seulement, il reste des organismes à accompagner tant dans la structuration du projet que dans la vie courante du SMPD, mais ma conviction est que le DPO devrait monter en compétence conjointement avec la CNIL pour devenir le référent interne sur le sujet de l’intelligence artificielle vu sous l’angle de protection de la vie privée. Cette activité comprenant certaines analyses éthiques et vérifications quant aux éventuels biais impliqués, les failles intrinsèques à certains types d’IA, etc.

Enfin, à la croisée des compétences, le DPO est un acteur qui soutient et challenge le RSSI, or on sait combien ces profils sont manquants par rapport au besoin sociétal en particulier dans le contexte actuel de cyberattaques.

En somme, il convient pour l’ensemble des entités de continuer à maintenir l’effort de protection des données, et pour les dernières qui découvrent le sujet d’accélérer cette prise de conscience.

Vers un élargissement du spectre d’intervention du législateur européen touchant à la protection des données

A la suite de la publication du RGPD, qui est une règlementation sectorielle de protection des données personnelles, le législateur européen a construit un arsenal de normes générales et spécifiques, dont certaines sont en cours de négociation et d’autres viennent d’être publiées.

On pense en particulier au Paquet sur les services numériques et sur les marchés numériques (DSA, DMA, DGA, Data Act) dont l’objectif affiché est de créer un espace numérique plus sûr dans lequel les droits fondamentaux des utilisateurs seront protégés et à créer des conditions de concurrence équitables pour les entreprises.

Intelligence artificielle

La règlementation sur l’intelligence artificielle touche de près le sujet des données personnelles. Au niveau européen, deux règlements sont en cours de négociation l’un sur les interdictions et utilisation de l’IA (RIA), et l’autre visant à encadrer le régime de responsabilité civile extracontractuelle.

Certains secteurs font l’objet d’une particulière attention, c’est le cas notamment du secteur bancaire, de la santé et de la sécurité informatique.

Bancaire

En effet, certaines technologies appliquées au secteur bancaire ont fait l’objet d’un encadrement particulier à l’instar de la Blockchain dont le règlement est d’ores et déjà applicable, et le règlement sur le marché des cryptoactifs (MICA). De façon plus générale, le législateur européen augmente son niveau d’attente en matière de sécurité pour les banques avec les diverses DSP (1, 2 et peut-être 3) ainsi que la DORA applicable en janvier 2025 qui vise à améliorer leur résilience.

Santé

Le législateur européen en 2017 avait encadré les dispositifs médicaux, avec une application du régime à partir de mars 2020. Le secteur est particulièrement concerné par le règlement sur la protection des données personnelles puisque les données de santé sont considérées comme des données sensibles. Ce régime impose une sécurisation maximale et une justification particulière du traitement tant pour la dérogation de principe d’interdiction de traitement que l’implication de réalisation de PIA. De plus, il est aussi le secteur dans lequel l’IA s’est le plus vite développé.

Sécurité informatique

La cybersécurité elle-même fait l’objet de règlementation européenne. D’abord, au travers des normes sectorielles précédemment citées, mais à titre principal aussi. On peut citer les NIS 1 et 2. L’ANSSI met en place une vulgarisation de la norme afin d’accompagner les entités à leur mise en conformité à la NIS2, il est notamment possible de retrouver sur leur site le support de présentation du webinaire.

Le Cybersecurity Act a été adopté par le Parlement européen le 12 mars 2019 puis par le Conseil de l’Union européenne le 7 juin, il marque une véritable avancée pour l’autonomie stratégique européenne en poursuivant le double objectif d’’adoption du mandat permanent de l’ENISA, l’Agence européenne pour la cybersécurité, et la définition d’un cadre européen de certification de cybersécurité, essentiel pour renforcer la sécurité du marché unique numérique européen.

Cette démonstration vise à mettre en lumière que le RGPD n’est pas une initiative isolée du Parlement, au contraire, il s’inscrit dans un processus global de sécurisation des données, de renforcement des mesures pour lutter contre la cybercriminalité et d’augmentation les droits des citoyens européens. Une forte insistance est d’ailleurs faite sur la capacité du DPO à réaliser une veille juridique constante, propre à entretenir ses connaissances de l’impact de ces normes sur l’activité de l’entreprise en termes de protection des données : il s’agit à mon sens d’une preuve supplémentaire, et finale, que le RGPD comme le DPO ont encore un bel avenir devant eux.