Memoire Online - RGPD contrainte légale ou opportunité pour les entreprises ?


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	1

Professeur Associé au département Homme, Organisations et Société Docteur en économie, Université de Bourgogne

Chargé de mission, appui au pilotage, Laboratoire de sciences humaines et sociales Pacte


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	2

En préambule de ce mémoire, je tiens à exprimer mes sincères remerciements à toutes les personnes qui ont joué un rôle ou apporté leur contribution à sa réalisation.

Je pense en premier lieu à mes filles, que j'ai dû quelque peu négliger pendant ma formation et lors de la rédaction de ce mémoire, ainsi qu'à mon épouse, qui m'a soutenu et qui a trop souvent dû assumer seule l'intendance.

Ensuite, je remercie bien sûr les interlocuteurs qui ont acceptés d'apporter leurs témoignages et m'ont permis d'enrichir ce mémoire de leurs expériences, Mme Céline Ambroise-Thomas d'AIRRIA, M. Alexis Dupic d'OPTIMEX Data, M. Romain Ivoy d'EVOS Infogérance, M. Guillaume Pourquié de GEM, M. Stéphane Bergerat de CINETIC IT et M. Cyril Bras de Grenoble Alpes Métropole.

Je dois également remercier mon employeur, M. Éric Véronèse dirigeant de SYDEV, qui n'apparait pas dans ce mémoire, mais qui m'a proposé des conditions de travail propices à sa réalisation et autorisé à présenter le cas de son entreprise lors de ma soutenance.

Je remercie bien entendu mon tuteur, M. Thierry Bontems, pour son soutient, ses conseils et sa bienveillance, ainsi que sa collègue, Mme Anne-Marie Benoit du laboratoire Pacte, qui a eu l'amabilité de m'aider à affiner ma problématique et mon plan.

Mes camarades de classe ont eux-aussi joué un rôle important, grâce à la cohésion que nous avons pu établir et à nos échanges sur l'avancement de nos travaux respectifs. Je pense en particulier à Laure Smail qui, en dépit de sa propre charge de travail, n'a pas hésité à m'apporter son aide précieuse pour structurer certaines de mes idées.

Enfin, je terminerai en remerciant Grenoble Ecole de Management et ses équipes pédagogiques, pour m'avoir admis au sein du cursus Business Manager et pour la qualité des enseignements qui m'ont été dispensés.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	3

Le RGPD : Un nouvelle réglementation européenne applicable au 25 mai 2018 16


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	4

INTRODUCTION

En engageant une réflexion sur la réalisation d'un mémoire visant à clôturer la formation « Responsable Opérationnel d'Unité » à Grenoble Ecole de Management, il apparaissait évident que son sujet devait avoir un lien avec la carrière professionnelle et les ambitions de son auteur. Dans cette logique, la réflexion s'est rapidement orientée vers un thème relatif au digital, lié aux logiciels de gestion, à la sécurité ou aux bases de données.

Après différentes recherches et lectures peu inspirantes, quand il s'agissait d'en dégager un sujet et surtout une problématique suffisamment intéressante pour entreprendre la rédaction d'un mémoire, c'est la rencontre avec un professeur de l'école, Thierry Bontems, dans le cadre de ses cours sur la gestion des risques et les systèmes d'information, mais aussi et surtout l'actualité, qui ont permis de mettre en exergue le sujet qui sera étudié dans le cadre de ce mémoire : Le Règlement Général sur la Protection des Données.

L'actualité des plus abondante autour du RGPD, peut-être un peu trop d'ailleurs, rendait le choix de ce sujet incontournable. Il devenait une évidence, répondant à l'ensemble des critères qui devaient être pris en considération : cohérence avec l'expérience professionnelle, responsabilité sociétale et conscience citoyenne, impacts directs sur le monde de l'entreprise et même une portée managériale, car nous le verrons, il impacte aussi bien les cadres dirigeants que leurs équipes et concerne l'ensemble des services des organisations.

Nous nous sommes donc attachés à collecter un maximum d'information, principalement dans les médias, presse écrite, site Internet d'actualité, livres blancs, fiches thématiques, conférences ou émissions télévisées et quelques extraits d'ouvrages, car peu de littératures s'intéressaient spécifiquement à notre sujet, ou nous emmenaient pour la plupart beaucoup trop loin et réclamaient un investissement temporel dont nous ne pouvions disposer. Il aura tout de même fallu s'intéresser au numérique en général et nous plonger dans l'évolution des technologies de l'information, en nous appuyant notamment sur les ressources académiques fournies par l'école.

Les médias proposaient de nombreuses informations et références dans lesquelles nous avons largement pu puiser, mais qui auront nécessité une sélection. Comme nous l'indiquions, les sujets relatifs aux numériques ont fait, et feront encore, couler beaucoup d'encre. Suivant le fil de l'actualité, nous avons dû écarter de nombreuses lectures, qui se révélaient redondantes ou n'apportaient pas grand-chose de plus sur le sujet que nous souhaitions traiter et illustrer. Mais nous avons aussi pu identifier des auteurs ou intervenants plus pertinents, sur lesquels nous avons engagé des recherches plus ciblées, au travers de leurs publications, interviews ou conférences.

L'une des principales difficultés résidait dans le fait que tout le monde évoquait, ou plutôt « surfait », sur le thème du RGPD, avec des approches qui se voulaient pédagogiques, mais dont la vocation se révélaient rapidement purement commerciale.

Nombre d'entreprises du secteur numérique ont ainsi édité des livres blancs, qui étaient davantage destinés à promouvoir leurs services, notamment en matière de prestations


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	5

informatiques ou d'audit de sécurité des systèmes, avec beaucoup plus de bruit que de solutions concrètes.

La lecture du règlement lui-même a été entamée, mais rapidement abandonnée. Car au-delà de sa complexité, nous recherchions des éléments plus synthétiques et l'objet de notre démarche ne consistait pas à en faire la transcription détaillée ou à mener une analyse juridique. Laquelle aurait nécessité une expertise qui n'est pas la nôtre et qui nous aurait écarté la finalité de notre démarche.

C'est avant tout la dimension sociétale du RGPD qui retenait notre attention et ce que ce règlement allait réellement apporter aux citoyens européens. Le nouveau règlement permettrait-il d'endiguer les dérives liées à la collecte massive des données personnelles des utilisateurs du numérique ? Nous partions sur cette piste, après avoir envisagées, puis finalement écartées, celles liées aux impacts du RGPD sur les entreprises, qui nous semblaient initialement trop évidentes.

Le temps consacré aux recherches et à l'actualité autour du RGPD, ainsi que sur les notions de responsabilité sociétale, ou encore d'éducation des utilisateurs, fut assez conséquent, avec un souci constant d'alimenter un journal de lecture sur lequel nous pourrions ensuite nous appuyer pour rédiger ce mémoire.

Nous avons récolté de nombreux des témoignages intéressants et des idées ou informations susceptibles d'étayer et d'ouvrir notre sujet. Cela nous a régulièrement amené à approfondir nos recherches sur des points particuliers, auxquels nous n'avions pas forcément pensé au départ, parfois bien au-delà du sujet qui nous intéressait. Ce travail d'enquête fut assez laborieux et éprouvant, tant ce sujet se révélait protéiforme. Car le RGPD, nous amène sur de nombreux terrains, qui pourraient en eux-mêmes faire l'objet d'un mémoire. Il a fallu faire preuve de pugnacité, mais aussi accepter que nous ne pourrions pas forcément aller au fond des choses. Cette expérience fut un travail de longue haleine, mais nous aura permis d'enrichir nos connaissances et d'apprendre à structurer notre manière de travailler.

Dès le départ, il nous paraissait indispensable de mener parallèlement une enquête de terrain, en rencontrant des professionnels, impliqués ou concernés par le RGDP. Nous avons donc sollicité quelque unes de nos relations, qui n'ont pas toujours donné suite ou qui n'ont pu nous répondre.

Certains interlocuteurs n'avaient effectivement que peu de choses à dire sur le sujet, dont ils ne s'étaient pas vraiment préoccupés, ou qu'ils avaient sciemment décidé de laisser de côté pour le moment.

D'autres, notamment dans des services informatiques et marketing, se montraient très au fait des implications du RGPD, mais ne pouvaient se permettre de nous répondre et d'être cités. L'un d'eux, adressant une clientèle de particuliers et ayant régulièrement recours à des actions marketing, avait vainement tenté de sensibiliser sa direction. Il ne pouvait officiellement déclarer ce manque d'intérêt manifeste, d'autant qu'il jugeait cette attitude particulièrement désinvolte.

Il semblait évident que la mise en place du RGPD était loin d'être une priorité pour les entreprises interrogées, petites et moyennes entreprises pour la plupart, comme le confirmait d'ailleurs les études que nous avions pu nous procurer.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	6

D'autres démarches n'ont malheureusement pu aboutir, faute d'avoir pu trouver des créneaux adaptés à nos emplois du temps respectifs

Nous sommes finalement parvenu à rencontrer plusieurs entreprises du secteur numérique pour recueillir leurs témoignages et leurs analyses, quant à l'appropriation du règlement par leurs clients et aux démarches qu'ils ont pu entreprendre.

Ensuite, nous avons décidé de démarcher des experts, intervenant dans la mise en place opérationnelle du RGPD ou dans le conseil juridique. En dépit de leur charge de travail conséquente, liée à l'échéance du 25 mai, ceux-ci ont eu l'amabilité de répondre à nos questions et de nous fournir de précieuses informations, que nous nous efforcerons de resituer dans le cadre de ce mémoire.

Après avoir explicité notre démarche et les objectifs de l'entretien, il nous a fallu préparer un guide, dont la trame devrait nécessairement être adaptée à chaque profil d'interlocuteur, mais également à son organisation et au contexte dans lequel il intervenait. Ces guides d'entretien ont été ajoutés en annexes, au début de chacune des interviews réalisées. Cet aspect terrain de nos recherches, fut évidement le plus passionnant et nous a permis d'apporter un éclairage concret à la réflexion que nous avions engagée.

Un ultime entretien informel, puisqu'il ne fait pas l'objet d'une retranscription, est intervenu in extrémis. Il mérite toutefois d'être cité, puisqu'il a remis en question la problématique vers laquelle nous pensions nous orienter. Il est à l'initiative de Thierry Bontems, qui supervise la réalisation de ce mémoire, par le biais duquel nous avons pu rencontrer Anne-Marie Benoit, juriste spécialisée en droit des données, enseignante et Ingénieur de recherche au sein du laboratoire PACTE du CNRS de Grenoble.

Cette discussion a permis de recentrer notre démarche vers la question qui nous intéresse aujourd'hui et qui s'avère finalement assez proche de celle que nous avions initialement envisagée : Le RGPD est-il une contrainte ou une opportunité pour les entreprises ?

Pour répondre à cette question, nous organiserons notre réflexion autour de trois chapitres, qui nous permettront de comprendre si le sentiment de subir une nième réglementation que nous avons perçu est effectivement justifié et en quelle mesure la portée de ce nouveau règlement ne va pas bien au-delà de sa dimension légale.

Dans un premier chapitre, nous nous intéresserons aux motivations de ce nouveau règlement, à ce qui a poussé les instances européennes à légiférer pendant 4 années pour aboutir à un nouveau texte de loi, qui devra être appliqué par l'ensemble des pays membre de l'Union.

Nous commencerons par remonter aux origines de la protection des données, plus particulièrement en France, puis en Europe. Cela nous permettra d'approfondir la notion de données personnelles et de comprendre les préoccupations qui ont conduit à vouloir les protéger. Nous poursuivrons en retraçant l'histoire des réglementations qui ont eu vocation à encadrer leur utilisation. Tout d'abord en France, avec l'introduction de la Loi Informatique et Liberté et la mise en place d'une autorité de contrôle, puis en Europe, dont les instances se sont concertées, dans une logique d'unification, pour établir des règles communes visant à faciliter, mais également à encadrer la circulation des données.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	7

Cela nous permettra de suivre les évolutions de ces législations, nationales et européennes, qui ont permis d'aboutir à une nouvelle réglementation commune, visant à mieux les harmoniser, mais surtout à protéger les données à caractère personnel des citoyens et à préserver leur vie privée.

Nous en arriverons alors au Règlement Général sur la Protection des Données proprement dit, dont nous étudierons la génèse, au sein des instances européennes, pour comprendre ce qui a insufflé cette volonté de faire évoluer les textes existants.

Nous aborderons le cadre de la réglementation, dans la manière dont elle doit être appliquée par les pays européens et selon quelles conditions elles y seront transposées. Il s'agira aussi d'identifier les organismes qui doivent s'y conformer, les intervenants concernés et les pratiques qui se voient désormais encadrées.

Cela nous amènera au contenu du RGPD et à en détailler les 9 principes clés, qui constituent ses véritables enjeux , que les organisations sont tenues d'appliquer pour être en conformité.

Il conviendra ensuite d'aborder les conditions d'exécution des traitements de données à caractère personnel et la manière dont elles peuvent être collectées, utilisées et conservées, de manière licite par les organisations.

Ces conditions d'exécution et la conformité des organisations devant être contrôlées, nous nous intéresserons au rôle des autorités de contrôle, en particulier celui de la CNIL française et à l'évolution de ses attributions par rapport à la législation précédente.

Enfin, nous ferons une parenthèse sur le « ePrivacy », un autre règlement sensé lui aussi entrer en vigueur en mai 2018.

Dans le second chapitre, nous aborderons les répercutions concrètes du RGPD sur les entreprises et autres organisations, qui devront adopter de nouvelles dispositions pour s'y conformer.

Mais nous commencerons tout d'abord, par rappeler l'importance qu'ont pris les données au sein des organisations et qu'elles sont devenues pour elles une matière première indispensable à leur fonctionnement. Nous retracerons les origines des systèmes d'information et la manière dont ils ont évolué pour traiter et exploiter les données de manière pertinente et profitable pour l'activité des entreprises. Cela nous permettra de mieux comprendre la valeur et l'ampleur que représentent aujourd'hui ces données et pourquoi les entreprises veulent elles aussi les préserver.

Nous analyserons ensuite les conséquences de la réglementation pour les entreprises, avec les différentes formes de risques qu'elle peut présenter pour leur activité et leur organisation. Ce qui nous donnera l'occasion d'aborder les moyens de maîtrise qu'elles peuvent envisager pour en limiter les impacts.

Nous poursuivrons avec la mise en oeuvre du RGPD dans les entreprises, tout d'abord au travers de la méthode préconisée par la CNIL française, ainsi que les moyens qu'elle met à disposition des organisations pour les accompagner.

Puis nous aborderons les aspects pratiques et la manière dont les organisations se sont appropriées le règlement. Ce sera notamment l'occasion de mettre à profit les témoignages recueillis auprès des structures rencontrées lors de notre enquête de terrain.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	8

Nous terminerons enfin ce chapitre, par une vision plus générale du niveau de conformité des entreprises, au travers des études publiées sur le sujet et pourrons également apprécier leur état d'esprit vis-à-vis de l'entrée en vigueur du RGPD.

Notre dernier chapitre sera consacré à une analyse qui nous permettra de répondre à la problématique que nous avons choisi d'étudier et sera logiquement le plus consistant.

Après avoir mis en évidence les contraintes que présente le RGPD, que nous aurons déduites des chapitres précédents, nous nous concentrerons sur les bénéfices que les entreprises pourraient en retirer.

Nous verrons ainsi que leur état d'esprit et la manière dont elles appréhendent leur mise en conformité joue un rôle essentiel dans leur capacité à changer cette réglementation en opportunité.

Nous pourrons constater que la manière dont elles se positionnent sur le sujet pourra directement influencer la perception de leurs clients. Ces derniers se montrent aujourd'hui plus attentifs au traitement de leurs données, en se préoccupant davantage des pratiques et de la position affichée par les entreprises auxquelles ils choisissent de faire appel. La confiance et la fidélisation deviennent ainsi d'autant plus capitales et nous démontrerons que le RGPD va pousser les entreprises à améliorer la qualité de leur relation client.

Le niveau de conformité induit par le règlement est aussi l'occasion d'adopter de bonnes pratiques, que ce soit en matière de sécurité ou de qualité des informations collectées et utilisées. Ce qui permettra par ailleurs d'assainir et de rééquilibrer le marché, en supprimant ou limitant certaines pratiques déloyales ou inappropriées.

La mise en place du RGPD au sein des organisations permet également d'améliorer la communication entre les différents services, en redynamisant les interactions et en renforçant la cohésion d'équipe, contribuant à l'efficacité des organisations.

Nous pourrons également observer que le RGPD a donné naissance à de nouveaux métiers et pousse au développement de nouveaux business model, tournés vers le respect de la vie privée des individus. Sur ce registre, ces nouvelles approches pourraient insuffler un nouvel élan à l'économie européenne et peut-être donner naissance à des challengers capables de se positionner sur la scène numérique mondiale.

Au-delà des opportunités que nous aurons mis en évidence, la seconde partie de ce chapitre sera consacrée à la portée sociétale du RGPD, car c'est avant tout pour protéger les citoyens et leur mode de vie que le règlement a été conçu.

Nous reviendrons d'abord sur la transformation digitale et les multiples dérives qu'elle a pu occasionner, qui conduisent aujourd'hui les société à s'interroger.

Nous nous intéresserons aux spécificités culturelles de nos sociétés, dans leur manière d'appréhender le monde numérique et plus particulièrement dans la différence d'approche entre l'Europe et les Etats Unis.

Mais nous verrons ensuite qu'une prise de conscience est aussi à l'origine du RGPD, que les individus commencent à se mobiliser et que nous observons que nous avons à faire à une véritable remise en questions de notre modèle sociétal.

Nous clôturerons ce chapitre et notre mémoire en nous intéressant aux moyens mis en oeuvre pour aborder les nouveaux enjeux de ce monde digitalisé.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	9

Nous constaterons que le RGPD a une portée extraterritoriale et pas uniquement dans son pouvoir de sanction, mais dans la responsabilisation des sociétés, y compris celles qui ont conduit à l'élaboration de ce règlement.

Nous comprendrons que nous ne pouvons laisser la machine s'emballer, même si certaines innovations nous facilitent la vie. Que le numérique est un monde à part entière, sur lequel se joue des batailles et qu'il nécessite les mêmes moyens que ceux dont nous disposons dans la vie réelle, car les interactions entre les deux sont de plus en plus nombreuses et pourraient même devenir létales.

Nous insisterons enfin sur la nécessiter de nous approprier ces enjeux et d'éduquer les utilisateurs, pour qu'ils en prennent pleinement conscience et adoptent des pratiques plus responsables.

Afin d'organiser notre travail et de réaliser un tri pertinent dans les sources d'information collectées, nous avons utilisé un outil d'analyse qualitative de données, ou « CAQDAS » (pour Computer Assisted Qualitative Data Analysis).

Nous nous sommes appuyé sur le logiciel Nvivo, édité par QSR International, qui nous a permis d'effectuer des recherches combinées, à partir des textes que nous avons préalablement intégrés dans l'application.

Nous avons eu l'opportunité d'en appréhender les grands principes d'utilisation et le fonctionnement, grâce à Thierry Bontems. Nous avions déjà pu évoquer cet outil dans le cadre de son cours sur les systèmes d'information et la réalisation de ce mémoire constituait une excellente occasion d'en éprouver l'utilisation concrète.

Afin de structurer nos informations, nous avons commencé par créer des items dans lesquels nous pourrions ensuite les « ranger » de manière ordonnée. Ces points de jonction, appelés « noeuds » dans l'application, ont été constitués en fonction des sujets que nous comptions aborder, afin de pouvoir ensuite les intégrer dans le plan que nous avions défini.

Nous sommes loin d'en avoir exploité toutes les possibilités et ne sommes pas allé jusqu'à utiliser les cartes perceptuelles que le logiciel permettait d'obtenir. Mais cette méthode nous a permis de gagner un temps précieux dans l'organisation de nos sources et de mettre en évidence les idées les plus significatives.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	10

Pour comprendre l'origine du nouveau Règlement Général sur la Protection des Données, il faut remonter au années 60 et 70, période à laquelle les logiciels et l'informatique commencent à s'imposer pour la centralisation et le traitement d'informations. A cette époque, de nouveaux supports numériques, cartes perforées et bandes magnétiques, permettent de stocker des données et fichiers, offrant de nouvelles perspectives aux organisations, confrontées à des volumes importants difficilement exploitables sur les supports papiers traditionnels (mécanographie).

S'agissant d'informations nominatives ou de données à caractère personnel, un article de Fleure Labrunie publié sur le site Numerama¹, nous ramène plusieurs siècles en arrière. S'appuyant sur le l'ouvrage de historien Vincent Denis², cet article nous apprend que dès la fin du 18^ème siècle, certains membres du Clergé et du Parlement se posaient déjà des questions d'ordre déontologiques, évoquant des notions de droit à l'anonymat, de respect du secret des individus, ou s'inquiétant du pouvoir arbitraire octroyé aux fonctionnaires de l'administration lors de la mise en place des documents individuels d'identité. A la fin de la seconde guerre mondiale, on prend ensuite conscience que le traitement de données peut être utilisé à des fins hégémoniques et se révéler être une puissante arme de destruction massive.

Mais c'est bien avec le développement des outils informatiques qu'émerge une réflexion sur un cadre juridique spécifique à l'utilisation des informations nominatives, d'abord dans les milieux professionnels, puis sur le plan légal et institutionnel. Les premiers pays à légiférer sur les traitements automatisés d'informations nominatives, sont l'Allemagne (1970), la Suède (1973) et les Etats Unis (1974). En France, le sujet commence à être abordé lors de débats parlementaires et l'on peut notamment citer les propos avant-gardistes du politicien français Michel Poniatowski dès décembre 1970 : « Dans quelques années, le citoyen sera totalement incapable de contrôler l'utilisation pratique et généralisée des renseignements fournis par le matériel informatique ».

C'est à cette période, plus précisément en 1973, qu'un projet visant à créer un fichier informatisé, regroupant l'ensemble des informations administratives des citoyens français dans une base de données centralisée, est initié par le ministère de l'intérieur. Porté par l'INSEE, le projet S.A.F.A.R.I (Système Automatisé pour les Fichiers Administratifs et Répertoires des Individus) permettait de croiser l'ensemble des fichiers administratifs au moyen d'un identifiant

1 De l'archevêque Boisgelin de Cucé au RGPD : brève histoire de la protection des données - Fleure Labrunie -

2 Une histoire de l'identité : France 1715-1815 - Vincent Denis - Champ Vallon Editions 22 février 2008


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	11

unique, le NIR (Numéro d'Inscription au Répertoire des personnes physiques). Lorsque ce projet fut révélé en 1974 par un article du Monde³, il généra un tollé dans l'opinion publique, scandalisée par une pratique rappelant les heures sombres du gouvernement du Vichy qui attribuait des numéros aux juifs et aux étrangers.

Face à la contestation massive de la population, le gouvernement de l'époque n'eut d'autre solution que d'abandonner ce projet et, pour apaiser la polémique, de constituer la commission « ad hoc », présidée par le conseiller d'Etat Bernard Tricot et chargée de réfléchir à une réglementation permettant d'encadrer l'utilisation de ces nouveaux outils. Cela donna lieu l'année suivante à la publication du rapport Tricot, qui servira de base à l'élaboration d'un projet de loi relatif « à l'informatique et aux libertés ». Ce texte devait constituer un « garde-fou contre les abus de l'informatique mal maîtrisé ».

La nouvelle loi N° 78-17 baptisée « Informatique et libertés » (LIL) fut votée par l'Assemblée nationale le 6 janvier 1978. Dans son article 1, elle stipule que « L'informatique doit être au service de chaque citoyen j...] Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». La loi fait ainsi référence aux « informations nominatives » permettant d'identifier des personnes physiques, lorsqu'elles sont exploitées dans un fichier ou utilisées dans le cadre de traitements automatisés, que ce soit de manière informatisée ou non. Elle prévoir également la constitution d'une commission indépendante, chargée de veiller à ce que les traitements informatisés ne soient pas préjudiciables aux libertés et à la vie privée des citoyens : La CNIL (Commission Nationale de l'Informatique et des Libertés).

La CNIL est une autorité administrative constituée de 18 membres issus de différentes instances : Députés, Sénateurs, membres du Conseil Economique et Social, du Conseil d'Etat, de la Cours de Cassation, de la Cour des Comptes, ainsi que d'experts en informatiques et de personnalités reconnues pour leurs compétences. Ces membres sont désignés, nommés ou élus pour une durée de 5 ans et ont la charge d'élire un président et deux vice-présidents.

- établir un rapport annuel sur son activité, à destination de l'état et des citoyens

La CNIL est chargée de vérifier que les traitements automatisés, publics ou privés, soient conformes à la loi. Pour ce faire, chaque organisation ayant recours à ces informations est tenue de faire une déclaration à la CNIL, qui peut émettre des réserves ou donner un avis négatif. Les responsables de fichiers ont l'interdiction, sauf pour des procédures particulières, de collecter des données à caractères « sensible », notamment sur les origines raciales des individus, leurs

3 « Safari » ou la Chasse aux français - Philippe Boucher - Le Monde - 21/03/1974


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	12

opinions politiques, philosophiques ou religieuses, leurs moeurs ou encore leur appartenance syndicale. Lorsque ces traitements ne portent ni atteinte à la vie privée, ni aux libertés, les entreprises peuvent se limiter à des déclarations simplifiées, sous réserve de respecter la finalité du traitement et de ne pas conserver les informations au-delà du délai nécessaire.

En dehors de quelques décrets, et de surtout l'application de la directive européenne 95/46/CE du 24 octobre 1995 visant à encadrer la libre circulation des données à caractère personnel et leur traitement par les grands acteurs économiques, la loi française ne subit pas de modifications fondamentales jusqu'en 2004. Il convient tout de même de s'arrêter sur le cadre commun de la directive européenne 95/46/CE, dans la mesure où elle introduit la notion de « données à caractère personnel » et donne naissance au groupe de travail G29. Le G29 rassemble les représentants de chaque autorité de protection des états membres. Cette organisation se réunit à Bruxelles en séance plénière tous les deux mois environ, pour contribuer à l'élaboration des normes européennes en adoptant des recommandations, rendre des avis sur le niveau de protection dans les pays hors UE et conseiller la Commission européenne sur les projets relatifs à la protection des données et des libertés individuelles.

Le 6 août 2004, l'entrée en vigueur de la « Loi Informatique et Libertés 2 » n°2004-801 (LIL2), renforce les droits des citoyens français en adoptant une définition commune : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. ». Si elle simplifie et harmonise les formalités administratives entre les secteurs public et privé, elle attribue surtout à la CNIL des pouvoirs de contrôle et de sanction en cas d'infraction. Ces nouvelles dispositions permettent non seulement à la CNIL de prononcer à l'égard du responsable de traitement fautif une injonction visant à retirer son autorisation, verrouiller les données et cesser le traitement, mais aussi d'appliquer des sanctions pécunières au contrevenant : 150 000 € maximum et jusqu'à 300 000 € en cas de récidive. La LIL2 prévoit en outre la possibilité de nominer au sein des organisations un Correspondant Informatique et Liberté (CIL), qui leur permet de s'affranchir des formalités de déclarations préalables de leurs fichiers informatiques. Ce qui implique pour ce correspondant de tenir à jour une liste des traitements, qui devront être présentés en cas de contrôle de la CNIL, et le cas échéant d'alerter la Commission en cas d'irrégularité constatée.

L'adoption de la directive 95/46/CE par l'Union Européenne et l'évolution de la Loi Informatique et Liberté en France, auront contribuées à nourrir une réflexion régulière sur les sujet de la protection des données et de l'utilisation du digital. A partir de 2007, la Commission Européenne planche sur un projet de loi visant à réglementer les communications électroniques, se penchant sur les droits fondamentaux, mais aussi les obligations des internautes et des acteurs du numérique. Ce projet donnera lieu à différentes réformes votées à partir de 2009 par le Parlement et regroupées sous l'appellation « Paquet Telecom », qui seront ensuite transposées dans les états membres. Ce sera le cas en France, notamment avec l'adaptation de la Loi pour la Confiance dans l'Economie Numérique (LCEN) en vigueur depuis 2004 ou la Loi Hadopi visant à sanctionner le partage illégal de fichiers sur Internet, adoptée en juin 2009.

Mais les dispositions en vigueur dans les pays membre ne se révélaient pas suffisamment contraignantes et les données numériques restaient une zone de non droit. Une manne dont profitaient largement les géants du numérique, en passant outre les lois de l'Union


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	13

Européenne en matière de collecte des données numériques et de respect de la vie privée des individus. C'est l'analyse faite par l'écrivain et philosophe français Gaspard Koenig, cité par l'avocat Olivier Iteanu sur son blog personnel⁴, qui explique cette situation par des sanctions trop faibles et sans effet dissuasif, qui se révèlent d'ailleurs rarement appliquées, compte tenu du manque de moyens des pouvoirs publics européens.

Conscient de ces limites et après 4 ans de gestation, le Parlement Européen donnera naissance en avril 2016 au Règlement Général sur la Protection des Données (RGPD ou GDPR, pour « Général Data Protection Régulation »).

En France dès le 7 octobre 2016, la loi pour une République Numérique ou « Loi Lemaire », anticipe certaines des dispositions prévues par le RGPD.

Elle définit de nouveaux droits pour les personnes, en affirmant le principe de maîtrise par l'individu de ses données, en instaurant un droit à l'oubli pour les mineurs et la possibilité d'organiser le sort de ses données personnelles après la mort, ou la possibilité d'exercer ses droits par voie électronique.

Elle impose d'avantage de transparence aux responsables de traitements, qui doivent désormais informer les personnes de la durée de conservation des données traitées.

Dès le 7 octobre 2016, la loi Lemaire, ou « loi pour une République numérique », entre en application en France. Elle vise à anticiper le RGPD, en instaurant une obligation accrue d'information des personnes et en étendant les attributions de la CNIL, dans ses missions, mais également dans son pouvoir de sanction, dont le plafond maximal passe de 150.000 à 3 millions d'euros.

4 Patrimonialisation des données, que faut-il en penser ? - Blog d'Olivier Iteanu - 26/02/18 -


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	14

Le nouveau Règlement Général sur la protection des données était donc sur les rails. Il revenait aux pays membres de s'en imprégner et d'adapter leurs législation pour le mettre en application à compter du 25 mai 2018.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	15

- Historique de la CNIL et la protection des données personnelles - cil.cnrs.fr - 16/01/2018 -

- Résolution sur le marché unique européen des communications électroniques - cyberdroit.fr - 09/11/2015


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	16

A compter du 25 mai 2018, le nouveau Règlement Général sur la Protection des Données est entré en application et remplace la directive européenne 95/46/CE de 1995. Son objectif consiste à harmoniser les législations des pays européens en matière de collecte et de traitement des données à caractère personnel. Le règlement instaure un cadre juridique unique applicable sur l'ensemble du territoire de l'Union Européenne, qui laissait subsister des spécificités et de fortes disparités entre les Etats membres⁵.

Le film documentaire « Democracy » du réalisateur suisse David Bernet, sorti en 2015, retrace cette gestation, fruit d'un laborieux processus législatif. On apprend que l'élaboration de ce qui deviendra le RGPD a été confrontée à de nombreux obstacles, juridiques, bureaucratiques, mais également à l'influence des puissants lobbys que sont les géants du web et de l'industrie du big data.

Dans un article publié sur le site archimag.com⁶, le réalisateur confie qu'il souhaitait initialement observer les rouages du Conseil européens et le travail de nos représentants. C'est en s'intéressant aux différents projets de loi et au combat mené par le jeune eurodéputé franco-allemand Jan Philipp Albrecht, qu'il comprit dès 2010 que le digital et la protection des données constituaient des enjeux décisifs pour l'avenir et les droits fondamentaux des 500 millions de citoyens de l'Union Européenne.

A l'époque les débats sur le sujet n'intéressaient que quelques avant-gardistes, dont l'ardeur et la ténacité au sein de la Commission européenne permirent d'aboutir en 2012 à un projet de loi sur la protection des données à caractère personnel. Son adoption en mars 2014, aura nécessité deux ans de délibérations et 4000 amendements, mais doit aussi beaucoup aux retentissements médiatiques provoqués par les révélations d'Edward Snowden en 2013.

Il faudra encore deux ans pour que le nouveau Règlement Général sur la Protection des Données soit adopté par le Parlement Européen, le 27 avril 2016 et publié au journal officiel de l'Union européenne du 14 mai de la même année.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	17

Dès son entrée en vigueur, le 25 mai 2018, le RGPD remplace non seulement la directive européenne 95/46/CE de 1995, mais supplante également les lois en vigueur dans les Etats de l'Union Européenne. Le texte peut être directement appliqué dans tous Etats membres, mais leur laisse la possibilité de légiférer de manière souveraine sur certains paramètres et de faire évoluer leurs législations, sous réserve qu'elles soient conformes au RGPD. Selon la CNIL, la marge de manoeuvre accordée aux législations nationales reste toutefois limitée à certaines dispositions, qu'elles pourront rendre plus spécifiques sur les aspects suivants :

source : CNIL Atelier RGPD 30/11/2017- Règlement européen sur la protection des données, ce qui change - Cf Annexe)

D'après le cahier technique 2018 de l'Association pour le Management des Risques et des Assurances de l'Entreprise (AMRAE 27/02/2018 - RGPD : La protection des données du citoyen européen par l'entreprise), publié en février 2018, il apparait que seuls l'Autriche et l'Allemagne aient déjà adopté depuis juillet 2017 une législation nationale conforme au RGPD.

En France, en dehors de la loi Lemaire promulguée dès octobre 2016, aucune date de révision de la Loi Informatique et Libertés n'était annoncée. Mais le 22 mars 2018, le Sénat a approuvé en première lecture le projet de loi sur la protection des données personnelles⁷, visant à appliquer le droit européen, avec des adaptations permettant notamment de tenir compte des collectivités. Le projet de loi a ensuite été définitivement adopté le 14 mai 2018 par le Parlement, conformément au calendrier annoncé par Paula Forteza, députée LREM et rapporteur du projet de loi sur la protection des données, sur BFM TV en avril dernier⁸.

Le règlement européen concerne toute société, organisme public ou association qui collecte ou effectue des traitements liés à des données de citoyens européens, ce quelque-soit sa taille, son secteur d'activité ou la quantité de données traitées.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	18

Dans ce cadre, le RGPD introduit une notion de responsabilité de ces entités qui sont notamment tenues de vérifier la conformité de leurs traitements, de notifier les failles de sécurités les plus graves et peuvent s'exposer à des sanctions administratives significatives en cas de non-respect des dispositions.

Le traitement de données à caractère personnel est décrit de manière très précise par le règlement. Le guide publié par le MEDEF nous donne des définitions simples des différents termes utilisés :

- Le caractère personnel d'une donnée concerne toujours toute information se rapportant à une personne physique identifiée ou indentifiable, tel que le décrivait déjà la directive 95/46/CE.

- Le nouveau règlement introduit la notion de données sensibles, lorsqu'elles sont
susceptibles d'être discriminantes (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, orientation sexuelle...) ou propres à une personne donnée (santé, données génétiques ou biométriques)

- Un traitement est caractérisé par toute opération (automatisée ou non) réalisé sur des données à caractère personnel (collecte, enregistrement, organisation, stockage, conservation, adaptation, modification, extraction, utilisation, communication par transmission, rapprochement ou interconnexion...).

- Le Responsable du traitement (data controller) désigne la personne, le service ou
l'organisme (public ou privé : entreprises, administrations, associations...) qui détermine les finalités et les moyens du traitement. Il est considéré comme le donneur d'ordres.

- La responsabilité du sous-traitant, personne, service ou organisme (public ou privé) qui
traite des données personnelles pour le compte du responsable de traitement, se voit également engagée.

- le responsable de traitement ou le sous-traitant sont établis sur le territoire de l'Union

européenne (même si le traitement est effectué hors de l'Union européenne), - les personnes concernées par le traitement sont des citoyens ou ressortissants européens.

Par rapport aux législations nationales, comme la Loi Informatique et Liberté, le champ d'application se voit donc élargi à l'ensemble du territoire européen, mais également à tous ses citoyens.

Source : CNIL Atelier Règlement européen sur la protection des données : ce qui change - 30/11/2017

Le nouveau règlement reprend largement les principes de la directive de 1995, mais renforce considérablement les obligations de transparence sur la gestion des données personnelles. Il répond d'une part à des nécessités politiques et humaines, de protection des citoyens européens, notamment vis-à-vis des GAFAM (Google, Amazon, Facebook, Apple et Microsoft) et de respect de leur vie privée. D'autre part, il vise à fiabiliser l'économie numérique à laquelle les citoyens doivent pouvoir faire confiance.

Le RGPD est un document de 88 pages, qui comporte de 99 articles et 173 considérants, qui permettent une interprétation des articles du texte.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	20

Notre démarche n'ayant pas une vocation juridique, nous ne détaillerons pas ici l'ensemble des articles du règlement et nous nous concentrerons sur les 9 principes clés du RGPD, qui constituent les véritables enjeux de la réglementation.

Le RGPD instaure l'obligation de garantir un niveau de sécurité approprié lors du traitement des données à caractère personnel. Pour ce faire, le responsable du traitement doit s'assurer que les mesures techniques et organisationnelles mises en oeuvre sont appropriées et garantissent un niveau de sécurité adéquat. Cette sécurisation portera non seulement sur les infrastructures, pour lesquelles une analyse d'impact devra être menée par les directions sécurité, informatique et risques, mais également sur le chiffrement (cryptage) des données, leur pseudonymisation ou leur anonymisation.

Le responsable de traitement devra par ailleurs assurer la disponibilité, l'intégrité, la confidentialité et la traçabilité des données manipulées lors du traitement.

En cas de violation des données personnelles, le responsable du traitement est tenu de le notifier à la CNIL dans les 72 heures à compter de la découverte de cette violation, sauf s'il est peu probable qu'il en résulte un risque pour les personnes.

Constitue une violation, toute faille de sécurité ayant entraîné la destruction, la perte, l'altération, la révélation ou l'accès non autorisé à ces données de manière intentionnelle ou accidentelle.

Le responsable du traitement devra par ailleurs avertir les personnes concernées de cette violation, lorsqu'elle peut constituer un risque majeur d'atteinte à leurs droits et libertés. Il pourra toutefois être exonéré de cette obligation s'il peut démontrer que les mesures de protection mises en oeuvre (chiffrement ou anonymisation notamment) ne permettent pas l'exploitation des données concernées par la violation. Il pourra également avoir recours à une


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	21

mesure de notification publique, si l'information individuelle des personnes concernées nécessite un effort disproportionné.

Les droits des citoyens européens et les conditions d'utilisation de leurs données personnelles se voient renforcés et explicités par le règlement. Le RGPD s'inscrit dans la continuité des réglementations nationales dont il s'inspire, en réaffirmant certains des droits existants : Droits d'information, d'accès, de rectification, d'opposition et de transparence.

- Le droit à la limitation de traitement (l'usage des données personnelles est limité au

- Le droit à la portabilité des données (vers un autre responsable de traitement).

Le responsable du traitement est tenu de mettre gratuitement à disposition des personnes un moyen d'exercer leurs droits et devra obligatoirement répondre à leur demande dans un délai maximum d'un mois.

Lorsque les responsables de traitements ou les sous-traitants ont une activité qui nécessite le traitement régulier de nombreuses données à caractère personnel, ils se trouvent dans l'obligation, sous peine d'être sanctionné, de désigner un référent qui veille au respect du règlement et à sa bonne application : Le Data Protection Officer (DPO).

Indépendamment de la taille de l'entreprise, le DPO est désigné sur la base de ses qualités professionnelles et sur sa connaissance du droit et des pratiques en matière de données personnelles. En France, son statut et ses responsabilités sont similaires à ceux du CIL (Correspondant Informatique et Liberté), mais ses missions et prérogatives sont renforcées.

Quel que soit la nature du traitement, sa nomination est également obligatoire dans les autorités et organismes publics (collectivité territoriales, Etats, établissements publics...).

Point de contact privilégié des autorités, il devra d'une part documenter et tenir à jour un registre des traitements de données à caractère personnel et d'autre part, sensibiliser et conseiller les acteurs impliqués dans ces traitements.

Il peut être extérieur à l'entreprise (juriste, consultant, organisme...) sur la base d'un contrat de service, ou salarié, qui pourra être mutualisé entre plusieurs structures, mais doit être à même d'exercer ses fonctions en toute indépendance vis-à-vis du responsable de traitement.

Le concept de « protection de la vie privée dès la conception » (Privacy by Design) doit être appliqué à toute technologie permettant de traiter des données à caractère personnel. Ces outils, applications ou sites internet doivent dans leur conception et leur utilisation garantir par défaut le plus haut niveau de protection des données.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	22

- la limitation au minimum des informations nécessaires au traitement lors de la collecte

- la définition d'une durée de conservation adaptée à la durée du traitement.

- une centralisation du stockage des données, dont l'accès sera restreint aux personnes habilitées .

Il s'agit donc d'intégrer des mesures proactives et préventives, garantissant une sécurité implicite des données personnelles collectées et des traitements réalisés.

Pour responsabiliser les acteurs à l'égard des traitements de données à caractère personnel, les institutions européennes ont mis en place des sanctions administratives, civiles et pénales beaucoup plus dissuasives, qui pourront être appliquées par les autorités de contrôle nationales en cas de non-conformité, de dommage causé au traitement, ou d'atteinte aux droits et libertés des personnes qui font l'objet du traitement.

Ces sanctions sont proportionnées, en fonction de la gravité de l'infraction : - Avertissement

- amendes dont le montant varie en fonction du niveau de violation des obligations et tient compte d'éléments atténuants ou aggravants.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	23

Le montant des amendes administratives est adapté à la taille des organisations incriminées et peuvent atteindre :

- 2 % du chiffre d'affaires annuel mondial de l'entreprise concernée (ou 10 000 000 € pour les autres entités)

- 4 % du chiffre d'affaires annuel mondial de l'entreprise concernée (ou 20 000 000 € pour les autres entités) pour les atteintes les plus graves (non-respect du consentement ou des droits des personnes, transfert illicite de données...).

Des sanctions civiles sont également infligées au responsable du traitement ou son sous-traitant pour indemniser les personnes ayant subies un dommage du fait de la violation du RGPD. Elles peuvent désormais être demandées dans le cadre d'une action de groupe, par l'intermédiaire d'une association ou organisation qui agira en justice pour demander réparation et la cessation du dommage.

Des sanctions pénales peuvent enfin être encourues en cas d'atteintes aux droits de la personnes résultant du traitement réalisé. Les personnes physiques reconnues coupables s'exposent à des sanctions pouvant aller jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende et jusqu'à 1 500 000 € pour les personnes morales (associations, entreprises...).

Le Privacy Impact Assessment ou AIPD en français (Analyse d'Impact à la Protection des Données) doit être effectué par le responsable de traitement lorsqu'un traitement de données à caractère personnel est susceptible d'engendrer des risques élevés impactant les droits et libertés des individus concernés.

L'objectif du PIA est d'une part de s'assurer que le traitement est proportionné au regard de ses finalités et de l'impact sur les individus et d'autre part, d'évaluer la cohérence des mesures de sécurité mise en place pour traiter les risques inhérents à ce traitement.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	24

Cette analyse d'impact doit être réalisée avant la mise en place du traitement, en lien avec le DPO si l'organisation en a nommé un et en cas de risque grave avéré, l'autorité de contrôle devra obligatoirement être consultée.

Si le RGPD ne prévoit plus de mesures de déclarations préalables des traitements, le responsable du traitement doit pouvoir justifier de la mise en oeuvre des mesures techniques et organisationnelles appropriées au regard des dispositions prévues par le règlement. C'est donc à l'organisation que revient la charge de la preuve de sa conformité, en documentant tous les processus et mesures mises en oeuvre.

Pour les organisations de plus de 250 salariés et celles qui réalisent au moins un traitement régulier, ou portant sur des données sensibles, ou comportant un risque pour le droit et les libertés des personnes concernées, le responsable de traitement et le sous-traitant ont l'obligation de tenir à jour un registre de leurs traitements. Ce registre devra notamment indiquer la finalité du traitement, la nature des données collectées, leurs destinataires, les éventuels transferts de données hors UE, la durée de conservation et une description des mesures de sécurité mises en place.

Cette obligation se voit ainsi étendue aux sous-traitants, dans le cadre des traitements qu'ils effectuent pour le compte de leurs clients, responsables du traitement. Dans ce cas, la mise en place d'un contrat de sous-traitance détaillant les obligations et responsabilités du sous-traitant devient obligatoire.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	25

Selon le règlement, toute donnée à caractère personnel doit être « traitée de manière licite, loyale et transparente au regard de la personne concernée ».

Pour que le consentement soit loyal, seules les données adéquates, pertinentes et nécessaires au traitement doivent être collectées.

Ces données doivent en outre être collectées pour une finalité déterminée, explicite et légitime.

Pour prouver la licéité du traitement, le responsable du traitement pouvoir justifier d'un consentement formel et explicite, obtenu « sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ». Il doit en conserver une trace écrite, attestant que chaque personne a consenti de manière libre, éclairée et non équivoque au traitement de ses données personnelles.

Le règlement prévoit toutefois des cas pour lesquels le recueil de consentement n'est pas obligatoire :

- Lorsqu'un contrat implique la réalisation de traitements nécessaires à son exécution.

- Lorsque le responsable du traitement est soumis à une obligation légale nécessitant le

traitement de données à caractère personnel (tel que la communication de données salariés pour l'administration fiscale ou la sécurité sociale).

- Lorsque l'intérêt vital de la personne concernée, ou celui d'une autre personne

- Lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de

- Lorsqu'il relève de l'intérêt légitime du responsable du traitement, sous réserve qu'il

ne nuise pas aux intérêts ou aux droits fondamentaux de la personne concernée.

A noter qu'un consentement ne peut être considéré comme librement consenti en cas de déséquilibre dans le rapport de force entre la personne et le responsable de traitement. Par ailleurs, il reste également assujetti à des modalités particulières pour les mineurs de moins de 16 ans, dont le consentement relève du titulaire de la responsabilité parentale.

Lors de la réalisation du traitement, les données collectées sont sensée être utilisées uniquement pour les finalité prévues initialement. Cependant elles peuvent être réutilisées à d'autres fins, moyennant :

- La compatibilité des nouvelles finalités envisagées avec celles initialement prévues par
le traitement.

Les notions « d'opt-in et d'opt-out »⁹, largement utilisées dans les campagnes de webmarketing et consistant à obtenir un consentement de l'internaute à recevoir des emailing,


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	26

sont aussi remises en cause par le RGPD. L'opt-in consistant à accepter de recevoir une information ou une publicité, généralement en cochant une case, doit être plus explicite quant aux données qui seront collectées et les fins auxquelles elles seront utilisées. L'opt-out n'est plus toléré, dans la mesure où il présume de l'accord du destinataire quand il ne manifeste pas son opposition, avec une case à cocher s'il ne veut pas être sollicité, ou encore pré-cochée par défaut, ce qui revient à du « soft opt-in » ou opt-in passif.

Lorsque le traitement est achevé, les données personnelles ne peuvent être conservées au-delà de la durée strictement nécessaire aux objectifs poursuivis par le responsable du traitement. A l'issue du traitement ou de la durée prévue, ces données doivent être détruites ou restituées aux personnes concernées, sans qu'aucune copie ne soit conservée par l'organisme qui les a collectées, à moins d'être totalement anonymisées.

- CNIL Atelier RGPD 30/11/2017- Règlement européen sur la protection des données, ce qui change


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	27

Selon le règlement¹⁰, « Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'Etat membre dont elle relève ».

Dans chaque Etat membre, l'autorité de contrôle veille à ce que les organisations présentes sur son territoire ou traitant des données personnelles de ses citoyens, y compris en dehors du pays, se conforment bien au règlement européen.

L'autorité de contrôle intervient en cas de litige concernant les traitements de données personnelles réalisés par les organismes implantés sur son territoire. Dans le cas contraire, elle coopère avec l'autorité du pays où se trouve l'établissement principal du responsable de traitement, car le RGPD ne prévoit pas la création d'une autorité de contrôle supranationale.

En France, dans la continuité du dispositif existant, la CNIL reste l'autorité de contrôle nationale. Le site officiel de la CNIL¹¹ souligne que « les pouvoirs de contrôle de la CNIL restent inchangés. Elle continuera à procéder à des vérifications dans les locaux des organismes, en ligne, sur audition et sur pièces. Les modalités de déclenchement des contrôles restent les mêmes »

Le journal du net précise dans un article publié le 17 mai 2018¹² que les nouvelles obligations et les nouveaux droits résultant du RGPD (droit à la portabilité, analyses d'impact...) feront également l'objet de contrôles, mais que dans un premier temps ils ne seront pas punitifs. Selon sa présidente, Isabelle Falque-Perrotin, qui préside également le G29, « il ne s'agit pas de gérer un tableau de chasse »¹³. L'objectif est avant tout d'accompagner les organismes dans la mise en oeuvre opérationnelle des nouvelles dispositions et de les aider à en comprendre les enjeux. Si l'entité contrôlée est à même de démontrer qu'elle est engagée dans une démarche de conformité, la CNIL n'appliquera aucune sanction durant les premiers mois qui suivront l'entrée en vigueur du règlement. Lorsque les contrôles porteront sur des acteurs internationaux, ils seront réalisés par plusieurs organismes afin que la décision ait une portée européenne.

En pratique, son rôle évolue quelque peu¹, dans le sens où il prend une dimension plus pédagogique. La CNIL se positionne comme le référent du DPO, assurant des missions de conseil et d'accompagnent des organisations, avec la mise à disposition de nouveaux outils : dossiers thématiques, guides pratiques, PIA, modèles de registres simplifiés, modèles-types de mentions d'information ou formulaires de recueil du consentement...

Un autre changement concerne l'attribution des labels (gouvernance, audit, formation), qui ne seront plus décernés par la CNIL à compter du 25 mai 2018. Comme le prévoit le RGPD, des mécanismes de certifications en matière de protection des données doivent être développés par les autorités de protection nationales. Ces certifications ne seront pas directement délivrées


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	28

par la CNIL, mais par des organismes certificateurs agréés ou accrédités par la COFRAC (Comité Français d'Accréditation). La CNIL indique que ces référentiels sont en cours d'élaboration et de validation, et qu'ils seront publiés sur son site¹⁴. Ce nouveau dispositif prévoie notamment une certification pour les DPO et une certification de formation RGPD agréée par la COFRAC.

Parallèlement au RGPD, un autre disposition était censée entrer en vigueur au 25 mai 2018, réformant la directive « vie privée et communications électroniques » ou « ePrivacy ». Quelque peu occultée par le battage médiatique autour du RGPD, le projet de règlement e-privacy lui est pourtant directement lié. Il s'agit d'une proposition publiée le 10 janvier 2017 par la Commission Européenne, visant à harmoniser la législation des Etats membres en matière de confidentialité des communications électroniques et à rendre les services numériques plus sûrs pour les utilisateurs. De la même manière que le RGPD abroge la directive européenne 95/46/CE de 1995 , le règlement ePrivacy est supposé mettre à jour la directive vie privée et communication électronique de 2002 et le Paquet Télécom de 2009.

Ce projet de règlement est en effet complémentaire, dans la mesure où il étend la protection de la vie privée des citoyens européens aux communications électroniques, ou plus précisément aux échanges d'information (métadonnées) qui transitent au sein des fournisseurs de services électroniques. Son application est donc assez large, puisqu'elle concerne les fournisseurs d'accès Internet, les acteurs de l'IoT (Internet of Things), les applications de messagerie (WhatsApp, Skype, Facebook Messenger...), les bornes d'accès Internet (Wifi), les éditeurs de sites et applications Internet, ainsi que les acteurs de la publicité digitale en général (adtech).

Selon Guillaume Coulomb¹⁵, Data Quality Lead chez fifty-five, les deux principaux enjeux résident aussi dans le consentement de l'utilisateur, s'agissant de l'installation des cookies (traceurs électroniques). Il ne pourra plus être obtenu par défaut (opt-out), mais de manière positive et explicite (opt-in). Par ailleurs, ce consentement pourra être délivré de manière globale par l'utilisateur, au niveau du paramétrage de son navigateur et non plus sur chaque site.

Isabelle Gavanon¹⁶, avocate associée du cabinet Fidal et membre du conseil d'administration de l'AFDIT (Association Française de Droit de l'Informatique et de la Télécommunication), ajoute que le grand apport du règlement réside dans l'encadrement du traitement des métadonnées collectées par ces fournisseurs de services électroniques, dans la mesure où leur exploitation permet de déterminer des informations précises sur les individus. Pour éviter les fraudes, les traitements réalisés seraient ainsi soumis à des conditions plus strictes, basées sur le consentement éclairé des utilisateurs.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	29

Contrairement au RGPD qui se limite aux personnes physiques, le projet de règlement e-privacy couvre désormais les personnes morales, tout en prévoyant des sanctions identiques à celles prévues par le RGPD pour les contrevenants.

Deux récents articles de la journaliste Catherine Stupp¹⁷ , publiés sur le site Euractiv.com, indiquent qu'à ce jour, la nouvelle directive e-privacy n'a toujours pas été adoptée et fait toujours l'objet de débats houleux entre le Parlement, le Conseil et la Commission européenne. Certains Etats membres et les lobbys d'opérateurs souhaitent que la réglementation soit assouplie, estimant les mesures relatives à l'autorisation de traitement des données trop restrictives et revendiquant un « intérêt légitime » pour leurs activités. Les discussions étaient au point mort et l'échéance du 25 mai 2018 devenue irréaliste, d'autant que la plupart des Etats membres sont encore occupés à adapter leur législations au RGPD. Mais l'indignation publique suscitée par la collecte massive de données de millions d'utilisateurs Facebook devrait relancer les négociations, que la Commission espère voir aboutir d'ici la fin de l'année.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	30

La mise en application du RGPD constitue assurément un chantier d'envergure pour les entreprises, qui se voient impactées sur de nombreux aspects et doivent se réorganiser en conséquence.

Nous nous intéresserons dans ce chapitre aux risques et impacts auxquels elles seront confrontées dans le cadre du RGPD, puis à la méthodologie que les entreprises sont supposées appliquer pour se mettre en conformité avec ce nouveau règlement.

Mais dans un premier temps, il est important de rappeler l'importance et la valeur que représentent « les données » pour les entreprises, car elles sont devenues un véritable enjeu pour leur développement et leur pérennité.

De l'information aux données et des données aux informations stratégiques

L'expert en système d'information d'entreprise Iain Dunn, Principle EIM Architect chez CGI Angleterre, nous propose une rétrospective de l'évolution de la gestion du système d'information en entreprise sur les trente dernières années¹⁸. Il souligne son évolution constante au sein des organisations qui se sont rapidement adaptés en adoptant des nouvelles stratégies et des outils permettant de gérer les informations collectées.

La gestion de l'information en entreprise remonte aux années 90, avec l'apparition de la gestion documentaire liée au concept d'un « bureau sans papier ». Au-delà de l'idée de supprimer le support papier, ces systèmes ont surtout permis aux utilisateurs de pouvoir accéder aux informations appropriées au moment où ils en avaient besoin. Ces outils ont ainsi constitué une véritable avantage concurrentiel pour les entreprises qui en étaient équipées, leur permettant de prendre rapidement des décisions en s'appuyant sur des éléments fiables.

Les années 2000 ont ensuite vues s'imposer la notion de « gestion de contenu d'entreprise », qui visait à mieux identifier les sources d'information et à les centraliser sur une plateforme unique. On commence à parler de systèmes de gestion intégrés ou ERP (Entreprise

18 La gestion de l'information stratégique à l'ère du numérique - Blog CGI - Iain Dunn - 22/12/2016 -


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	31

Ressource Planning), permettant d'intégrer l'information brute à des sources d'informations structurées dédiées à l'activité de l'entreprise.

Initialement centrées sur l'organisation de l'entreprise, les stratégies de gestion de l'information ont subit une inflexion avec le développement du numérique. Il ne s'agit plus seulement de gérer la propriété intellectuelle interne, mais également d'analyser le plus instantanément possible les informations du marché, afin d'accroitre son avantage concurrentiel et sa position.

Sur le plan marketing cela concerne désormais toute les entreprises, qui ont besoin d'être très réactives, qu'elles soient dans une position fortement concurrentielle dite « d'océan rouge », comme sur un marché vierge « d'océan bleu », pour reprendre la métaphore rendue célèbre par les chercheurs de l'INSEAD W. Chan Kim et Renée Mauborgne¹⁹. Dans ce contexte, les entreprises qui n'auront pas encore su tirer partie de la valeur de l'information auront du mal à s'imposer sur un marché devenu hautement concurrentiel.

Les informations sont devenues des données, certes structurées dans des bases, mais comme l'indique Camille Bolzan, Social Media Analyst, dans un article publié par le Nouvel Economiste²⁰, ces données « ne sont rien sans la stratégie pour les trier, les outils pour les traiter et les experts pour les analyser ». Elle poursuit en ajoutant que nous arrivons à un stade où « trop de données tuent l'information ». Avec l'avènement du Big data, ces données ne peuvent être exploitées qu'avec de puissants outils techniques et l'expertise de spécialistes ; ces fameux « data scientists », pour reprendre l'une des nouvelles terminologies consacrées par le monde numérique, évoquées par Romain Ivoy, Responsable technique de la société Evos Infogérance, interviewé dans le cadre de nos recherches (cf. annexe 2). Ces statisticiens sont à même d'analyser cet amas de données et de le corréler avec les objectifs de l'entreprise, pour en tirer une stratégie marketing.

Stéphane Tufféry, responsable statistique du groupe CM-CIC et professeur à l'ENSAI, interrogé par Camille Bolzan insiste sur la nécessité de travailler la donnée brute et fustige certains intervenant du monde informatique, qui « incitent au stockage exponentiel de données, alors qu'il y a un défi scientifique bien plus important, qui est l'analyse pertinente de ces données ». Il fait un parallèle avec le pétrole qui ne peut être exploité qu'une fois raffiné et qu'il en est de même avec la donnée brute qui doit d'abord être contextualisée avant même d'envisager son utilisation dans des algorithmes informatiques.

L'article de Camille Bolzan nous donne également un idée de l'ampleur prise par le Big Data, en s'appuyant sur des chiffres émanant du Big Data Index. Il nous apprend que dès 2012, les entreprises françaises avaient déjà conscience du potentiel que représentait l'exploitation de ces données :


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	32

- 64 % des équipes IT estiment que le manque d'expertise technologique est le principal frein.

- 59 % de ces entreprises estiment qu'avec de tels équipements, elles pourraient accéder à des données inaccessibles.

En 2013, l'étude « Big Data, Bigger Opportunities: Investing in Information and Analytics » menée par le Gartner, confirme qu'au niveau mondial 42 % des 1000 plus grandes entreprises avaient déjà intégré que le Big data leur permettrait d'optimiser leurs pôles financiers et marketing.

A l'heure actuelle, le volume de données collectées est proprement colossal, comme le démontrent les chiffres évoqués lors des 25èmes Rencontres du Risk Management organisées par l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise)

Source : Atelier-conférence A3 AMRAE - 25èmes Rencontres Risk Manager du 2 février 2017

Cette profusion de données est essentiellement liée à la multiplication des nouveaux canaux de collecte, avec la démocratisation des moyens de connexion Internet (smartphones, tablettes), l'usage généralisé des réseaux sociaux, le traçage quasi-systématique de l'activité des internautes, ou encore le développement de l'IoT (Internet Of Things) qui commence à connecter de plus en plus d'objets usuels. Autant de sources de données comportementales qui représentent de vraies mines d'or pour les entreprises.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	33

La possibilité d'accéder à des données aussi précises que variées sur les usages et attentes des consommateurs a profondément modifié l'approche marketing des entreprises. Comme l'explique Samuel Mayol, auteur de Marketing 3.0, cité dans l'article de Camille Bolzan, « on pratiquait jusqu'ici un marketing de masse: il fallait vendre un produit à un maximum de clients et on harcelait les prospects qui nous le reprochaient. Aujourd'hui, partout sur Internet, les consommateurs donnent leur avis sans qu'on en fasse la demande, ce qui permet aux entreprises de s'adapter aux besoins de chaque client et de personnaliser l'expérience d'achat ».

Le recours à ces informations apparait donc assez légitime de la part des entreprises, qui doivent faire face et s'adapter à une concurrence exacerbée, en s'appuyant sur des solutions qui leur permettront de fidéliser leur clientèle et d'anticiper l'évolution du marché. D'autant que les résultats obtenus se révèlent particulièrement probants, comme le confirme Patrice Poiraud en charge du pôle business analytics et optimisation chez IBM dans ce même article. D'après lui, le recours au datamining, ou exploration de données, permet de réaliser des analyses prédictives dont le taux de retour est de l'ordre de 20 %, contre seulement 1 % sans de tels outils. L'entreprise passe ainsi d'une stratégie que l'on peut qualifier d'intuitive, à une réflexion basées sur des éléments tangibles, lui permettant de surcroît d'être beaucoup plus réactive dans ses prises de décision.

Avec de tels résultats, les entreprises doivent sans cesse réactualiser leurs données, dont la valeur est très volatile. Pour ce faire, elles doivent impérativement se doter de moyens techniques, mais aussi de compétences. Les besoins en la matière devenant de plus en plus importants, ces expertises sont extrêmement recherchées. Paradoxalement, elles sont particulièrement rares sur le marché français, qui manquent de formation et d'étudiants diplômés dans ce domaine. Selon Camille Bolzan, cela révèle un manque de promotion de ces filières, qui n'ont pas été suffisamment valorisées. Une réflexion partagée par Stéphane Tufféry, professeur à l'ENSAI de Rennes déjà cité dans ce même article, et par Guillaume Pourquié, DPO de Grenoble Ecole de Management interviewé le 7 mai dernier (cf. Annexe 3), pour lesquels le développement de formations consacrées au Big data est devenu indispensable et les grandes écoles l'ont pris en compte. Mais la demande est loin d'être satisfaite et il faudra attendre que ces cursus aient produits suffisamment de diplômés, ce qui laisse encore aux anglosaxons, Américains en tête, une bonne longueur d'avance.

Stéphane Tufféry, toujours dans l'article « Big Data : comment passer de la donnée à l'information », évoque un patrimoine informationnel, sur lequel l'entreprise a besoin de travailler de manière continu. Cette notion de patrimoine est un point important, car qu'elles soient instantanées ou statiques, personnelles ou anonymes, les données de l'entreprise sont devenu un bien précieux et ont donc de la valeur.

C'est précisément ce qu'Angela Merkel, Chancelière d'Allemagne, avait spécifié lors du dernier forum de Davos, en qualifiant les données de « matière première du XXIe siècle ». C'est sur cette citation que Nidam Abdi introduit son article « Pour une communauté européenne de la donnée numérique, après celle du charbon et de l'acier », publié le 5 mars 2018 par Le Cercle Les Echos. En établissant un parallèle entre la CECA et le RGPD, l'auteur attire notre attention


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	34

sur la notion de production de données numériques et de fait sur la création d'une valeur ajoutée qu'il nous appartient de protéger. Il cite d'ailleurs de nouveau la Chancelière Allemande qui ajoutait que « savoir qui les possède déterminera si la démocratie, le modèle social participatif et la prospérité économique sont compatibles ».

Cette notion de patrimoine informationnel est également largement abordée par Maître Olivier de Maison Rouge, avocat et membre de la commission permanente « secrets d'affaires » de l'Association Internationale pour la Protection de la Propriété Intellectuelle et du Comité scientifique de l'Institut de l'Intelligence Économique, dans un article publié sur le site Village de la Justice²². Dans cet article assez technique et nourri de nombreuses références juridiques, nous apprenons que le droit français ne délimite pas précisément le périmètre de ce patrimoine, qui peut être assimilé à un actif immatériel de l'entreprise. A l'heure de la globalisation et de la dématérialisation des échanges, il pourrait même se substituer à l'ancienne conception du fond de commerce. D'un point de vu concurrentiel, la possession de ces informations se révèle d'autant plus déterminante un contexte de compétition économique acharnée.

En dépit des recherches entreprises sur la législation récente relative à la protection de ce patrimoine informationnel, il apparait difficile de déterminer le niveau d'avancement de cet encadrement au niveau national comme européen. Si cet aspect se révèle crucial et éminemment stratégique pour les entreprises, le sujet reste épineux et difficile à harmoniser, tant les législations en la matière différent d'un pays à l'autre. Ce que confirme de nouveau Olivier de Maison Rouge dans une interview accordée en 2011 à Mag-securs.com²³, précisant qu'à ce jour, « au vu des textes applicables et des décisions des tribunaux, le vol n'est pas suffisamment reconnu par le droit s'agissant de l'appropriation de données exclusivement immatérielles ».

Dans ce même article², l'adjudant Laurent Frappart, spécialiste N'Tech de la cellule d'Arras, nous fait part de l'augmentation du vol de fichiers informatiques, qui concernent la clientèle, les secrets de fabrication ou encore les brevets des entreprises. Il évoque effectivement l'espionnage international, qui se heurte à des législations différentes. Il y a bien une cohérence des lois au niveau européen et des institutions françaises comme la CNIL ou l'INPI (Institut National pour la Propriété Industrielle) qui jouent un rôle important, mais le vol du patrimoine informationnel de l'entreprise n'est pas réprimandé en tant que tel.

Cet enjeu interpelle et les organisations professionnelles, experts et juristes se penchent régulièrement sur la question. Mais il apparait qu'à ce jour le seul recours des entreprises en la matière soit le code pénal et la loi Gaufrin de janvier 1988 qui sanctionnent l'intrusion ou la tentative d'intrusion dans un système d'information, mais avec un cadre relativement large et sujet à interprétation. Pour citer Olivier de Maison Rouge, « le vol se traduit dans les faits par la disparition du bien dans le patrimoine de la victime, et son transfert avec apparition corrélative dans l'actif du voleur. D'aucuns estiment ainsi que le vol ne peut porter que sur des biens matériels à l'exclusion, par opposition, de tout bien immatériel » 2.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	35

Nous ne nous attarderons pas d'avantage sur ces aspects légaux, qui restent encore mal définis, car notre propos est avant tout de mettre en évidence le capital que représent ces données pour l'entreprise. Sentiment partagé par Anne-Marie BENOIT²⁴, juriste spécialisée en droit des données, enseignante et Ingénieur de recherche au CNRS, dans le cadre de notre sujet. Ce qu'il faut avant tout retenir, c'est que ce patrimoine informationnel fait désormais partie intégrante de la valorisation d'une entreprise, notamment lors d'une cession, au même titre que son chiffre d'affaire et au-delà de son fichier clients.

En ce sens, l'entrée en vigueur du RGPD, met en évidence une contradiction entre les intérêts de l'entreprises et la valorisation toute relative d'un patrimoine en partie constitué de données à caractère personnel, qui sur le plan règlementaire ne lui appartiendraient que provisoirement et sous réserve du consentement des personnes concernées. De la même manière que la directive e-privacy dont la mise en application fait toujours débat, il y a fort à parier que les instances européennes et nationales soient prochainement amenées à légiférer sur la question.

En matière de risques et d'impacts pour l'entreprise, le RGPD soulève d'ores et déjà un certain nombre de préoccupations nouvelles et concrètes pour les organisations, pouvant à leurs yeux constituer des contraintes liées au règlement.

Il convient de noter une modification fondamentale dans l'appréciation du risque par les organisations, qui réside dans le changement d'état d'esprit suscité par l'introduction du RGPD. C'est ce que met en évidence l'AMRAE lors de la 26^ème rencontre du Risk Management du 8 février 2018, en expliquant que les risques étaient jusqu'à lors appréciés du point de vu de l'entreprise et de son activité, alors qu'elle doit désormais aussi les prendre en compte en terme d'impact sur la vie privée des individus concernés par les informations qu'elle détient.

Cela met en évidence, la nécessité pour les organisations de bien évaluer les risques liés à leur sécurité informatique et aux traitements impliquants des données à caractères personnel, pour lesquels il convient de bien identifier et suivre la criticité au moyen de KRI (Key Risque Indicators) appropriés. L'approche par les risques est au coeur du règlement, dans lequel le terme risque est cité environ 70 fois²⁵.

²⁴ Propos recueillis lors d'un échange informel avec Anne-Marie BENOIT le 31 mai 2018


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	36

L'atelier-conférences A3 de l'AMRAE²⁶ met en évidence 3 types de risques à prendre en compte par les organisations :

Spontanément, les risques juridiques et financiers semblent les plus préoccupants et on pense en premier lieu aux amandes significatives auxquelles s'exposent les organisations en cas de non-respect de la règlementation, que nous avons déjà détaillées dans notre première partie.

Cyril Bras, Responsable de la Sécurité des Systèmes d'Information de Grenoble Alpes Métropole, rappelle que « la CNIL a changé d'étiquette et n'est plus là pour enregistrer des déclarations, mais pour faire du contrôle et c'est sur le contrôle qu'ils seront financés. Ils ont donc intérêt à en faire beaucoup ». Il ajoute que si la CNIL a indiqué qu'elle se montrerai clémente dans un premier temps, elle devra aussi faire des exemples pour être prise au sérieux.

Les organisations seront aussi confrontées à des actions de groupe ou individuelles, nécessitant non seulement des modifications importantes de leurs processus, mais également le risque d'être attaquées en justice, mobilisant des ressources opérationnelles et pouvant occasionner le versement de dommages et intérêt aux intéressés. Le site comarketing.com évoque ainsi une étude récente de Pegasystems²⁷, selon laquelle 82 % des consommateurs


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	37

européens ont l'intention de faire valoir leurs nouveau droits, notamment en demandant la suppression de leurs informations personnelles.

C'est une inquiétude partagée par Céline Ambroise-Thomas, chargée du développement commercial de la société AIRRIA et de la communication liée au RGPD (cf. Annexe 4), qui craint une forme de dérive des demandes formulées par les salariés ou les clients, lesquels, au-delà de se préoccuper de leurs données personnelles, verraient surtout le moyen de faire des procès et d'obtenir des dédommagements.

Il en va de même sur le plan organisationnel, car les contrôles de conformité exigeront une importante disponibilité de la part des collaborateurs, avec le risque de se voir sanctionné, ce qui, indépendamment des amendes encourues, pourrait donner lieu à l'interdiction de réaliser des traitements indispensables à leur activité.

Les organisations devront préalablement investir du temps pour établir leurs registres de traitement et documenter leur conformité, ce que nous aurons l'occasion de détailler lorsque nous aborderons la mise en application du règlement.

En terme de réputation, le simple fait de devoir déclarer un sinistre, lié à un logiciel malveillant, un rançongiciel ou autre brèche de données, peut avoir de lourdes conséquences sur le capital confiance accordé par les clients, accentué par la concurrence qui ne manquera pas de relayer une telle information.

Une étude réalisée par Wavestone, participant à l'atelier A3 des rencontres AMRAE de février 2017, précise que 83 % des victimes de fuite de données pensent que l'entreprise n'est pas digne de confiance.

En pratique, les trois grandes familles de risques que nous venons d'aborder constituent un premier niveau d'analyse, mais il apparait que d'autres risques ont une dimension beaucoup plus globale, qui ne se limite pas à l'une de ces catégories. Nous les aborderons donc sous des angles différents.

Les risques liés à la sécurité sont assez nombreux, en particulier concernant la protection des informations collectées. La chasse aux données est ouverte depuis longtemps, car leur valeur n'a pas échappé aux cyber délinquants. Cela concerne bien entendu la sécurité physique des locaux, mais aussi la protection numérique des organisations. En l'espèce, on constate que le nombre de cyber-attaques a suivi une évolution exponentielle depuis 2010, comme en témoigne l'étude SYMANTEC ISTR ci-dessous, présentée lors de l'atelier A3 organisé par l'AMRAE.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	38

En adoptant une règlementation plus contraignante en matière de collecte, la difficulté à obtenir ces précieuses informations de manière légale pourrait potentiellement encourager le recours aux détournements et cyber-attaques en tout genre, accentuant les risques pour les organisations. Cela s'avère d'autant plus critique dans les entreprises qui s'exposent à des risques affectant directement leur capacité de production (supply chain) et leurs activités commerciales.

L'atelier B2, organisé par l'AMRAE en février 2018, évoque les différents types de cyberattaque au niveau mondial et nous donne une estimation de leur répercussions économiques en 2015. L'illustration utilisée, émanant de l'AFP, indique que son coût serait multiplié par 5 à l'horizon 2019. Cela permet de mesurer l'ampleur du phénomène et d'imaginer l'impact que cela aura sur les organisations.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	39

Interrogé sur les risques cyber, Cyril BRAS, RSSI de Grenoble Alpes Métropole (cf. Annexe 1), est très alarmiste sur la situation des administrations : « Je suis persuadé que si nous sommes confrontés à un problème de sécurité, qu'il touche des données personnelles ou pas, il risque d'y avoir un effet domino ou un effet miroir. Un pirate peut s'apercevoir que telle cible est facile à attaquer, donc il va faire aussi celle d'à côté, etc... ». Il explique que dans leur cas, ce n'est pas qu'une question de moyens, mais aussi de communication entre services et confrères. Il évoque également la sensibilisation des utilisateurs, dont le niveau de culture informatique et de responsabilisation est loin d'être à la hauteur des enjeux.

Les moyens de maitrise pour ce type de risques sont en premier lieu la sécurisation des infrastructures informatiques. Il conviendra pour les services informatiques et les prestataires d'adopter une politique de sécurité adaptée au niveau de risque encouru et de mettre en place les moyens appropriés : réalisation des mises à jour système et antivirus, administration des droits et mots de passe utilisateurs, paramétrage du firewall, contrôle des sauvegardes, audit d'intrusion, plan de reprise d'activité... La liste est loin d'être exhaustive.

Les contrats de maintenance souscrits auprès de prestataires informatiques devront être étudiés en détail. Le niveau d'engagement doit être clairement défini, voir réévalué, notamment quant au délai d'intervention en cas de sinistre, de supervision et de continuité de service.

Toujours sur le plan informatique, les logiciels métiers devront aussi être conformes au RGPD, en intégrant notamment un chiffrement des données, la possibilité de les anonymiser ou de les pseudonymiser, voire de les supprimer. Les sociétés utilisatrices devront s'assurer que ces fonctionnalités soient intégrées dans les applications qu'elles utilisent et les éditeurs devront potentiellement les intégrer si elles n'ont pas été prévues initialement. Stéphane Bergerat, dirigeant de CINETIC IT, mentionne la difficulté de trouver des solutions adaptées sur le marché, car la plupart ne traitent que partiellement les besoins, « entre ceux qui cryptent les disques, ceux qui cryptent les bases de données, ceux qui cryptent les PC, ceux qui cryptent les flux, c'est quand même très compliqué et je ne veux pas avoir 50 outils à gérer » (cf. annexe 6).

Le cas des prestataires nous permet d'aborder la notion de sous-traitance, sur lequel le RGPD insiste lourdement. En matière de risque, le règlement stipule que le sous-traitant intervenant sur un traitement s'en trouve de fait coresponsable. Un risque mis en évidence par l'AMRAE, car il peut concerner des sociétés de toute taille et tout type d'activité. Dans cette situation, il conviendra de réévaluer l'ensemble de ses contrats et engagements, en tenant compte des recours des tiers, qui pourront demander réparation en cas de préjudice (traitement inapproprié, fuite de données, cyberattaque). Le but est de bien identifier les responsabilités et le partage de risque. Un point également abordé par Alexis DUPIC, dirigeant de la société OPTIMEX Data, expert juridique en protection des données, interrogé le 4 mai 2018 dans le cadre de notre étude de terrain (cf. Annexe 5). Il insiste cette responsabilité conjointe du sous-traitant dans la réalisation des traitements qui lui sont confiés et qui lui imposent de tenir un registre de traitement. Ce qui se révèle particulièrement difficile à assumer pour les petites structures qui ne sont pas organisées pour gérer de telles obligations.

Sur la base de ces éléments, l'AMRAE préconise la prise en compte des coûts liés à une non-conformité au RGPD et l'intérêt de bien contractualiser les relations et obligation liées au traitement de données à caractères personnel, que l'entreprise se trouve en position de


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	40

responsable de traitement, de donneur d'ordre ou de sous-traitant. Cet aspect est d'ailleurs bien identifiés par les prestataires informatiques interrogés. La société EVOS Infogérance indique qu'elle a déjà soumis l'ensemble de ses contrats à son juriste et CINETIC IT a bien compris qu'elle devrait très certainement ajouter des clauses supplémentaires dans ses contrats de sous-traitance.

Si l'adaptation des contrats permet de mieux définir les responsabilités respectives des parties, cela porte logiquement sur la notion de couverture et d'assurance. L'AMRAE aborde bien entendu cette question en terme de risque et d'impacts financiers, au travers d'un article publié par Les Echos en juillet 2017²⁸.

L'article s'appuie sur une étude commandée par le Lloyd's of London (cf. illustration ci-après), le grand marché de l'assurance du monde, visant à évaluer les répercussions économiques dans le cas de cyberattaques majeurs et à sensibiliser sa clientèle sur l'ampleur du risque cyber. Les résultats sont édifiants et comparables aux répercutions de l'ouragan Sandy de 2012, considéré comme le plus coûteux de l'histoire.

28 Les entreprises trop peu couvertes contre le cyber-risque - lesechos.fr - Jérémy Bruno - 17/07/2017


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	41

Pour maitriser ce risque, les organisations devront donc s'intéresser à leurs polices d'assurance et réexaminer la couverture dont elles bénéficient, en envisageant la souscription de contrats adaptés au niveau des risques qu'elles encourent, en particulier dans le cas de cyber-attaques ou de sanctions réglementaires.

L'AMRAE fait référence à de nouveaux contrats spécifiquement adaptés aux risques cyber. Selon l'Observatoire des Produit d'Assurance¹, la souscription de cyber-assurances est en forte progression depuis 2017, compte tenu de l'entrée en vigueur du RGPD, mais également de la recrudescence des attaques visant des entreprises de toute taille.

Une étude réalisée par le CESIN (Club des Experts de l'Information et du Numérique), mentionne que 40 % de leurs adhérents ont souscrit un contrat de ce type, 15 % sont en cours de souscription et 22 % l'envisagent sérieusement. Ces chiffres sont disparates sur le plan géographique, puisque la grande majorité de ces organisations sont de grands groupes basées aux Etats Unis (85 %), alors que ce type de couverture est encore peu développé en Europe (9 %). Paradoxalement, cette étude observe que les attaques concernent principalement les petites structures (60% de PME et TPE), qui sont peu assurées. Mais il est certain qu'avec l'arrivée du RGPD, ces proportions sont appelées à évoluer et le marché mondial de la cyber-assurance est évalué entre 3 et 3.5 milliards d'Euros.

Vis-à-vis de leurs clients, adhérents ou partenaires, les organisations ont tout intérêt à mettre en avant leur conformité. La réalisation d'un audit RGPD, permettra entre autre d'être accompagné dans le processus d'évaluation des risques et à terme d'obtenir une certification. Les conditions d'obtention sont en cours d'élaboration, comme l'évoquait Alexis Dupic d'OPTIMEX Data (cf. interview en annexe 5) et comme le mentionne encore le site de la CNIL², mais une telle certification sera de nature à rassurer les interlocuteurs et pourra pondérer le risque réputationnel évoqué précédemment.

Dans leur communication, les organisations devront désormais prendre en compte l'obligation de notification des individus en cas de sinistre impactant leurs données personnelles. Cette nouvelle obligation peut s'avérer coûteuse selon les mesures à prendre pendant et après le sinistre.

Un risque de submersion des canaux de communication de l'entreprise par les clients est probable. Le temps qu'il faudra consacrer à chaque demande est évalué entre cinq et vingt minutes par appel selon Laurent Hesnault, Director Security Strategist de Symantec, intervenant lors de l'atelier B2 de l'AMRAE.

D'après une étude réalisée par la société SENZING, évoquée dans un article publié sur le site L'ADN³, une entreprise recevra en moyenne 89 demandes par mois liées au RGPD. Ce chiffre leur permet d'en déduire une surcharge de travail mensuelle de l'ordre de 172 heures, soit 8 heures par jour, nécessitant l'embauche d'un salarié supplémentaire. Cela dépend de la

1 La cyberassurance décolle progressivement en France - Liorah Benamou - L'Observatoire des Produits d'Assurance - 01/03/2018

3 Une entreprise recevra 89 demandes liées au RGPD chaque mois ! - ladn.eu - Yann Pierolo - 19/02/2018


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	42

taille de l'entreprise, mais ces chiffres sont forcément exponentiels plus elle est importante. En se basant sur cette moyenne et partant du principe que les sources de données sont plus nombreuses, dans les grands groupes cela prend des proportions démesurées, évaluées à 1259 heures mensuelles, soit 7,5 employés supplémentaires !

En outre, Laurent Heslault extrapole un risque de malveillance de la part de cybercriminels qui pourraient utiliser des techniques visant à noyer les centres d'appel pour les rendre inopérants, occasionnant en prime une frustration accrue des clients.

Selon la probabilité d'être confrontées à une telle situation, les organisations devront anticiper ces flux entrants, pour disposer des ressources suffisantes pour les prendre en charge. Il conviendra parallèlement de prévoir une communication proactive visant à rassurer tous les clients, en leur apportant la garantie que les dispositions nécessaires ont bien été mises en oeuvre, lesquelles seront de surcroît, plus ou moins lourdes à assumer pour l'entreprise.

Un autre aspect de la communication concerne les dérives observées autour du RGPD, comme l'ont décrit la plupart des professionnels interrogés sur le terrain. Cyril Lebras de Grenoble Alpes Métropole évoquait des démarches commerciales douteuses misant sur la méconnaissance du sujet des personnes sollicitées. Romain Ivoy d'EVOS Infogérance ironisait sur cet effet RGPD, caricaturant l'opportunisme de ces sociétés qui pourraient même proposer des souris ou des imprimantes « RGPD ready ».

Un article publié sur le site Numerama¹ confirme que la CNIL a bien conscience de ce dévoiement, puisqu'elle a lancé une campagne « #StopArnaque » pour contrer l'assaut des pseudo-experts malveillant qui surfent sur le thème du RGPD. La CNIL remarque : « L'objectif est de vous faire appeler un numéro surtaxé, de vous faire signer un engagement coûteux, en vous envoyant ensuite une documentation générale déjà accessible en ligne ». Encore plus grave, il peut aussi s'agir « de collecter des informations sur votre organisation pour préparer une escroquerie ou une attaque informatique. »

Comme le préconise l'article, le meilleur moyen d'éviter de se faire piéger est d'être à même de distinguer les experts compétents des charlatans. Cela renforce l'intérêt de nommer un référent RGPD, à défaut d'un DPO, vers lequel pourront être redirigées ces démarches.

Une autre forme de risque peut être identifiée, dans la capacité des organisations à assumer leur mise en conformité, que ce soit les entreprises et autres associations ou les institutions elles-mêmes.

Au grés de nos lectures et des retours d'expérience que nous avons pu collecter, nous avons constaté que l'appréhension et la capacité à assumer la mise en conformité se révèle plus


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	43

complexe pour les petites structures. Elles ne disposent pas des mêmes moyens, humains comme financiers, pour gérer la mise en place du RGPD.

De manière générale, le risque de non-conformité est particulièrement prégnant pour les PME et TPE, comme le constate Romain Ivoy d'EVOS Infogérance (Cf. Annexe 2) auprès de ses clients, qui sont accaparés par l'opérationnel et ont du mal à appréhender le règlement, « ils n'ont eu aucune réflexion et la plupart ne savent même pas ce que c'est ». Il ajoute que ces structures ont déjà du mal à assurer leur charge de travail quotidienne et qu'elles considèrent qu'il s'agit d'une contrainte parmi d'autres, voire d'un sujet subalterne. Stéphane Bergerat de CINETIC IT (cf. Annexe 6) fait le même constat, « je pense que la petite PME du coin, qui gère ses 30 ou 40 clients, cela lui passe largement au-dessus de la tête ». Alexis Dupic d'OPTIMEX Data déplore lui aussi un manque d'accompagnement adapté à ces entreprises et que l'application du règlement ne fasse aucune distinction entre un artisan et un géant du numérique. Il cite notamment le cas d'une entreprise individuelle qui a dû recourir à ses services d'audit et conseil, pour espérer conserver ses marchés publiques, qui exigeaient une preuve de conformité des logiciels qu'il développe.

La CNIL l'a bien compris et précise qu'elle entend faire preuve de « souplesse et de pragmatisme », comme le mentionne je journaliste Florian Debes dans un article paru dans Les Echos High-Tech le 25 mai 2018¹. Le régulateur aurait bien conscience de « la hauteur de la marche à franchir pour les sociétés les plus fragiles, notamment les PME ». La mise en application du nouveau règlement ayant engendré une « peur du gendarme » virant à la panique générale, les autorités de contrôle françaises ont confirmé que dans un premier temps, elles se limiteraient à sanctionner les manquements aux obligations qui étaient déjà en vigueur dans les lois françaises précédentes.

Ce même article des Echos High-Tech, stipule que l'enjeu du RGPD est surtout de ne pas manquer sa cible. Cette phrase fait précisément référence à la disproportion des obligations qui s'imposent aux petites structures, qui constituent « un nième bâton mis dans leur roue par l'administration », pour reprendre le propos de Jean-Marc Vottori dans un éditorial également paru dans Les Echos du 25 mai dernier².

Ces deux articles sont d'ailleurs assez convergents dans leur analyse, évoquant les géants du numériques américains et chinois, qui à l'opposé sauront s'adapter beaucoup plus facilement au RGPD et risquent surtout d'en profiter pour assoir leur position sur le marché. Ce sera au détriment des entreprises européennes, qui ne comptent aucun géant du numérique. Etienne Drouard, avocat du cabinet K&L Gates, insiste sur le fait que « ces entreprises savent très bien inventorier les données présentes dans leurs systèmes et ont donc déjà une vue centrale sur toute les informations personnelles qu'elles détiennent ». ¹ Ce qui permet à l'auteur¹ de conclure que sur ce point, « le RGPD leur demande simplement d'exceller là où elles sont les meilleures... », ce qui va à l'encontre du but recherché par le règlement, d'autant que les systèmes d'informations des entreprises européennes sont loin d'être aussi structurés que chez leurs homologues anglosaxons et asiatiques.

1 L'Europe lance son big bag de la protection des données - Florian Debes - Les Echos High-Tech - 25/05/2018

2 RGPD, un fort bel outil à double tranchant - Editorial de Jean-Marc Vottori - Les Echos 25/05/2018


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	44

Un dernier aspect concerne l'application du règlement dans les différents Etats européens, qui n'ont pas le même historique, ni la même sensibilité, en matière de protection des données. Certains n'avaient tout bonnement aucune réglementation nationale et doivent désormais transposer le texte dans leur législation ou l'appliquer tel que les instances européennes l'ont défini, ce qui implique notamment la création d'une autorité de contrôle qui n'existait pas et donc un processus d'adaptation plus laborieux. C'est une difficulté évoquée lors des rencontres de l'AMRAE, qui met en évidence un risque supplémentaire auxquels sont confrontées les entreprises.

La position de ces Etats membres ne leur permet pas de se conformer complètement à la nouvelle législation et ils peuvent en retirer un certain profit par rapport aux autres. L'AMRAE cite le cas de l'Espagne qui cherche à attirer les entreprises en mettant en avant une réglementation nationale moins stricte vis-à-vis de son retard. Une telle situation leur donne un avantage concurrentiel par rapport aux autres Etats de l'Union et il faudra que les instances européennes trouvent le moyen d'endiguer cette dérive qui sera potentiellement source de conflit.

Pour être plus exhaustif concernant les risques, il convient aussi de s'intéresser aux institutions elles-mêmes, qui contrairement à ce qu'elles pensaient sont tout aussi impactés par le RGPD que les autres organisations.

C'est ce que Cyril Bras de Grenoble Alpes Métropole (cf. Annexe 1) nous a confié lors de notre échange. Il observe que les administrations ont seulement découvert la problématique RGPD il y a quelques mois et a le sentiment qu'elles pensaient ne pas être concernées par le volet sanctions. Mais cela leur a été bien été confirmé, « même si il y aura certaines adaptations liées au fait qu'elles ne sont pas des entreprises et qu'il n'y a pas de notion de business ». C'est assez contraignant, car elles ont du retard sur la protection des données et la culture de la sécurité en général était parfois inexistante. Il estime que c'est justement une bonne chose, car l'application du règlement les responsabilise. Les informations qu'elles collectent, sont certes nécessaires à leur fonctionnement, mais se révèlent particulièrement sensibles. Et même si elles n'ont pas vocation à en tirer profit, les risques auxquelles elles s'exposent n'en sont pas moins importants. Elles disposent d'informations personnelles très précises sur la situation des administrés, que ce soit en terme de revenus, de situation familiale ou encore de santé. Le retard qu'elles ont accumulé, même vis avis des réglementations précédente est considérable et il était temps qu'elles se montrent plus proactives en matière de gestion des risques. Il illustre ces risques au travers de plusieurs exemples d'attaques cyber qui pourraient paralyser les collectivités, avec toutes les incidences que cela implique en terme d'accès aux services publiques qu'elles sont censées garantir. Le cas de la ville d'Atlanta qui a récemment été victime d'un rançongiciel en est la parfaite démonstration. L'ensemble des services de la ville ont été interrompus et au-delà de la somme réclamée par les pirates informatiques, la mise en conformité du système d'information a nécessité un investissement de 2.7 millions de Dollars. Des impacts financiers considérables, mais également une atteinte à l'image pour la ville et ses élus. Cyril Bras voit dans l'adoption du règlement l'occasion de mettre en place de bonnes pratiques et de ne plus attendre d'être confronté à un problème pour réagir.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	45

Un article de David Legrand publié en avril 2018 sur le site Next Inpact¹, met aussi en évidence le retard des administrations françaises. Il parle même du laxisme de nombreux sites publics qui diffusent leurs vidéos via des plateformes d'hébergement telles que YouTube ou Dailymotion, comme le site des impôts, ou qui intègrent des liens Instagram et Facebook ( Service-public.fr, Hadopi, le site du CSA), qui sont loin de garantir un niveau de protection approprié en matière de collecte des données personnelles des usagers.

S'agissant des institutions et pouvoirs publiques qui sont censés montrer l'exemple, le propos d'Alexis Dupic (cf. Annexe) prend tout son sens, car effectivement « ce serait un comble qu'ils ne soient pas eux-mêmes en conformité avec ce qu'ils nous demandent ».

Cela nous permet d'aborder un dernier risque, qui réside dans la capacité de nos institutions, nationales et européennes à appliquer les dispositions prévues par le règlement. Stéphane Bergerat de CINETIC IT s'interrogeait sur la capacité des intervenants de la CNIL à pouvoir reconnaitre les données qui seraient strictement nécessaires pour un traitement, car cela nécessite une connaissance métier et les besoins diffèrents d'une organisation à l'autre.

L'application des sanctions est également source de questionnement pour Florian Debes², car un groupe américain contrevenant reconnu coupable par la justice européenne, pourrait simplement fermer ses comptes en Europe pour ne pas se conformer à la décision.

Cela reflète bien l'approche très européenne évoquée par Romain Ivoy d'EVOS Infogérance, qui consiste à « légiférer avant de faire ». Un travers mis en exergue dans l'éditorial de Jean-Marc Vottori³, qui reprend une boutade lancée par Emma Marcegaglia, à l'époque où elle dirigeait le patronat italien : « D'une innovation, les américains font un business, les chinois une copie et les européens une réglementation... ».

2 L'Europe lance son big bag de la protection des données - Florian Dèbes - Les Echos High-Tech 25/05/2018

3 RGPD, un fort bel outil à double tranchant - Editorial de Jean-Marc Vottori - Les Echos 25/05/2018


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	46

Pour la mise en oeuvre du RGPD, les entreprises peuvent s'appuyer sur une méthodologie structurée publiée par la CNIL⁴, qui leur permettra de préparer leur mise en conformité. Cette méthode repose sur 6 points que nous allons détailler et illustrer par les retours d'expérience que nous avons pu collecter au travers de notre revue littéraire et de l'enquête de terrain réalisée auprès de professionnels.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	47

La CNIL rappelle que la désignation d'un DPO n'est obligatoire que dans certains cas, que nous avons détaillés en première partie, mais recommande fortement la désignation d'une personne en interne qui pourra s'assurer de la mise en conformité au règlement.

Ce référent sera le « chef d'orchestre de la conformité en matière de protection des données au sein de son organisme »⁵. Le DPO ou le référent qui aura été désigné sera chargé des missions suivantes :

- Informer et conseiller les responsables de traitement ou les sous-traitants, ainsi que

- Contrôler le respect du règlement et du droit national en matière de protection des données ;

- Conseiller l'organisme et vérifier la bonne exécution des études d'impact ;

Il lui incombe de se tenir informé du contenu et de l'évolution des obligations imposées par le RGPD, de mettre en place des actions de sensibilisation, notamment à destination des décideurs quant aux impacts liés au règlement, de réaliser l'inventaire des traitements de données de l'organisme et de piloter la conformité dans le temps.

Un recensement précis des traitements impliquant des données personnelles doit ensuite être réalisé, pour établir le registre des traitements qui sera exigé lors des contrôles et qu'il faudra ensuite réactualiser régulièrement.

Ce registre permet de référencer ces différents traitements, d'identifier les catégories de données personnelles traitées et de préciser les objectifs poursuivis par ces opérations. Les acteurs impliqués dans ces traitements doivent être clairement identifiés, qu'il s'agissent de salariés de l'organisation ou d'intervenants externes (sous-traitants), avec les clauses de confidentialité que cela suppose. Pour obtenir une cartographie, les flux entrants et sortants, permettant d'identifier la provenance et la destination de ces données, doivent bien entendu être spécifiés, à fortiori s'ils impliquent des transferts en dehors de l'Union Européenne.

La CNIL synthétise cette démarche par quelques questions simples que les organisations doivent se poser lorsqu'elles engagent leur recensement :

- Qui ? : Identification du ou des responsables du traitement, des responsables de services opérationnels et des sous-traitants impliqués.

- Quoi ? : Identification des catégories de données traitées, de leur niveau de sensibilité
et des risques soulevés.

- Jusqu'à quand ? : Durée pendant laquelle chaque catégorie sera conservée.

- Comment ? : Mesures de sécurité adoptées pour les protéger, au regard des impacts


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	48

En s'appuyant sur le registre des traitements, les organisations devront prioriser les actions à mener pour se conformer à leur nouvelles obligations. Cette priorisation dépendra d'une part de leur impact sur les droits et les libertés des personnes concernées et d'autre part de leur complexité. Au-delà de cette notion de risques, la CNIL conseille de traiter les actions les plus simples à réaliser, afin de progresser plus rapidement.

Quelque soient les traitements, l'organisation doit se montrer attentives aux aspects suivants :

- S'assurer que la collecte se limite aux données strictement nécessaires à la poursuite

- Identifier la base juridique sur laquelle ses traitements sont fondés (consentement des
personnes, intérêt légitime, contrat, obligation légale...).

- Envisager la révision de ses mentions d'information pour être conforme aux exigences règlementaires.

- Vérifier que les clauses contractuelles de ses sous-traitants soient adaptées au niveau de sécurité, de confidentialité et de protection des données qui leurs sont confiées, tout en s'assurant qu'ils soient conscients de leurs obligations et responsabilités.

- Prévoir les modalités d'exercice des nouveaux droits que les personnes sont susceptibles d'exercer : droit d'accès, de rectification ou d'effacement, retrait de consentement ou droit à la portabilité.

- S'assurer que les mesures de sécurité appropriées aient été mises en place.

Une vigilance particulière devra être accordée à certains types de traitements :

- Comportant des données sensibles concernant des mineurs, les opinions, les origines raciales ou ethniques, les orientations sexuelles, la santé, la génétique, la biométrie, ou encore les infractions et condamnations pénales.

- Ayant pour objet ou pour effet une surveillance systématique à grande échelle de lieux publiques, un profilage pouvant donner lieu à des décisions juridiques ou qui affecteraient significativement les individus considérés.

- Impliquant un transfert des données hors de l'Union Européenne, qui devra être encadré de manière contractuelle, ou par des accords internationaux, ou à défaut de garanties appropriées, faire l'objet d'une dérogation soumise à l'approbation des autorités de protection des données.

Pour les traitements comportant un niveau de risque identifié comme élevé pour les droits et libertés des personnes concernées, une analyse d'impact sur la protection des données (PIA) doit obligatoirement être réalisée. Ce PIA est une analyse d'impact sur la vie privée qui s'appuie sur 2 points essentiels :

- Le respect « non négociable » des principes et droits fondamentaux fixés par le règlement.

- La mise en place de mesures techniques et organisationnelles appropriées pour protéger les données personnelles et la vie privée des personnes concernées.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	49

En plus du descriptif du traitement et de ses finalités, un PIA doit comporter une évaluation de sa nécessité et de sa proportionnalité, ainsi que des risques encourus par les personnes concernées.

Pour s'assurer de la conformité d'un traitement, le PIA devrait être réalisé avant sa mise en oeuvre, qu'il soit supposé engendrer un niveau de risque élevé ou non. Il s'agit d'un processus itératif, qui devra être réévalué régulièrement et en particulier en cas de modification des modalités du traitement.

Le G29 a défini 9 critères permettant d'évaluer la criticité d'un traitement et préconise vivement la réalisation d'un PIA lorsque le traitement en rencontre au moins 2.

Une analyse d'impact doit mobiliser les équipes métier de l'entreprise, le(s) sous-traitant(s), le responsable du traitement et le DPO, mais également solliciter l'avis des personnes concernées.

Pour accompagner les organisations dans la réalisation d'un PIA, la CNIL met à leur disposition une méthode et un catalogue de bonnes pratiques, ainsi qu'un logiciel permettant de formaliser cette analyse, qui sont accessibles et directement téléchargeables sur son site.

La mise en place de procédures internes permet aux organisations de garantir le haut niveau de protection des données personnelles exigé par le RGPD, en tenant compte de l'ensemble des évènements qui pourront intervenir au cours de la vie du traitement (brèches de sécurités, demandes d'accès ou de rectification, modification du traitement, changement de prestataire...).

- Le privacy by design ou by défaut, soit la prise en compte de la protection des données personnelles dès la conception d'une application ou d'un traitement, sur la base des fondamentaux du RGPD.

- La sensibilisation des collaborateurs de l'entreprise, afin qu'ils puissent faire remonter
les informations au responsable du traitement et au DPO.

- La prise en compte des réclamations et des demandes formulées par les personnes concernées qui souhaiteront exercer leur droit.

- L'anticipation des mesures permettant d'informer les autorités et les personnes
concernées en cas de violation des données.

Concernant la notification de violation, en attendant qu'un téléservice en ligne soit opérationnel, la CNIL met à disposition un formulaire téléchargeable sur son site.

En cas d'inspection par l'autorité de contrôle, l'organisation doit pouvoir justifier de sa conformité. Il lui appartient donc de formaliser et de regrouper dans un dossier l'ensemble des dispositions mises en oeuvre dans le cadre du RGPD, à savoir :

- La documentation relative aux différents traitements de données personnelles (registres de traitement, analyses d'impact, encadrement des transferts de données hors Union Européenne).


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	50

- Les mentions d'information des personnes concernées (consentements, procédures leur permettant d'exercer leurs droits).

- Les contrats définissants les rôles et responsabilités (sous-traitants, preuve de
consentement, procédure de notification).

L'ensemble de ces dispositions étant relativement lourdes à apprécier pour les entreprises et en particulier pour les petites structures, la CNIL et BPIFRANCE Le Lab (Laboratoire de la Banque Publique d'Investissement) ont publié conjointement un « Guide pratique de sensibilisation au RGPD » à destination des PME et TPE. L'objectif est d'aider ces structures à s'approprier le règlement, en vulgarisant ses objectifs et ses conditions d'application.

Pour piloter la conformité, l'AMRAE⁶ préconise la nomination d'un chef de projet, qui ne sera pas forcément le DPO ou le CIL, mais un expert de la transformation capable de faire bouger le structure.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	51

Ce chef de projet sera chargé d'organiser la mise en conformité de la manière suivante :

- Concevoir les nouveaux services ou solutions pour la conformité du système d'information (intégrer privacy by design, privacy impact assessment), avec des mesures de chiffrement des données, d'anonymisation, de surveillance et sécurisation pour la DSI.

Les prestataires informatiques que nous avons pu interroger confirment que la conformité avec le RGPD est avant tout un sujet juridique et organisationnel. Certaines ESN (Entreprises du Secteur Numérique) ont pu voir dans le nouveau règlement l'occasion de proposer des services supplémentaires à leurs clients et ont engagé des démarches de sensibilisation ou de prospection, obtenant parfois de bons résultats. Mais tous nos interlocuteurs s'accordent à dire que l'informatique n'intervient qu'à la fin du processus, dans la mise en place de moyens adaptés à la criticité des traitements réalisés par les organisations.

S'agissant d'un sujet juridique, les organisations doivent en premier lieu se rapprocher d'un expert compétent sur le sujet, qui peut être leur conseil habituel ou d'un cabinet plus spécialisé.

C'est le cas d'OPTIMEX Data qui a accepté de nous rencontrer et de nous faire part de son expérience (cf. annexe 5). Alexis Dupic, créateur et co-dirigeant de l'entreprise, est issu d'une formation de juriste et s'est spécialisé dans la protection des données. Constatant qu'il n'existait pas sur la région de structure spécialisée dans conformité RGPD, il a décidé l'année dernière avec son associée de proposer des services d'accompagnement pour les organisations, au travers d'audits, de formations ou de prestations de DPO externalisé. Le changement majeur avec le RGPD est qu'il « renverse la charge de la preuve ». En cas d'incident ou de réclamation, l'organisme doit pouvoir démontrer « que ses traitements sont légitimes , que les moyens utilisés sont proportionnels, que les traitement sont sécurisés ».

C'est justement vers OPTIMEX Data que la société AIRRIA a choisi d'orienter ses clients et partenaires, ayant compris qu'un tel partenariat pourrait se révéler vertueux pour leurs deux structures. Céline Ambroise-Thomas, chargée du développement commercial et de la communication liée au RGPD (cf. Annexe), explique qu'ils ont préféré orienter les demandes vers un expert juridique, à même de les conseiller et de les accompagner. Cela leur a également permis d'organiser conjointement des réunions d'informations pertinentes, puis en fonction des besoins exprimés par les clients ou des recommandations d'OPTIMEX Data, d'intervenir sur leur coeur de métier pour adapter le niveau de service ou de moyens mis en oeuvre.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	52

Nous avons ensuite eu l'opportunité d'interroger Guillaume Pourquié, DPO de Grenoble Ecole de Management (cf. annexe 3), qui a pu nous livrer un précieux témoignage sur l'exercice opérationnel de cette fonction.

La mise en place du RGPD au sein de l'école nécessite d'engager un travail de cartographie, qui concerne l'ensemble des entités pouvant adresser le système d'information, afin d'identifier ce qu'ils manipulent et comment ces informations sont sécurisées. Cela passe par une mission d'information et de sensibilisation des utilisateurs, pour s'assurer de leur coopération et leur « délivrer un minimum de bagage pour qu'ils puissent faire leur métier en conscience et en connaissance de cause ». C'est l'occasion de mettre en place les appuis nécessaires dans chaque service et entité, afin de référencer et documenter les traitements qu'ils réalisent.

En amont, il a pu compter sur la mobilisation et le répondant des services Juridique, Informatique et Qualité, ce qui est essentiel. Au niveau des utilisateurs, ils s'impliquent également volontiers, ce qui est en partie lié à la jeunesse et la philosophie de l'école, consciente qu'il en va de sa responsabilité sociétale. Il estime également avoir la chance de pouvoir échanger avec des interlocuteurs ouverts sur ces questions, en particulier avec certains enseignants, pour lesquels il est même amené à intervenir dans le cadre de cours liés au numérique.

Pour la tenue des registres de conformité et la documentation, il s'appuie sur les outils existants, qu'il utilisait déjà en tant que CIL et sur la trame Excel proposée par la CNIL. Mais il a déjà pu identifier des outils de gestion de projet adaptés au métier de DPO (Ricil, DPMS, DPO Consulting, Captain DPO...), qu'il compte sélectionner dans un second temps.

A ce stade, une cartographie générale a déjà pu être réalisée et un fichier partagé, permet un travail collaboratif avec les relais identifiés dans chaque entité, qui deviendront potentiellement les futurs responsables de traitement.

Selon lui, la partie la plus contraignante est la modification des bases de données existantes, lorsqu'il faut mettre en place la portabilité ou la suppression des données, qui n'est pas un processus anodin quand cela n'a pas été pris en compte lors de la conception : « Je travaille à identifier ce qui est de l'ordre de l'archivage ou de la donnée de conservation ».

Pour le moment, le nombre de DPO nommés est assez faible, mais il peut s'appuyer sur l'AFCDP (Association Française des Correspondants à la Protection des Données), ce qui lui permet d'échanger avec d'autres DPO et de participer à des ateliers ou conférences.

Pour Guillaume Pourquié ce qui a été mis en place est juste un point de départ, car « il est impossible d'être en conformité au 25/05 ». Il ajoute « qu'être en conformité ne veut malheureusement pas dire grand-chose, car le RGDP est un processus d'amélioration continu ». En l'état actuel, il se montre assez serein et précise qu'en cas de contrôle des autorités, il est à même de démontrer que GEM est vraiment impliqué pour maîtriser ce sujet et s'est doté des moyens qui permettront de le piloter.

Nous terminerons ce témoignage par une considération empreint de bon sens : « Le RGPD doit être une préoccupation quasi permanente pour tout le monde, mais ce n'est pas le fond du métier, qui consiste à dispenser des cours et de former des étudiants. Il faut donc un certain talent pour conjuguer les deux ».


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	53

Du côté de Grenoble Alpes Métropole, la nomination de Cyril Bras au poste de RSSI (Responsable de la Sécurité du Système d'Information) est très récente. il est encore en phase d'audit pour répertorier les moyens mis en oeuvre en terme de sécurité et pendre les contacts nécessaires dans les différentes entités que compte la communauté de communes. Il n'a pas vocation à devenir DPO, la collectivité ayant décidé d'avoir recours à un prestataire, mais en attendant il travaille déjà en étroite collaboration avec celui de la ville de Grenoble.

En fonction des organisations et indépendamment des enjeux, il apparait que la mise en place du RGPD en soit encore à ses balbutiements.

La date fatidique du 25 mai étant échue, il semble que les entreprises aient été quelques peu rassurées par la position de la CNIL, qui même si elle fera certainement des exemples dans les mois qui viennent, elle se concentrera d'abord sur la bonne volonté que pourront démontrer les organisations et sur l'applications des dispositions qui devaient déjà être en place avant l'entrée en vigueur du RGPD.

Mais globalement, il apparait que la France est loin du compte et comme l'indiquait Romain Ivoy d'EVOS Infogérance (cf. Annexe 2), qui estimait que les entreprises feraient des efforts, mais n'allaient probablement pas « s'énerver plus que ça ».

En février 2017, une première étude réalisée par les entreprises SERDALAB et ARONDOR, publiée sur le site INfluencia⁷, donnait une tendance d'une niveau de maitrise du sujet par les organisations.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	54

A la même période, l'atelier A3 organisé par l'AMRAE⁸ fournissait, sur la base d'un rapport de SYMATEC, une vision plus générale de l'état d'esprit des entreprises françaises comparé au reste de l'Europe.

En préambule de son dossier thématique sur le RGPD et les données personnelles, le site leslivresblancs.fr⁹ nous apporte des éléments complémentaires émanant d'une étude menée par Senzing début 2018. Bien qu'elles aient eu 2 ans pour se préparer, 60 % des entreprises interrogées avouent qu'elle ne seraient pas prêtes pour l'application du RGPD et 40

% des grandes entreprises estimaient qu'elles ne le seraient pas totalement. Concernant
les risques financiers ou réputationnels encourus, les entreprises se révélaient également peu sensibilisés : 50 % des grands groupes les mesurent à leur juste valeur, contre 38 % des PME et seulement 29 % des TPE et microentreprises.

Un sondage plus récent réalisé par NetApp auprès de sociétés basées aux États-Unis, Royaume-Uni, France et Allemagne et employant plus de 100 employés, est évoqué dans un article du site Numerama¹⁰. Il ressort qu'en mars 2018, 67 % d'entre elles estiment qu'elles ne seraient pas prêtes pour le RGPD. L'article révèle par ailleurs que 35 % de ces sociétés


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	55

s'inquiètent des répercussions économiques que pourraient occasionner leur non-conformité et que 51 % se préoccupent des retombées en terme de réputation.

Comme le soulignait l'étude du site INfluencia¹¹, il convient de s'interroger sur ce manque d'anticipation et de mobilisation de la part des organisations. L'enquête Deloitte publiée sur ce site nous donne quelques éléments de réponse :

- 56% déplorent une méconnaissance des outils ou des compétences susceptibles de les accompagner sur le sujet.

Des chiffres qui, toujours selon cette étude, apparaissent assez logiques, dans la mesure où 50% des organisations n'avaient pas de CIL en interne, qui aurait pu les aider à s'approprier le sujet. Par ailleurs, seules 30% d'entre elles ont intégré un DPO et 27% seulement se disaient inquiètes des sanctions dont elles pourraient faire l'objet, faute d'être en conformité.

Pour Florence Berthier, cela traduit un manque de curiosité et une désinvolture surprenants, qui frise même l'absence de professionnalisme.

Cela reflète bien la difficulté des organisations à s'approprier le RGPD, leur manque d'accompagnement et plus globalement un problème de perception quant aux enjeux du règlement. Nous verrons dans le chapitre suivant, que ces enjeux vont bien au-delà du règlement et que les contraintes perçues par les organisations recèlent également de vraies opportunités qu'il leur appartient de saisir.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	56

Nous avons abordé dans le chapitre précédent, au travers des risques et impacts, ou de état d'esprit des entreprises vis-à-vis du RGPD, que ces nouvelles obligations sont surtout vécues comme des contraintes.

Compte tenu de la complexité du texte, son interprétation, sa transposition et ses répercutions nécessitent des compétences dont peu d'organisations disposent en interne.

Cela nécessite d'être accompagnés par des experts juridiques et la mobilisation de ressources internes (chef de projet ou référent, responsables de traitement), voire la création de nouveaux postes (DPO, fonctions support). Ces ressources devront être formés ou à minima sensibilisés sur les aspects légaux et pratiques, pour pouvoir assurer l'interface avec les conseils, les autorités de contrôle et toutes les personnes impliquées dans les traitements.

L'ensemble des contrats devront être réétudiés, avec les clients ou adhérents (conditions générales de vente, contrats de services, demandes de consentement), les fournisseurs (conformité, modifications de leurs propres contrats) et sous-traitants (responsabilités et obligations respectives), les salariés (contrat de travail, clauses de non divulgation, charte informatique)...

Comme l'indiquait Guillaume Pourquié, DPO de GEM (cf. Annexe 3), c'est bien l'ensemble des services de l'organisation qui devront être impliqués dans la durée, ce qui demande une réorganisation significative pour mettre en place et suivre les processus nécessaires.

En fonction des obligations et du niveau de sécurité nécessaire, la niveau de sécurité, les moyens techniques et le système d'information de l'entreprise devront être réévalués et potentiellement modifiés. Ce qui pourra occasionner des investissements ou la souscription de services supplémentaires : Matériels, logiciels et maintenance informatiques, assurances, embauche de nouveaux collaborateurs...

Le fait d'être limitées dans l'utilisation et la procession des données personnelles nécessaires à leur activité est également une réelle entrave au développement de l'activité des entreprises.

Cette liste qui est loin d'être exhaustive et a surtout un coût pour l'entreprise, avec des répercutions sur son organisation, compte tenu du temps qu'il faudra consacrer à cette mise en conformité, mais également des budgets qui devront être investis et qui n'ont souvent pas été anticipés.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	57

Bien entendu, il faut ajouter les sanctions et amendes auxquelles s'expose l'organisation en cas de contrôle, si les autorités estiment qu'elle n'a respecté les dispositions requises par le règlement et qu'elle n'est donc pas en conformité.

Le fait de se voir limitées dans l'utilisation et la procession des données personnelles nécessaires à leur activité est aussi difficile à accepter et remet dans certain cas en cause leur business model et leur profitabilité.

La plupart des organisations ont donc le sentiment de subir le nouveau règlement et les contraintes auxquelles elles se trouvent confrontées ne leur permettent pas toujours de percevoir les bénéfices qu'elles pourraient en retirer.

Les articles, livres blancs, réunions, séminaires, mooks , guides d'information et autres offres d'accompagnement en tous genres pullulent autour du nouveau règlement et nous avons vu qu'il peut être difficile de s'y retrouver pour les organisations. Elles ont certes besoin d'être informées, mais « trop d'information tue l'information » et ce tapage vire à la cacophonie.

Mais un point revient régulièrement dans toutes ces communications, c'est qu'en dépit de l'aspect obligatoire et de la peur du gendarme, le RGPD présente aussi des opportunités pour les organisations. Tout le monde s'accorde à dire, y compris les autorités de contrôle, que l'appropriation du règlement nécessite de faire preuve de pédagogie. Mais nous sommes en droit de nous demander si cela ne tourne pas à la démagogie, pour faire « passer la pilule »...

Comme nous l'évoquions avec Céline Ambroise-Thomas d'AIRRIA (cf. Annexe 4), il semble que ce brouhaha autour du RGPD se soit quelque peu apaisé, ce qui permet à chacun de reprendre ses esprits. Les chiffres sont là, la plupart des organisations sont loin d'être en conformité et le sentiment de contrainte reste assez persistant. Il semble donc nécessaire d'étudier plus en détail les fameuses opportunités que l'on nous fait miroiter et de vérifier quels bénéfices les organisations pourraient effectivement en retirer.

Romain Ivoy d'EVOS Infogérance (cf. Annexe 2) assimile le RGPD à une procédure qualité. Elle entraine évidement des contraintes, mais selon lui « la vraie question, c'est comment l'utiliser à des fins pertinentes dans l'entreprise. Est-ce qu'on le fait juste pour être certifié, ou est-ce qu'on essaie d'améliorer nos process. Pour moi, cela doit être abordé sous forme de valeur ajoutée. Nous l'utilisons nous aussi au travers de nos clients, pour valoriser nos prestations ». En tant que prestataire informatique, il souligne que le niveau de qualité ainsi


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	58

obtenu pourra ensuite être valorisé par les clients dans leur propre activité et constituer une avantage concurrentiel différentiateur.

Alexis Dupic d'OPTIMEX Data (cf. Annexe 5) constate aussi que beaucoup d'entreprises qui lui font appel voient dans le RGPD une occasion d'améliorer leurs processus et la sécurité, de faire le tri dans leurs fichiers et de gagner en rentabilité, avec une meilleure cohésion entre équipes en prime.

Mounir Mahjoubi, le secrétaire d'Etat en charge du numérique a rappelé lors de la conférence Big Data Paris¹² que le RGPD devrait d'avantage être pris comme une opportunité pour les PME que comme une contrainte. « L'Opportunité de faire preuve de transparence, de cartographier et de valoriser ses données, pour mettre en place une stratégie structurée autour des données , en concevant des offres qui tireront profit des informations collectées ». Il ajoute qu'elles pourront être fières d'arborer et de revendiquer un label RGPD, « garant de leur engagement client pour un service augmenté mais adapté à leurs attentes et par lequel sera établi une relation de confiance ».

Au travers de ces quelques témoignages, nous constatons que des opportunités existent et qu'il s'agit souvent de faire preuve de bon sens. Comme l'évoque Olivier Martineau de la société SPREAD dans une de ses vidéos pédagogiques sur le RGPD¹³, il s'agit bien d'une question d'état d'esprit et de « voir son verre à moitié plein ».

Nous nous proposons donc de regrouper par thèmes, les différents bénéfices que les organisations pourront retirer de leur mise en conformité au RGPD.

Un des aspects qui revient le plus fréquemment avec la mise en oeuvre du RGPD, c'est l'image des organisations et la confiance qui leur sera accordée par les consommateurs. Le fait de se montrer plus transparent sur ce qui est fait de leurs données personnelles est désormais au coeur de leurs préoccupations. C'est justement le propos du règlement et il est important que les organisations ne l'oublient pas.

Pour Loïc LEYMARIE, Cybersecurity Senior Manager de la société ADEO, intervenant lors de l'atelier A3 de l'AMRAE¹⁴, cette compliance au RGPD, dans la gestion des données clients et dans le respect des leurs attentes, permet de rassurer les consommateurs. Une transformation numérique est en cours, avec un parcours client qui doit se baser sur la confiance. Une telle démarche permettra de les fidéliser et d'en attirer de nouveaux, voir même de recruter de nouveaux collaborateurs.

12 Le RGPD est une opportunité pour les PME françaises - Cyrille CHAUSSON - lemagit.fr - 12/03/2018


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	59

Une étude réalisée par SYMANTEC confirme que la conformité des données devient un point déterminant dans le choix des consommateurs.

L'AMRAE¹⁵ ajoute qu'engager une communication client est aussi l'occasion de leur rappeler que, dans la majorité des cas, les données personnelles utilisées sont nécessaires pour exercer le contrat qu'ils ont souscrit et qu'il est normal que l'organisation les ait collectées.

Olivier Martineau de SPREAD¹⁶ évoque une occasion d'apporter de la transparence dans la relation et d'engager ses clients de manière plus forte, « de leur dire ce qu'on va faire et de faire ce qu'on a dit ».

Guillaume Pourquié de GEM (cf. Annexe 3) estime « dans l'histoire du RGPD, il arrivera un temps où l'on identifiera les entreprises véritablement labelisées, avec des traitements qui le justifient, qui se détacheront des autres car elles l'auront intégré dans leur démarche ». Alexis Dupic (cf. Annexe 5) ajoute sur ce point que les marchés publics vont aussi devenir plus exigeants et demanderont un certain niveau de conformité aux entreprises désirant répondre aux appels d'offres.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	60

L'adoption du RGPD permet aussi de trouver de nouveaux leviers marketing pour dynamiser la relation client. C'est ce que défend Guillaume Pourquié, qui estime qu'il s'agit de trouver des arguments qui permettront de réengager les clients et de leur demander leur consentement. L'obtention de ce consentement doit être porté par une volonté de faire du business avec eux, de leur proposer de nouveaux services. Il serait effectivement peu pertinent de solliciter les individus uniquement pour leur demander leur consentement, ou simplement pour mettre à jour les informations les concernant. Il définit cette approche comme « le cercle vertueux de la relation client ».

L'objet du RGPD reflète notamment une volonté d'endiguer les dérives liées à une utilisation massive du numérique, avec une utilisation déraisonnée des informations collectées et des problèmes liés à leur sécurité. Cette nouvelle législation est donc l'occasion de définir des normes, comme le souligne Romain Ivoy d'EVOS Infogérance (cf. Annexe 2).

Céline Ambroise-Thomas d'AIRRIA a pour sa part hâte que la réglementation prenne de la maturité, car elle permettra de mettre en place de bonnes pratiques auprès des utilisateurs (cf. Annexe 4). La sensibilisation du personnel fait aussi parti des chantiers que Cyrile Bras de Grenoble Alpes Métropole souhaite mettre en place, indiquant que même si cela réclame un investissement au départ, « il faut le ramener à ce que coûterai un incident lié à une mauvaise utilisation » (cf. Annexe 1). Dans cette optique, L'AMRAE¹ préconise le recours au e-learning, pour sensibiliser et former les salariés.

Guillaume Pourquié s'en félicite également, « c'est un retour au bon sens et à une maîtrise que l'on avait perdue ». Le RGPD va permettre aux organisations de redevenir professionnelles, de rationnaliser les pratiques, « de ne plus collecter pour collecter, ni de trop collecter, mais de collecter pour rendre un service ». Il rappelle que le règlement impose de ne pas stocker des informations erronées ou inutiles et voit dans le RGPD l'occasion de rafraîchir les bases de données et de demander aux individus s'ils souhaitent poursuivre leur relation. Dans le cas contraire, leur suppression permettra « de ne plus s'embarrasser avec des gens avec lesquels on a pas lieu d'être en contact. S'ils n'ont pas vocation à faire quelque chose avec nous, ce n'est pas la peine de les garder » (cf. Annexe 3).

S'agissant des bases marketing, Olivier Martineau de SPREAD¹⁷, ajoute que cela s'inscrit dans une démarche qualitative, car même si l'entreprise va perdre une partie de ses contacts, « c'est une part de notre cible qui n'aurait pas été intéressés ».

La mise en conformité exigeant une synergie entre les différents services des organisations, il devient nécessaire de mettre en place des processus impliquant d'avantage de communication interne.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	61

Etant déjà impliqué en tant que CIL de Grenoble Ecole de Management, Guillaume Pourquié a pu constater que sa nouvelle fonction de DPO l'amène à intervenir de manière plus systématique et proactive auprès de chaque entité. Il s'agit de mettre en place un processus collaboratif, avec une dimension pédagogique concernant le règlement et les outils de partage qui devront être documentés et mis à jour. Cette approche requière une certaine subtilité, puisqu'il ne faut pas que ses interlocuteurs « perçoivent la démarche uniquement comme une contrainte et qu'ils ne soient pas entravés pour faire leur métier ». A son sens, cela constitue un vrai challenge, impliquant des aspects réglementaires, de l'amélioration continue, de la créativité et de l'innovation, « mais quand les choses auront avancé, ce sera très gratifiant » (cf. Annexe 3).

Pour Loïc LEYMARIE d'ADEO¹⁸, la ré-implication des fonctions support de l'entreprise est également une bonne chose, « car le RGPD doit devenir un basic métier pour toute l'entreprise ».

Sur ce sujet, Alexis Dupic estime que « le règlement est empreint de bon sens, car il nécessite une certaine mobilisation et une cohérence entre les services » (cf. Annexe 5).

Un avis partagé par Céline Ambroise-Thomas d'AIRRIA, qui voit elle aussi l'opportunité d'améliorer la communication entre les différents service de l'entreprise, qui ne sont pas toujours informés de ce que fait l'un ou l'autre. Elle ajoute, « maintenant, le DPO va être au coeur de l'organisation, des actions, garant des bonnes pratiques et il va falloir le tenir informé » (cf. Annexe 4).

Nous avons bien compris que le RGPD a une portée internationale, avec en ligne de mire les géants du numérique, GAFAM et BATX en tête. Sa mise en place devrait non seulement limiter la collecte intempestive des données personnelles de leurs utilisateurs, mais également instaurer un certain équilibre entre les acteurs du digital. C'est la thèse défendue par Jean-Baptiste Rudelles, Président et fondateur de CRITEO, dans une article publié dans Les Echos¹⁹. Il va même plus loin en préconisant la mise en place d'un consentement universel qui serait applicable sur l'ensemble des sites consultés par les internautes, à l'instar de ce que prévoit le règlement e-Privacy, si toutefois il est adopté. Cela permettrait de limiter la position dominante des géants, en mettant les petit sites indépendants sur un pied d'égalité.

Toujours dans Les Echos²⁰, Florian Dèbes souligne cette « ambition de favoriser l'émergence d'une innovation respectueuse de la vie privée au vu des standards européens ».

A l'échelle européenne, Alexis Dupic d'OPTIMEX Data (cf. Annexe 5) estime que le RGPD est plus qu'une simple directive, car chaque pays membre va devoir appliquer le même cadre, ce qui sera plus équitable pour les entreprises.

19 Données personnelles : l'Europe ne doit pas se tromper de guerre - Jean-Baptiste Rudelle - Les Echos 15/01/2018

20 L'Europe lance son big bag de la protection des données - Florian Dèbes - Les Echos High-Tech - 25/05/2018


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	62

Avis que partage Romain Ivoy d'EVOS Infogérance (cf. Annexe 2), en rappelant que le règlement a aussi vocation à créer un levier de compétitivité pour les entreprises européennes. Il ajoute qu'à son niveau, la règlementation a aussi le mérite d'assainir leur marché, en éliminant un certain nombre d'acteurs, qui n'ont pas forcément de bonnes pratiques, ou de leur créer des difficultés.

Comme l'indiquait l'étude SYMANTEC citée précédemment, il apparait que la protection des données est devenue la priorité pour 88% des consommateurs, lorsqu'il s'agit de choisir une entreprise.

Comme l'évoquait Romain Ivoy d'EVOS Infogérance (cf. Annexe 2), il semblerait que le bruit fait autour du RGPD puisse se révéler plus efficace que le règlement lui-même.

Cela ouvre la voie vers une approche plus responsable et des business model orientés vers un développement numérique durable.

C'est le point de vue d'Eric Léandri et Guillaume Champeau, respectivement fondateur et directeur juridique de Qwant, dans un article publié par Les Echos²¹. Et pour cause, c'est précisément sur le positionnement revendiqué par le moteur de recherche français, qui prône le respect de la vie privée des internautes en ne conservant pas leurs historiques. Selon eux, on ne pourra plus continuer cette quête effrénée pour avoir toujours plus de données que la concurrence. Ils se félicitent que les pouvoirs publics et les consommateurs aient compris que cette exploitation déraisonnée des données personnelles donnait lieu à un phénomène de pollution sociale. Grâce au RGPD, les entreprises européennes ont l'opportunité « de s'inscrire dans une démarche d'écologie numérique, basée sur une approche éthique sincère et de regagner la confiance des consommateurs ».

Invitée de l'émission C'dans l'Air « Données personnelles, le grand hold-up »¹, Christine KERDELLANT, journaliste Directrice de la rédaction de L'Usine nouvelle et L'Usine digitale, évoque également la start-up française SNIPS qui a développé un assistant vocal embarqué, à l'image de SIRI d'Apple , qui intègre la notion de privacy by design et ne collecte aucune information personnelle.

Alexis Dupic estime lui aussi, que ce changement de paradigme va donner naissance à un nouveau type de business, à l'instar de celui de LinkedIn, qui s'est engagé à ne pas revendre les données personnelles de ses utilisateurs : « Ils ont saisi le RGPD comme une opportunité de renforcer la confiance client en mettant en avant leur politique de confidentialité. Contrairement à Google, ils ne sont pas rémunérés sur les données, préférant le faire sur les post sponsorisés, ou les comptes Premium et autres fonctionnalités additionnelles. Je crois à un nouveau business modèle qui proposerait des services respectueux des données. Je trouve que c'est un bon compromis par rapport à ce qui se passe actuellement » (cf. Annexe 5).

Le cas de la société OPTIMEX Data démontre que le RGPD a également permis le développement de nouveaux métiers, comme il l'indiquait lors de notre échange : « Je n'ai pas

21 Les données personnelles ne sont ni à prendre ni à vendre - Le Point de vue de Eric Léandri (fondateur Qwant) et Guillaume Champeau (dir juridique QWANT) - Les Echos 23/03/18


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	63

trop de vision sur l'avenir, car c'est trop tôt, mais nous sommes en train de créer un métier ». Lorsqu'il a décidé de créer la société, cette activité n'existait pas en dehors de quelques entreprise en région parisienne. « c'était surtout traité par des avocats, plus sur la partie conseil juridique : rédaction d'actes et contrats, qui ne sont pas des choses sur lesquels nous intervenons. On fait de la mise en oeuvre opérationnelle » (Cf. Annexe 5). Son rôle de conseil est une vraie valeur ajoutée pour les entreprises dans l'interprétation du règlement pour le transformer en actions concrètes. A terme, ils pourront mener des audits pour certifier la conformité des organismes, ce qui laisse entrevoir une certaine pérennité dans leur activité, dans laquelle ils ne sont désormais plus les seuls, car de nombreuses structures ont-elles aussi senti le potentiel de ce nouveau marché, tel que Bureau VERITAS qui propose des formations de DPO et devrait à terme devenir un organisme certificateur.

Le métier de DPO est aussi en train de se développer, que ce soit dans le cadre de prestations de services, de missions en freelance, ou de créations d'emplois dans les entreprises. D'autant que, comme le souligne Guillaume Pourquié de GEM, les DPO devront être formés tout au long de leur carrière : « Il y a donc un business pour les écoles de management et j'en parle d'ailleurs en interne » (Cf. Annexe 3).

Le retard de l'Europe en matière de numérique est une évidence, c'est en filagramme l'un des enjeux du RGPD, qui, au-delà des dérives constatées dans la collecte des données personnelles de ses citoyens et de l'atteinte à leurs libertés individuelles, traduit la volonté des états membres de contrer la suprématie des géants du digital.

Gilles Babinet, entrepreneur et Représentant de la France pour le numérique auprès de la Commission européenne, également invité de l'émission C'dans l'Air du 21 avril dernier²², rappelle que l'Europe a raté ce virage vis-à-vis de sa réglementation et n'a pas l'équivalent de ces géants. Dans les années 2000, l'Europe était pourtant leader dans le domaine du télécom, avec des entreprises telles que NOKIA, SIEMENS ou ERIKSON, mais les GAFAM aux Etats Unis (Google, Amazone, Facebook, Apple et Microsoft), les BATX en Chine (Baidu, Alibaba, Tencent et Xiaomi) ou encore les NATU (Netflix, Airbnb, Tesla, Uber) ont pris le dessus sur le numérique.

L'Europe dispose pourtant du capital humain, poursuit Gilles Babinet, mais faute de politiques publiques harmonisées, il est logique qu'elle soit en retard.

Romain Ivoy d'EVOS Infogérance fait le même constat, en précisant que les compétences existent « sur des domaines pointus et techniques du traitement des données, avec des mathématiciens et de hautes compétences universitaires ». (Cf. Annexe 2)

Selon Guillaume Pourquié de GEM, l'Europe « n'a jamais eu la notion du business que cela représenterai. On n'a pas voulu soutenir les entreprises qui à un moment pouvaient le faire, les américains nous rachètent très facilement ». Il évoque le cas du site Dailymotion qui à la base était une chaine française. Mais il se dit convaincu que l'Europe a encore beaucoup de choses à


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	64

proposer dans le domaine du numérique, mais que jusqu'ici elle ne disposait pas d'une règlementation qui permettait aux entreprises de se s'imposer. (cf. Annexe 3)

Cyril Bras de Grenoble Alpes Métropole, estime aussi que l'Europe a vendu tous ses fleurons à l'international, tels que l'entreprise slovaque ESET, éditeur d'antivirus, ou encore l'entreprise VUPEN, avec un outil d'analyse de données développé par des chercheurs montpelliérains, vendu à la NSA. Il déplore que la finalité de ces start-up innovantes consiste à être rachetées par une multinationale. Il ajoute qu'il faudrait « avoir une réflexion globale à l'échelle européenne et dire stop ». (cf. Annexe 1)

Jean-Marc Vottori²³ soutient quant à lui que cette situation est liée à notre histoire et à notre culture, mais ajoute que « pour une fois nous sommes en avance par rapport aux Etats Unis et à l'Asie en matière de protection de notre vie privée ». Il poursuit en citant Michael Porter, gourou du management, qui expliquait qu'une bonne réglementation « constitue une composante majeure de la compétitivité d'un pays ou d'une région. Si elle balise efficacement un terrain du futur, elle pousse les entreprises locales à adopter de bonnes pratiques avant leurs concurrents venus d'ailleurs ».

Alexis Dupic d'OPTIMEX Data, comme Guillaume Pourquié de GEM espèrent qu'à terme l'équivalent d'un GAFAM européen verra le jour.

Pour reprendre Gilles Babinet dans l'émission C' dans l'Air²⁴, c'est une opportunité de reprendre la main dans ce domaine stratégique : « le pétrole du 21^ème siècle ».

23 RGPD, un fort bel outil à double tranchant - Editorial de Jean-Marc Vottori - Les Echos 25/05/2018


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	65

Nous avons constaté qu'au-delà de la protection des données personnelles des citoyens européens et de ses conséquences sur les organisations, le RGPD peut aussi présenter de vraies opportunités pour celles qui sauront s'en saisir et le tourner à leur avantage. Mais la véritable portée de ce nouveau règlement ne réside-t-il pas également dans sa capacité à mettre en évidence la mutation de nos sociétés qui se sont fortement digitalisées et dans lesquelles la place de ces données est devenue prépondérante ?

Le monde a subi une véritable transformation digitale, nécessitant une certaine capacité d'adaptation, qui diffère selon les pays, les cultures ou leur niveau de développement. L'Europe est en train de mener sa « DT » pour Digital Transformation » ou « DX » pour Digital eXpension, comme l'indique Laurent Heslault, Director Security Stratégiste chez SYMANTEC, lors de l'Atelier A3 organisé par l'AMRAE²⁵ en février 2017, et se confronte à de nouveaux enjeux.

La maîtrise et l'utilisation des données constitue désormais un enjeu majeur pour ceux qui les possèdent et l'exposition des individus est d'autant plus importante avec le développement des nouveaux moyens de collecte.

Notre capacité de traitement s'est également vu largement renforcée par l'évolution des technologies, ce que prédisait déjà le mathématicien John von Neumann dès les années 50, évoqué par Gilles Babinet dans un ouvrage intitulé « L'ère numérique, un nouvel âge pour l'humanité »²⁶. Selon le mathématicien, les machines finiraient par devenir si puissantes qu'elles finiraient par influencer le cours de l'humanité, sans retour possible. Cette thèse se voit étayée par l'entrepreneur et philosophe Ray Kursweil dans les années 80, qui précisait que si la loi de Moore se vérifiait, selon laquelle la puissance des ordinateurs serait multipliée par 2 tous les 18 mois, la puissance de ces machines pourrait augmenter jusqu'à l'infini.

Comme le rappelle Camille Bolzan dans Le Nouvel Economiste²⁷, déjà citée précédemment, entre l'accès à internet facilité par des interfaces utilisateurs multiples tels que nos ordinateurs, tablettes ou smartphones, les sites qui tracent l'activité des internautes, la démocratisation des nouveaux objets connectés qui remontent des données sur le Cloud, l'usage des réseaux sociaux, des blogs internet, de plateformes en ligne, ou encore l'explosion massive de la communication par voies électroniques, les sources de données sont partout et il


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	66

suffit de se servir pour récolter ces précieuses informations. Selon Laurent Heslault¹, aujourd'hui « on connecte tout et à peu près n'importe comment ».

Le volume d'informations généré est devenu colossal, nous rendant cyberdépendants et d'autant plus sensibles aux cyber incidents.

L'exposition de ces données et la sécurité numérique sont devenu des sujets de plus en plus présents, mis en lumière de nombreux scandales. Nous pensons forcément à l'aspiration des données de millions d'utilisateurs du réseau social Facebook et de leurs contacts par l'entreprise Cambridge Analytica en 2013, ou, toujours en 2013, aux révélations d'Edward Snowden, ancien informaticien de la NSA, sur les fichiers détenus par le gouvernement américain. Les cas de piratages ou de rançon logiciels se multiplient et défrayent également la chronique. Ces dérives ont immanquablement été évoquées dans la plupart de nos lectures et par les interlocuteurs rencontrés dans le cadre de nos recherches.

Les applications internet, même les plus inoffensives, peuvent elles aussi présenter des problème de sécurisation inadmissibles, comme le révèle un article de Perrine Signoret publié par Le Monde le 18 avril dernier²⁸. Des chercheurs en science informatique américains et canadiens ont découvert que des milliers d'applications Android destinées aux enfants , disponibles en téléchargement sur GooglePlay, comportent des outils de traçage. Elles récoltent impunément des coordonnées, adresses IMEI (identifiants des appareils mobiles) ou des données de géolocalisation. Ces informations sont ensuite revendues à des fins publicitaires, sans que l'utilisateur en soit informé et alors même que les conditions d'utilisation spécifient qu'elles ne seront pas diffusées.

De manière générale, les informations personnelles alimentent un vrai marché, sur lequel elles peuvent être revendues instantanément. L'émission C' Dans L'Air du 24 avril 2018²⁹ fait référence à ce système de mise aux enchères auprès des annonceurs susceptibles d'être intéressés par ces profils, avec des transactions de l'ordre du quart de seconde. Guillaume Pourquié, DPO de Grenoble Ecole de management, évoque la valeur que peut représenter un simple numéro de téléphone mobile, qui se revend désormais quasiment plus cher qu'un numéro de carte de crédit, puisqu'il s'avère plus utile en terme d'usurpation d'identité (cf. Annexe 3).

La sécurisation des objets connectés, ou IoT (Internet of Things), est aussi préoccupante, car leur niveau de sécurité apparait des plus aléatoire, lorsqu'il n'est pas inexistant. Un article publié sur le site internetprotection.fr³⁰ nous donne la mesure de la situation, rappelant que ces objets sont essentiellement conçu par des fabricants de matériels qui n'ont aucune culture de la sécurité ou de la mise à jour des applications qu'ils embarquent. Frédéric Donck, président de l'ISOC Europe (Association Internet Society), interrogé dans cet article, estime que la sécurité est resté au second plan, car considérée comme négligeable par ces fabricants, avant tout

28 Des applications accusées de ne pas suffisamment protéger les données des enfants - Le Monde - Perrine Signoret - 18/04/2018


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	67

séduits par l'opportunité de suivre le comportement des clients et d'optimiser la maintenance ou la consommation d'énergie de leurs produits. Ils ont donc un gros retard sur ce sujet et le témoignage de Céline Ambroise-Thomas d'AIRRIA en atteste, puisque l'arrivée du RGPD n'a suscité aucune communication particulière de leur part ou de celle de leurs distributeurs (cf. Annexe 4). L'article nous interpelle pourtant sur le niveau de risque qu'ils représentent, car ils constituent une « porte ouverte » sur les réseaux pour les cyberpirates, tant le niveau de protection de ces objets est faible. La délinquance se spécialise et peut compter sur des moyens techniques très accessibles, avec l'utilisation de simples brouilleurs à 30 euros ou les nombreux tutoriels publiés sur internet.

S'agissant de la cybercriminalité, le colonel Éric Freyssinet, chef de la mission numérique crée en mai 2017 par la Gendarmerie Nationale, également interviewé dans l'article d' internetprotection.fr, nous donne quelques chiffres pour illustrer l'ampleur de la menace cyber en France. Leur cellule traite environ 5 500 dossiers par mois, soit +26% par rapport à 2016, pour un préjudice évalué à 150 millions d'euros par an. Il constate qu'avec le nombre croissant de citoyens et professionnels connectés, la surface d'attaque a considérablement augmenté et que les pirates se sont professionnalisés. Ils exploitent les moindre failles numériques pour introduire des cryptovirus et extorquer le paiement d'une rançon aux utilisateurs, qui n'ont d'autre choix que de s'exécuter pour espérer pouvoir accéder de nouveau à leurs données. Partant du principe que les victimes ne portent pas forcément plainte, le préjudice serait selon lui plutôt de l'ordre de 750 millions d'euros par an.

Si les moyens de collecte et les acteurs qui utilisent ces données peuvent être incriminés, il ne faut pas oublier qui fournit ces précieuses informations. Les plateformes en déduisent des habitudes de consommation et des profils, mais n'inventent pas la matière première, qui est bien diffusée par les utilisateurs eux-mêmes. Certes ils n'en sont pas toujours conscients et les méthodes de recueil ne sont pas toujours évidentes à appréhender ou déontologiques, mais ils en sont bien à l'origine.

Les bonnes pratiques liées à l'utilisation des outils numériques sont effectivement assez mal maîtrisées par les personnels et les organisations. Cyril Bras de Grenoble Alpes Métropole estime qu'il s'agit là d'un chantier énorme en terme sensibilisation des individus aux risques cyber, que ce soit dans la protection de leurs ordinateurs ou du chiffrage des données qu'ils contiennent (Cf. Annexe 1). Il constate que leur niveau de responsabilisation est également assez aléatoire, beaucoup ayant tendance à sous-estimer le risque, pensant que « ce qu'ils font n'intéresse personne », y compris dans le secteur de la recherche. Il rappelle que 80% des incidents proviennent des utilisateurs. Il déplore une vision en silo, dans laquelle chacun fait son travail dans son coin, sans avoir de vision d'ensemble. Tous comprennent bien qu'une machine peut être dérobée, mais les utilisateurs ont peu conscience que c'est aussi ce qu'elle contient qui peut être convoité par les criminels.

En tant que prestataire informatique, Romain Ivoy d'EVOS Infogérance est lui aussi très loquace sur ce sujet (cf. Annexe 2), évoquant un réel manque d'éducation au numérique et des dérives plus pernicieuses de la part des utilisateurs.

Il évoque en premier lieu une responsabilité parentale et le fait que les enfants doivent être accompagnés dans l'utilisation du numérique. Laisser de jeunes enfants utiliser sans surveillance un tablette connectée à internet revient à ne pas assumer son rôle de parent. C'est


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	68

un peu le même problème qu'avec la télévision, qui a le mérite de les occuper pour pouvoir vaquer à d'autres occupations, mais qui peut amener l'enfant à regarder des contenus inappropriés ou dans le cas du numérique à effectuer des manipulations inconsidérées.

Il réfute par ailleurs une croyance collective selon laquelle les nouvelles générations nées avec le numérique seraient mieux à même de maitriser ces outils. Certes ces jeunes utilisateurs s'en servent massivement, mais pour la grande majorité « ils ne sont pas plus éclairés sur le sujet que leurs parents. Ils ne savent ni comment ça fonctionne, ni comment se dépanner eux-mêmes, ni si leurs données sont exposées, par contre ils sont usagers et dépendants ». Il argumente en ajoutant que si cette théorie était valable, étant tous nés avec l'automobile, nous devrions donc tous maîtriser le fonctionnement de la mécanique !

Il note ensuite l'apparition d'autres dérives modernes, avec la propagation de ce que nous appelions autrefois des rumeurs, qui se voient amplifiées au travers des réseaux sociaux, pouvant aller jusqu'à contaminer les médias. On parle désormais de « fake news », qui font régulièrement la une, le fameux « buzz », pour être ensuite démenties, mais qui auront entre temps influencé les opinions. Il souligne le danger que cela représente pour les démocraties, auquel il faut ajouter d'autres phénomènes comme la discrimination, le « bashing » ou la diffamation. Ces délits sont certes encadrés par le code civil et les victimes ont des recours, mais le préjudice est à la hauteur du niveau de diffusion. Il devient difficile d'obtenir réparation, car sur le plan psychologique ou en terme de réputation, le mal est fait et dans des proportions considérables.

Romain Ivoy soulève enfin un problème fondamental dans la préhension des outils informatiques au sein des entreprises. Beaucoup d'utilisateurs se sont vu équipés d'applications avec lesquelles ils ont tendance à exercer des activités qu'il qualifie de « manuelles ». Ils ne se rendent pas compte qu'ils ne les utilisent pas de la bonne manière et qu'ils ne gagnent pas forcément du temps. Cela relève d'un problème de culture et de formation, mais également d'un travers humain qui consiste à se réfugier dans des travaux répétitifs donnant un sentiment rassurant de productivité. Mais c'est précisément l'inverse, car Romain Ivoy rappelle que « par définition l'informatique consiste à automatiser des traitements ».

Si l'Europe accuse un certain retard dans son développement numérique, tant en terme de bonnes pratiques que d'activité économique, il faut tenir compte de son histoire et de ses particularités culturelles.

D'un point de vu historique, nous avons déjà évoqué des réticences légitimes liées au fichage des individus, qui, comme le rappelle Guillaume Pourquié de GEM (cf. Annexe 3) nous ramène à la seconde guerre mondiale, avec l'occupation et la déportation. De fait le niveau de sensibilité sur ce sujet et nécessairement plus exacerbé que sur d'autres continents. A contrario, pour les américains, c'est avant tout une question de business et à ce titre les individus assument parfaitement leur identité numérique.

Selon Romain Ivoy d'EVOS Infogérance, les anglosaxons en général, n'ont pas du tout la même approche du numérique. Contrairement au vieux continent, ils ont une vraie conscience du monde numérique et de ses enjeux, « il est palpable, tangible et a une valeur monétisable » (cf. Annexe 2). Ce n'est pas du tout le cas de européens qui ont du mal à percevoir cette


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	69

dimension et ne voyaient donc pas l'intérêt de protéger ou de s'intéresser à quelque chose qui n'a pas de valeur.

L'émission C' Dans l'Air du 21 avril 2018³¹, s'intéresse également à ces différences et nous livre l'analyse des invités sur la manière dont sont appréhendées les notions de vie privée et de données personnelles entre ces deux cultures.

Olivier Iteanu, avocat à la Cours d'appel de Paris spécialiste du droit numérique, évoque une différence dans le concept de données personnelles entre l'Europe et les Etats Unis. Les européens les considèrent comme un attribut de leur personnalité et estiment qu'ils doivent impérativement en conserver la maîtrise. Les américains, ne voient quant à eux aucun problème à les échanger contre un service et à en perdre la propriété. Ils n'ont d'ailleurs pas de loi sur ce sujet, donnant aux plateformes comme Facebook toute légitimité à disposer comme bon leur semble des données qu'elles ont collectées.

Christine Kerdellant, Directrice de la rédaction des magazines L'Usine Nouvelle et L'Usine Digitale, précise que les américains n'ont pas la même conception de la vie privée, considérant qu'il s'agit d'une dérive liée à l'urbanisation, où les gens ne se connaissent plus. Cela ne posait pas de problème quand tout le monde vivait dans les petits villages. Elle cite Vinton Cerf, l'un des pères fondateur d'Internet qui estime que la vie privée est une anomalie.

Nicolas Baverez, Docteur en histoire, agrégé de sciences sociales et éditorialiste au Point , ajoute que Mark Zukerberg, le fondateur de Facebook, considérait même en 2010 la vie privée comme une norme sociale appartenant au passé.

Nicolas Baverez trouve toutefois paradoxal que les Etats Unis soient à l'origine de l'économie numérique et n'aient pas prévu de mécanisme de régulation. Leur volonté de compétitivité économique et d'innovation a toujours été la priorité, mais le fait que le dirigeant d'un GAFAM (Mark Zukerberg) soit auditionné par le Congrès américain démontre qu'ils commencent à s'interroger.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	70

Au fil de nos recherches et de notre analyse, nous avons pu nous rendre compte que la mise en place d'une Réglementation Générale sur la Protection des Données Personnelles résulte d'une prise de conscience de la transformation qui s'opère dans notre société. Gilles Babinet considère que cette révolution numérique a changé le cours de l'humanité, dont elle constitue « une des trois grandes inflexions », à l'instar de l'écriture issue de la civilisation sumérienne et de l'invention de l'imprimerie par Gutenberg.

A son sens, le développement des technologies de l'information est même « à l'origine de la révolution la plus radicale qu'ait connue l'humanité ». Il était donc temps que les individus, les organisations et les sociétés en prennent toute la mesure.

Pour voir émerger une mobilisation des individus et une volonté de mettre en place des jalons, comme l'ont engagé les instances européennes avec le RGPD, il aura fallu toucher les limites de ces nouvelles technologies.

Les révélations d'Edward Snowden, que nous avons déjà mentionnées, ont joué un rôle capital dans cette prise de conscience. Elles ont mis en évidence une surveillance globale de la part des Etats, certes au nom de la sécurité nationale et pour contrer les recrudescence d'actes terroristes, en particulier suite aux attaques du 11 septembre 2001.

Dans un article intitulé « La surveillance globale dans un monde post-Snowden »³² , le sociologue David Lyon nous explique que c'est cette surveillance de masse qui interpelle. L'instrumentalisation des données personnelles des individus, donne aux quelques pays qui les détiennent, Etats Unis en tête, un pouvoir géopolitique considérable. Ces pratiques étaient pourtant connues de tous, nourries du spectre de « Big Brother » issu du livre « 1984 » de Georges Orwell.

Personne ne pouvait, ou ne voulait, imaginer que cette surveillance était d'une telle ampleur et l'opinion publique a subi une véritable électrochoc. D'autant que ces instances gouvernementales ont largement recours aux données collectées par les géants du numériques, qui, au nom de la raison d'Etat, n'ont d'autre choix que de les laisser accéder à leurs fichiers. C'est tout l'effet pervers de cette situation, qui crée une forme d'impunité pour ces plateformes. Même au détriment des individus, les gouvernements ont tout intérêt à les laisser faire, puisque les données collectées constituent une matière indispensable pour nourrir les algorithmes permettant d'identifier les menaces potentielles.

Invité de l'émission C' Dans l'Air³³, Gilles Babinet déclare qu'à moins de vivre en hermite, il est devenu impossible d'échapper au traçage. Sur ce registre, Cyril Bras de Grenoble Alpes Métropole rappelle que la compilation de l'ensemble des informations collectées permet de créer des profils et de faire du ciblage. Les individus doivent intégrer cette notion, car si on le leur demandait, ils le refuseraient tous catégoriquement.

32 La surveillance globale dans un monde post-Snowden - David Lyon - Communiquer - 30/09/17


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	71

C'est ce que démontre une vidéo de vulgarisation à caractère pédagogique, intitulée « si votre magasin se comportait comme une App »³⁴, tournée en caméra cachée dans une boulangerie. Elle met en scène une vendeuse qui demande aux clients venus acheter leur pain toutes sortes d'informations personnelles. Passé l'effet de surprise, ceux-ci se montrent naturellement interloqués et refusent assez rapidement de répondre aux questions qui leur sont posées. Ces questions se veulent volontairement intrusives, voir caricaturales, mais pour le spectateur le message délivré est particulièrement efficace.

Comme le démontre les chiffres de l'étude réalisée par SYMANTEC³⁵, présentée au début de ce chapitre, les individus sont désormais particulièrement sensibles au respect de leur vie privée. Ils commencent à ressentir les répercutions de ce profilage sur leur vie quotidienne, avec des publicités de plus en plus ciblées, en fonction des sites qu'ils ont visité, de leurs parcours dans les magasins. Ils commencent aussi à se poser des questions, sur le profilage dont ils font l'objet, avec des conséquences potentiellement discriminantes. Romain Ivoy d'EVOS Infogérance évoquait le risque de se voir « benchmarkés », notamment lorsqu'on souscrit une assurance, qui nous couvrira plus ou moins bien, ou dont la tarification dépendra de nos comportements (cf. annexe 2).

Il était logique que les citoyens se mobilisent contre sur l'utilisation déraisonnée de leurs données personnelles. Des associations de défense et des groupes de réflexion se sont constitués pour faire pression sur les autorités. Le think tank la Quadrature du Net joue un rôle important en dénonçant régulièrement les dérives de cette collecte et en engageant des actions juridiques à l'encontre des organisations qui en sont responsables.

En échange des services qu'elles proposent, les plateformes numériques collectent des informations, avec des conditions d'information plus ou moins explicites et intelligibles pour leurs utilisateurs. Pour Alexis Dupic d'OPTIMEX Data « si les citoyens ont désormais besoin d'accéder à ces services qui leurs sont devenus indispensables, ils ne veulent plus qu'on utilise leur données » (cf. Annexe 5).

Dans une tribune publiée sur le site de l'association³⁶, Laurent Chemla, membre du Conseil d'orientation stratégique de La Quadrature du Net, estime que l'adage « If it's free, you're the product » (si c'est gratuit, c'est vous le produit) est devenu la règle du jeu. Mais il ajoute que les utilisateurs doivent intégrer que normalement « Si c'est gratuit, c'est sans contrepartie. (...) Si vous êtes le produit, alors ce n'est pas gratuit ».

Dans un communiqué de novembre 2017, évoqué dans un article du site silicon.fr³⁷, la Quadrature du Net invoquait le fait que « les données personnelles ne peuvent être comparées à un prix et, ainsi, ne peuvent être considérées comme des marchandises ».


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	72

Suite à l'entrée en vigueur du RGPD, le 28 mai 2018 cinq plaintes viennent d'être déposées devant la CNIL par le collectif, à l'encontre de services ne respectant pas la vie privée de leurs utilisateurs : Facebook, Google Search, Gmail, Youtube, iOS, Amazon et LinkedIn. Bien entendu cela n'est qu'un début (cf. Annexe 7) et la Quadrature du Net ne manque pas de souligner que de nouvelles actions seront engagées contre d'autres services ou plateformes ne respectant pas le nouveau règlement.

C'est bien le modèle économique du 21^ème siècle qui est en débat, selon lequel les entreprises usent et abusent du digital, convaincues que leur survie en dépend. Mais la digitalisation ne constitue pas en soit une garantie de pérennité et certaines entreprises oublient que c'est avant tout par l'innovation qu'elles pourront se démarquer et perdurer, en apportant de la valeur de manière unique.

C'est ce que constate Julien Devaureix³⁸, en charge du Digital pour les activités montres, bijoux et accessoires chez LVMH. Il évoque une société dans laquelle « tout le monde et toutes choses sont interconnectés et où la notion de « offline » est devenue obsolète pour beaucoup ». Tout se sait et tout est devenu accessible, les individus convoitent ce qu'il y a de mieux, s'identifient et consomment de la même manière que les groupes auxquels ils veulent appartenir, se comparent et se jugent.

C'est un monde devenu instable, en perpétuelle mutation, peuplé d'innovations de rupture et constitué de défis permanents pour tous ses acteurs. Les changements interviennent à un rythme tel, qu'établir une stratégie à moyen terme est devenu une gageure.

Gilles Babinet rejoint cette analyse, qu'il assimile à une forme « d'idéal schumpétérien », dans lequel le phénomène de destruction créatrice, théorisé par l'économisme Joseph Schumpeter, est poussé à son paroxysme. Il fait également référence à la capacité de la « main invisible », qui se voit renforcée par l'accumulation des informations collectées et « qui permet d'orienter le cours des sociétés par rationalité de marché, au détriment du consommateur ».

Mais cette destruction créatrice n'est pas sans conséquence, si cette course à l'innovation apporte des avancées indéniables dans de nombreux domaines, tels que la médecine, le confort ou la sécurité des personnes, elles donne également lieu à des effets pervers.

Un article de Michel Griffon³⁹, agronome et économiste, publié par la revue Cairn Info, s'intéresse à la mutation des marchés, en s'appuyant sur l'ouvrage de Gilles Babinet intitulé « Transformation digitale : L'avènement des plateformes. Histoires de licornes, de data et de nouveaux barbares... » publié aux éditions Le Passeur en 2017. Il évoque ainsi le risque de désintermédiation ou « d'ubérisation », permettant de mettre directement, voir instantanément, en relation l'offre et la demande, supprimant ainsi les intermédiaires. Si cela fluidifie le marché, permettant des gains de productivité et de réduire les coûts de certains biens ou services, parfois fondamentaux, Michel Griffon n'est pas convaincu que cela contribue à l'épanouissement de la personne humaine. Car s'il s'agit bien d'une révolution anthropologique,

39 GILLES BABINET, TRANSFORMATION DIGITALE : L'AVÈNEMENT DES PLATEFORMES. Histoires de licornes, de data


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	73

« ce changement de civilisation, ne manquera pas d'occasionner des laissés-pour-compte de la société numérique ».

Gilles Babinet évoquait ces laissés-pour-compte dans un ouvrage précédent⁴⁰, avec des impacts sur les salaires et l'emploi, déjà largement ébranlés par les délocalisations et par la robotisation.

S'agissant encore des emplois, une étude réalisée par Internet Society en 2017 sur le futur de l'Internet, évoquée par Constance Bommelaer de Leusse, Directrice des politiques publiques à l'Internet Society⁴¹, met notamment en évidence que « les changements entraînés par l'automatisation sur le marché du travail généreront une anxiété considérable à court terme, car les gens s'inquiètent de l'avenir du travail et se demandent s'ils ont les compétences nécessaires pour réussir dans la nouvelle économie ».

Sur un autre registre, cette transformation numérique de nos sociétés, qualifiée d'inéluctable par Gilles Babinet¹, soulève également des problèmes éthiques.

Tout d'abord quant à sa soutenabilité vis-à-vis de l'énergie et des matériaux, comme le souligne Michel Griffon dans son article et Guillaume Pourquié de GEM (cf. Annexe 1). Le stockage des données collectées et leur traitement nécessitent des ressources informatiques gourmandes en énergie, qui, bien que les capacités et les coûts soient aujourd'hui mieux maitrisés, ont un impact sur le plan écologique.

Romain Ivoy d'EVOS Infogérance, abordait également d'autres aspects éthiques, liés à la réalité augmentée et aux interfaces homme-machine (cf. Annexe 2). Si la possibilité de se connecter directement aux machines présente certains intérêts, en terme de rapidité d'interaction, d'ergonomie ou d'efficience pratique, elle n'est pas sans soulever certaines préoccupations déontologiques et peut entrainer de nouvelles dérives.

Romain Ivoy, évoque les neurosciences et les travaux réalisés sur la lecture et l'écriture cérébrale, s'inquiétant que des sociétés comme Google se soient impliquées dans ce domaine, avec une vocation qui ne sera pas forcément altruiste. Il imagine notamment que cela pourrait à terme dériver vers de la manipulation des individus, qui deviendrait une forme de « drone humain ».

Sur le plan de la santé, parvenir à implanter dans le corps humain des dispositifs médicaux connectés offre des perspectives intéressantes en terme de prévention et suivi des patients. Mais si le pilotage d'un pace maker ou d'un régulateur d'insuline peut apparaitre séduisant, Romain Ivoy décrit là aussi un scénario catastrophe, en cas de piratage et de rançonnage de ces dispositifs, mettant en jeu la vie des patients.

Toujours sur le plan éthique, on observe déjà certaines pratiques qui se rapprochent dangereusement de certains ouvrages d'anticipation ou de science-fiction. Romain Ivoy abordait d'ailleurs ce sujet (cf. Annexe2), en faisant référence à la culture « cyber punk » et à des auteurs comme Isaac Azimov ou William Gibson et des films tels que « Blade Runner » ou « Matrix ». Selon lui « cette culture a quasiment disparu, parce que finalement on y arrive et ce n'est plus de la science-fiction ».


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	74

Un sujet sur le « crédit social chinois », présenté dans l'émission C' dans l'Air du 21 avril 2018⁴², est des plus édifiant et digne d'un scénario de science-fiction. S'appuyant sur le réseau de caméra le plus sophistiqué du monde, prés de 170 millions de caméras dotées d'intelligences artificielles et d'un système de reconnaissance faciale, cet « oeil céleste » ambitionne de scruter le comportement des individus et de leur attribuer une note sociale. Il s'agit d'une sorte de permis à points comportemental, qui, en fonction de la note obtenu par l'individu, lui permet de bénéficier de certains avantages, ou inversement d'être pénalisé, ce qui peut aller jusqu'à l'interdiction de se déplacer. Avec une population d'1,4 milliards d'individus, le gouvernement chinois et les entreprises associées à ce programme, prévoient le déploiement d'un réseau de 400 à 600 millions de caméras d'ici 2020. Bien entendu, de telles pratiques inquiètent les opposants au régime, qui estiment que le gouvernement se prend pour Dieu, mais les personnes interrogées dans ce reportage semblent trouver cela normal, partant du principe qu'étant aussi nombreux, il leur appartient à tous d'avoir un comportement exemplaire. C'est probablement aussi une question de culture et d'obéissance à un régime peu enclin à accepter les contestations. La Chine n'a d'ailleurs aucune législation en matière de protection de la vie privée.

Ce « big brother » chinois ressemble à une mise en scène du livre « 1984 » de Georges Orwell, où les déviances sociétales décrites dans les épisodes de la série « Back Mirror » diffusée sur la chaine Netflix.

La mise en place du RGPD se présente bien comme l'opportunité de rétablir une certaine équité dans l'utilisation des données des individus, comme dans la perspective de voir le vieux continent regagner en influence sur le plan économique et géopolitique. Mais c'est également et peut être surtout dans la responsabilisation sociétale qu'il permet d'insuffler au niveau mondial qu'il prend tout son sens.

Nous avons vu que ce règlement pourrait contraindre les géants du numérique à adopter une démarche plus éthique et responsable vis-à-vis des citoyens, européens en premier lieu, mais peut-être aussi pour ceux du reste du monde.

En terme de prise de conscience et de responsabilisation, il est fort probable que le battage médiatique occasionné par le RGPD se soit révélé plus efficace que le règlement lui-même, pour citer de nouveau Romain Ivoy d'EVOS Infogérance (cf. Annexe 2).

Depuis le 25 mai, nous voyons tous affluer sur nos messageries, des mails émanant des acteurs du numérique de tous bords, nous rappelant à minima leur politique de confidentialité ou que les informations dont ils disposent peuvent être consultées, ou encore nous demandant de renouveler notre consentement. La plupart des sites Internet comportent de nouvelles mentions légales relatives au RGPD et communiquent sur leurs conditions d'utilisation. Il n'y a pas de doute, l'entrée en vigueur du RGPD commence à faire son effet.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	75

Les GAFAM ont bien compris qu'ils sont en première ligne et ont plutôt bien anticipé la réglementation. Sur le plan mondial, nous ressentons également une nouvelle responsabilisation, notamment aux Etats Unis, qui après avoir moqué le RGPD, semblent s'y intéresser de plus près.

Nicolas Baverez mentionnait en avril dernier, dans l'émission C' dans l'Air⁴³, le fait qu'un GAFAM, en l'occurrence Facebook, soit auditionné devant le Congrès américain, démontrant un certain intérêt pour le sujet outre atlantique.

Avec la révélation du scandale Cambridge Analytica, il est vrai, comme le soulignait Romain Ivoy d'EVOS Infogérance (cf. Annexe 2), qu'en tant qu'américain « imaginer qu'un ancien du KGB ait pu mettre quelqu'un à la tête de son pays, c'est assez terrible ».

Gilles Babinet, également dans l'émission C' dans l'Air, note que la prise de conscience commence à gagner les Etats Unis, avec la publication régulière de tribunes invitant à la déconnexion numérique, mais précise qu'il leur faudra eux aussi mettre en place une règlementation plus précise. Il ajoute que même la Chine a fini par s'intéresser au RGPD, en mandatant sa Commission parlementaire pour rencontrer ses homologues européens.

Mais si le RGPD a permis de galvaniser l'opinion et d'enclancher de nouveaux mécanismes, il faut espérer qu'il ne finisse pas par « accoucher d'une sourie » et que la bonne volonté affichée ne s'épuise pas trop rapidement...

De nombreuses publications s'en inquiètent et comme le rappelle Stéphane Bergerat de CINETIC IT, l'Etat ne parvient toujours pas à récupérer des impôts qui auraient dû être payés en France par les GAFAM et nous pouvons légitimement nous interroger sur la capacité des autorités de contrôle à réellement leur infliger des amandes de 20 millions d'euros.

Un autre problème réside dans le comportement des individus, qui ont bien intégré la notion de propriété de leurs données, mais que rien n'empêche de les céder sciemment, toujours contre un service, ou moyennant rémunération.

Comme les moyens de collecte actuels pourraient finir par se tarir, le principe de l'offre et de la demande devrait augmenter la valeur de ces données et créer de nouvelles filières. Nous avons déjà évoqué le risque de recrudescence des attaques cyber, mais des offres légales pourraient également voir le jour.

L'article publié dans Les Echos⁴⁴ par Eric Léandri et Guillaume Chapeau de QWANT, questionne justement sur la possibilité de rendre les données personnelles payantes. Selon eux leur coût pourrait effectivement nous amener à une collecte plus raisonnée, mais ils estiment que nous en arriverions rapidement à une situation similaire. Les géants du numériques sont à même de mettre en place des contrats complexes et non négociables, et en profiteraient pour proposer des tarifs ridicules, occasionnant une inflation qui réclamera d'en dévoiler toujours plus.

En outre, ces données personnelles doivent être considérées comme une émanation des individus, pas quelques chose qu'ils produisent et cela n'a pas de prix. Selon eux, monnayer les données personnelles ne constituerait donc pas une alternative pertinente, car « la vie privée

44 Les données personnelles ne sont ni à prendre ni à vendre - Le Point de vue de Eric Léandri (fondateur Qwant) et Guillaume Champeau (dir juridique QWANT) - Les Echos - 23/03/18


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	76

n'est pas un droit mais une liberté fondamentale : capacité d'agir, de communiquer et de penser librement. Si on dévoile tout, on se mettra à tout anticiper en fonction de ce qui pourra en être déduit par les algorithmes, les IA... ».

Ils ajoutent enfin que si l'idée d'associer les internautes à la valeurs ajoutée qu'apportent leurs données peut sembler bonne, « il serait préférable de récompenser les individus pour ce qu'ils font (création de contenu) et non ce qu'ils sont ! ».

Les perspectives liées au développement des objets connectés nécessitent également une responsabilisation des fabricants, car nous sommes déjà confrontés à des problèmes de sécurités, qui pourraient dégénérer, notamment avec les dispositifs médicaux connectés, comme nous l'avons déjà évoqué.

D'ici 2020, nous serons confrontés à 20 milliards d'objets connectés, comme le rappelle Nicolas Baverez lorsque le sujet des compteurs électriques connectés « Linky » est abordé dans l'émission C' dans l'Air⁴⁵. Cette multiplication intensifiera d'autant les risques et les dérives que nous avons pu abordé. La généralisation des bâtiments connectés évoquée par Céline Ambroise-Thomas d'AIRRIA (cf. Annexe 4) ou l'arrivée des véhicules autonomes sont autant de nouvelles sources d'inquiétudes, constituant de nouvelles cibles pour les organisations criminelles, voir les terroristes. Leur sécurisation nécessitera d'importants investissements, car pour des raisons économiques, comme l'invoque Olivier Iteanou dans C' dans l'Air, leur niveau de protection est encore trop négligé. Les failles qu'ils présentent permettent de les utiliser comme des chevaux de Troie pour accéder à l'ensemble du réseau sur lequel ils sont connectés. La normalisation de ces objets est devenue indispensable et selon Nicolas Baverez, des canaux de communications spécifiques doivent être privatisés sur le réseau Internet.

La mise en place d'une labellisation ou d'une certification est prônée par l'AFNIC¹ (Association Française pour le Nommage Internet en Coopération), pour que les objets connectés intègrent le concept de « security by design » prévue par le RGPD, mais également que les consommateurs soient mieux informés sur ce qu'ils achètent, en terme de sécurisation et de collecte d'informations.

D'après Nicolas Chagny⁴⁶, Président de l'Internet Society française, le règlement européen devrait pousser les fabricants à mettre en conformité ces objets, mais les utilisateurs doivent eux aussi être plus disciplinés lorsqu'ils les utilisent. La CNIL recommande d'ailleurs aux utilisateurs la mise en place des mot de passe « forts », l'usage de pseudonymes, de limiter leur partage et de supprimer les données devenues inutiles. Sur ce point, Stéphane Bortzmeyer ingénieur à l'AFNIC¹, s'insurge car il estime que c'est un comble de demander aux consommateurs « de prendre des décisions professionnelles alors que les professionnels eux-mêmes ne prennent pas les dispositions qui s'imposent ».

Les organisations doivent elles-aussi de montrer plus responsables, en faisant preuve d'une plus grande transparence concernant les problèmes de cyber sécurité auxquels elles ont confrontées. Cyril BRAS de Grenoble Alpes Métropole a le sentiment qu'il existe une forme


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	77

« d'omerta » autour de ces incidents. Le RGPD devrait améliorer les choses en les obligeant à déclarer les brèches de données et les cas de piratage. C'est à la base un problème d'image qui pousse à garder ces sujet confidentiels, mais dorénavant Cyril Bras a bon espoir de voir ces organisations mettre en place les moyens nécessaires pour s'en prémunir, plutôt que d'être contraintes d'avouer qu'elles ont subi un sinistre. Il espère également que cela permettra d'avoir une vision plus précise de l'ampleur des attaques cyber et fera réagir les dirigeants, tout particulièrement les élus, qui ont tout intérêt à éviter de voir leur image écornée par ce type de publicité (cf. Annexe 1).

Notre entretien avec Cyril Bras nous amène ensuite sur un autre terrain numérique, celui de la défense (cf. Annexe 1). Il nous révèle la guerre silencieuse qui se joue sur la toile, impliquant bien entendu les cyber criminels, mais aussi les Etats. La cyber sécurité est devenu un enjeu majeur pour les pays et contrairement aux conflits traditionnels, tous les coups sont permis, il n'y a ni règles, ni cessez le feu.

Face à cette situation, les Etats ont du adapter leurs moyens de défense et se doter d'un contingent de combattants numériques, constitué d'experts en ingénierie logicielle, en administration systèmes et sécurité, en supervision réseaux, en cryptographie, entre autres spécialités liées au numérique. Cyril Bras ayant notamment suivi une formation à l'Institut National des Hautes Etudes de Sécurité et de Justice de Paris, sur la thématique de la sécurité des usages numériques, il fait justement parti des officiers réservistes de ce commandement de l'Armée de Terre française, le COMSIC⁴⁷ (Commandement des systèmes d'Information et de Communication).

Selon Jean-Yves Le Drian, Ministre de la Défense de l'époque, « L'émergence d'un nouveau milieu, d'un champ de bataille cyber, doit nous amener à repenser profondément notre manière d'aborder l'art de la guerre ». Dans l'article publié par le site Numerama⁴⁸, il explique que « l'arme cyber peut avoir des effets tout à fait comparables à l'armement plus conventionnel » et qu'en temps de guerre, elle « pourra être la réponse ou une partie de la réponse à une agression armée, qu'elle soit de nature cyber ou non ». Il précise que « nos capacités cyber-offensives doivent nous permettre de nous introduire dans les systèmes ou les réseaux de nos ennemis, afin d'y causer des dommages, des interruptions de service ou des neutralisations temporaires ou définitives. En utilisant pour cela des moyens sophistiqués, dont nous sommes parfois les concepteurs, et qui doivent résister à tout risque de détournement ».

L'organisation du COMSIC est assez similaire à celui du « Cyber Command » américain et s'organise en 4 pôles : Protection, Défensif, Action numérique et Réserve. D'ici 2019, elle sera constituée de 400 permanents et 4000 réservistes, mais n'en compte actuellement que 400 d'après Cyril Lebras (cf. Annexe 1). L'Armée française a donc engagé un recrutement auprès de toutes les filières liées au numériques, y compris les moins conventionnelles, comme en atteste sa présence à « La nuit du Hack 2017 »⁴⁹.


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	78

Nous avons pu constater qu'en dépit des moyens de sécurité mis en oeuvre, une des principales failles dans les dispositifs numériques vient de leurs utilisateurs. Cyril Bras de Grenoble Alpes Métropole, se révèle même catégorique sur ce point, argumentant que même en utilisant « les meilleurs systèmes de pare feu ou anti-virus, si l'utilisateur n'a pas le bon comportement, le problème vient de l'intérieur et ces dispositifs ne servent à rien ». Mais ce n'est pas forcément l'utilisateur qu'il faut incriminer, car « il n'en a pas conscience ou ne sait pas comment réagir » (cf. Annexe 1).

Il déplore la persistance d'un modèle réactif, visant à faire signer au salariés des chartes informatiques qu'ils sont rarement à même de comprendre et à attendre de leur part un certain comportement, sans leur expliquer les bonnes pratiques ou comment reconnaitre une menace. Il a pu observer dans ses fonctions précédentes au CNRS, qu'en faisant preuve de pédagogie et en prenant le temps nécessaire, il est tout à fait possible de les responsabiliser et d'obtenir des améliorations significatives.

Romain Ivoy d'EVOS Infogérance (cf. Annexe 2) nous livre également un retour d'expérience similaire, en évoquant la démarche d'une Mairie qui lui avait demandé de former l'ensemble du personnel. Mais il estime aussi que si cette démarche pédagogique peut amener des améliorations, on ne peut pas seulement compter sur la responsabilisation des utilisateurs. Il l'illustre notamment par le comportement des automobilistes, qui même en étant conscients que l'entretien de leur véhicule doit être effectué régulièrement, n'y pensent pas forcément d'eux-mêmes, d'où la nécessité de les rappeler régulièrement à l'ordre. Néanmoins, il confirme lui aussi que le niveau de compétence sur le sujet laisse à désirer, mais que c'est avant tout aux organisations, ou aux parents, qu'il revient d'assurer cette éducation et de mettre en oeuvre les dispositions appropriées.

Des initiatives associatives et des « Espaces Publics Numériques »⁵⁰ sont accessibles permettent aux citoyens d'être initiés à l'utilisation des matériels et logiciels, mais également aux bonnes pratiques à adopter, telles l'importance qu'ils doivent accorder à la réalisation des sauvegardes et des mises à jour, la protection de leurs accès et de leurs mots de passe, le paramétrage de leurs applications, ou la préhension des menaces auxquelles ils peuvent être confrontés ou du traçage dont ils peuvent faire l'objet.

L'éducation nationale s'est toutefois emparé du sujet, en adoptant en mai 2015 le Plan « Numérique à l'école » voulu par le gouvernement de François Hollande⁵¹, visant à doter les écoles de ressources matérielles et pédagogiques, mais également à créer de nouveaux enseignements de la primaire au secondaire. Un cours « d'éducation aux médias et à l'information » a ainsi été introduit dès le Cours Préparatoire et jusqu'à la 3^ème. L'Express indique que objectif de cet enseignement interdisciplinaire est de « préparer les élèves à devenir des cybercitoyens actifs et éclairés ». Il permet notamment aux élèves d'appréhender la protection de la vie privée, les enjeux sociétaux des réseaux sociaux, de développer un esprit critique sur la lectures des médias et la fiabilité des sources, ou encore d'être initiés aux algorithmes et à la programmation. Les lycéens pourront ensuite décider de choisir une option « informatique et création numérique ».

Dans l'enseignement supérieur, les enjeux du numérique ont déjà été pris en compte, car la nécessité de former les étudiants à un marché du travail largement impacté par les

50 Livre blanc - Les données personnelles à l'heure du big data : De l'intelligence artificielle au pouvoir des algorithmes - Rédaction collective CREIS-Terminal et CECIL - Novembre 2017 - https://www.lececil.org/node/27677


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	79

nouvelles technologies est devenu indispensable. Dans un article co-écrit avec Pierre Nanterme, PDG d'Accenture, publié sur LinkedIn⁵² par Jean-Michel Blanquer, l'actuel Ministre de l'Education Nationale estime que les jeunes doivent être préparés à cette mutation des entreprises et que cette préoccupation doit désormais « être au coeur de toutes les formations, quelque soit le domaine ou le niveau ». Selon lui, l'enjeu est surtout de parvenir à marier des compétences digitales et professionnelles, qui constitueront pour les diplômés « la valeur ajoutée attendue par les entreprises ».

Constance Bommelaer de Leusse⁵³, Directrice des politiques publiques à l'Internet Society (ONG internationale créée en 1992 par Vint Cerf, l'un des inventeurs d'Internet, qui vise à promouvoir et coordonner le développement et l'usage des réseaux numériques dans le monde) insiste elle aussi sur la nécessité de mettre en place une « alphabétisation numérique » permettant aux individus de mieux maîtriser l'information et d'exercer leur jugement et d'éviter de tomber dans les pièges du numérique, tels les fake news, la cybercriminalité ou le harcèlement en ligne. Comme un nombre croissant de chercheurs, elle préconise que les apprentissages numériques puissent intervenir « tout au long de la vie, du primaire à la formation continue des adultes ».

Elle évoque également un changement de paradigme dans la manière d'enseigner, inspirée du monde numérique dans son aspect contributif. Un passage d'une approche « one to many » à « many to many », selon laquelle l'enseignant devient un animateur, autour d'une matière préalablement étudiée en autonomie par les élèves, sur laquelle ils pourront ensuite échanger et idéalement « créer du savoir ensemble ».

Nous terminerons ce chapitre sur les propos de la députée Paula Forteza lors de l'émission l'Invitech sur BFMTV⁵⁴, rapporteur du projet de loi sur la protection des données, qui enjoint les citoyens à s'emparer de leurs nouveaux droits pour que les choses évoluent vraiment, rappelant que le RGPD est un point de départ et que « nous sommes peut-être en train de créer un nouveau modèle numérique plus éthique et respectueux ». Selon elles d'autres sujets sont appelés à émerger tels que la transparence des algorithmes et des plateformes, les problèmes de fiscalité et de concurrence déloyale. « Beaucoup de leviers qui vont nous servir pour mettre en place un numérique plus responsable et juste ».


	Le RGPD - Contrainte légale ou opportunité pour les entreprises ?	80