Six mois de RGPD : les entreprises font le ménage dans leurs fichiers
Avec l'AFP
Entré en vigueur il y a six mois, le Règlement européen sur la protection des données personnelles (RGPD) a lancé les entreprises dans un grand ménage de leurs fichiers, aux effets encore difficilement mesurables. Le RGPD prévoit de lourdes sanctions (jusqu’à 20 millions d’euros et 4% du chiffre d’affaires) pour les entreprises traitant trop légèrement les données personnelles des utilisateurs, par exemple en les recueillant sans consentement valable des personnes concernées.
«C’est une véritable révolution», affirme Sylvain Staub, avocat et directeur général d’une start-up en plein essor, qui commercialise un logiciel permettant aux entreprises de se mettre en conformité avec le nouveau texte. «Aujourd’hui, il n’y a pas une entreprise sérieuse qui dit qu’elle n’a pas commencé à y réfléchir ou qu’elle n’est pas concernée», ajoute-t-il.
En quatre mois, la start-up de Sylvain Staub, DataLegalDrive, «a signé avec près d’une centaine de clients» désireux de se mettre en conformité, réalisant un chiffre d’affaires total atteignant les 350 000 euros. «C’est totalement exponentiel», indique-t-il, précisant que sa start-up prépare une levée de fonds pour accélérer son développement.
La nécessité de se mettre en règle est une manne pour les entreprises de cybsersécurité, les prestataires de services informatiques, voire les agences de publicité. Les entreprises «nous demandent beaucoup de présence sur ces sujets-là pour valider la conformité des dispositifs» en matière de publicité, souligne ainsi Raphaël de Andréis, le PDG de Havas France.
«Fausse impression de conformité»
Laurie-Anne Ancenys, avocate spécialisée dans la protection des données chez Allen et Overy, évoque toutefois un «avancement inégal» dans la mise en oeuvre des nouvelles obligations. Certes, les entreprises font de gros efforts pour «dépoussiérer leurs politiques de confidentialité», revoir leurs contrats de sous-traitance ou vérifier la conformité de leurs partenaires. Mais elles sont moins au niveau sur d’autres contraintes, comme celle de prévenir en moins de 72 heures la Cnil en cas de fuites de données personnelles ou de réaliser des «analyses d’impact» sur certains traitements de données, estime-t-elle.
«Il y a une fausse impression de conformité six mois après l’entrée en application du RGPD», confirme Jean-Philippe Cassard, de Sopra Steria. «Nombreuses sont les entreprises qui ont mis à jour leurs vitrines, mais le chantier reste considérable pour intégrer la protection de la vie privée au sein des processus [des] métiers et systèmes informatiques déjà existants», ajoute-t-il.
Caroline Lancelot-Miltgen, enseignant-chercheur en marketing à l’école de commerce Audencia, est aussi un peu sceptique sur la profondeur des changements effectués par les entreprises. Les internautes ont reçu des flopées de courriels de leurs réseaux sociaux et autres plateformes en ligne leur demandant d’approuver de nouvelles conditions générales d’utilisation précisant l’utilisation de leurs données personnelles. Mais ces textes restent en général illisibles pour un être humain normalement constitué, constate-t-elle.
«Bacs à sable»
Les grandes plateformes «ont appliqué la lettre de la loi», mais «de là à dire qu’on est véritablement dans l’esprit de la loi… Évidemment, on peut être un peu déçu», estime-t-elle. A ses yeux, «il y a des choses à inventer avec des designers, des sociologues», afin de permettre aux internautes de faire des choix libres et éclairés dans l’esprit du RGPD. «Le véritable enjeu pour l’avenir, c’est la capacité de chacun à bien comprendre ce qui se passe dans sa vie numérique», estime-t-elle.
A l’inverse, certains s’inquiètent de constater certains effets pervers du RGPD, comme un bridage de la recherche en intelligence artificielle, qui a besoin de quantités colossales de données. Étienne Drouard, avocat associé du cabinet K&L Gates, rappelle ainsi qu’une entreprise ne peut mettre en place de traitement de données personnelles sans préciser le but poursuivi. «Or en intelligence artificielle, il est souvent nécessaire d’expérimenter beaucoup avant même de savoir précisément quelles applications pourront être développées», explique-t-il.
D’où la nécessité de prévoir, par exemple dans la législation nationale française, la possibilité de «bacs à sable» : des expérimentations placées sous le contrôle du régulateur, où des entreprises pourraient analyser des millions de données personnelles sans usage clairement défini à l’avance. «L’obligation de protéger ne doit pas nous priver du droit de chercher et d’innover», souligne Étienne Drouard.
- BELIEVE veut croire en une croissance rentable pour 2024 / FLEX AI sort de l’ombre / Comment un fonds de capital-risque gagne-t-il de l’argent ? - 25/04/2024
- Concurrence: Londres étudie plusieurs partenariats dans l’IA générative - 25/04/2024
- Microsoft étend son empire d’intelligence artificielle à l’étranger - 25/04/2024
