Le « marketing de la peur » est-il le plus productif ?
Par Bruno RASLE • Délégué général de l’AFCDP • Septembre 2017 •
Le règlement général pour la protection des données (RGPD) entre en application le 25 mai 2018. Il ne s’agit pas d’un simple toilettage de l’actuelle loi Informatique et Libertés mais bien d’un changement de paradigme. L’AFCDP – association qui regroupe les professionnels de la conformité Informatique et Libertés depuis 2004 et représente et accompagne les futurs DPO – a suivi les travaux qui ont mené à ce règlement avant même la publication du projet initial, en janvier 2012, et a fait entendre à Bruxelles la voix des professionnels concernés. Elle a aussi suggéré plusieurs points que l’on retrouve dans les lignes directrices du G29 sur le Data Protection Officer.
L’AFCDP se réjouit naturellement de l’effervescence actuelle qui entoure le RGPD et croît à l’approche de la date fatidique. Cette attention nouvelle portée aux enjeux liés à la protection des données personnelles et à la conformité Informatique et Libertés contraste avec l’attentisme observé par certains dirigeants ces dernières années. Cette attention devrait également soutenir les efforts des CIL – futurs DPO- au sein de leur entreprise - : leurs messages commencent à être entendus, leurs analyses prises en compte, leurs conseils suivis.
Mais l’AFCDP regrette que cette effervescence – qui se matérialise sous forme de conférences, séminaires, petits déjeuners, livres blancs, sondages et études diverses - ne s’appuie principalement que sur les risques et les contraintes, et pas assez sur les avancées.
Il est frappant de noter que, pour sa part, la CNIL, qui dispose pourtant d’un pouvoir de sanction, positive et met l’accent sur la préparation au RGPD avec, notamment, une méthodologie en 6 étapes pour anticiper les changements liés à l’entrée en application du règlement européen. De même l’AFCDP a publié les interviews de dix dirigeants qui ont pris les devants et qui ne mettent avant que des points tels que l’éthique, la confiance et la transparence, la qualité de la relation clients, la création de valeur, la différenciation ou la responsabilité entrepreneuriale.
De plus, l’avalanche actuelle de messages publicitaires qui instrumentalisent le RGPD laisse penser que la conformité n’est affaire que de sécurité de données et que l’acquisition du produit A, du service B ou du logiciel C y suffit. Les membres de l’AFCDP signalent les difficultés qu’ils rencontrent pour modérer cette impression – quand il ne leur faut pas contredire quelques approximations proférées lors de discours commerciaux imprécis – eux qui, année après année, se sont évertués à faire comprendre que seule une approche globale pouvait prétendre à l’atteinte de la conformité, mêlant méthodes, procédures, humain et outils. Cela rejoint le conseil de M. Giovanni Buttarelli, le Superviseur européen à la protection des données, qui a appelé, lors d’une récente intervention publique, à rester prudent quant aux offres de personnes incompétentes en matière de RGPD... les entreprises devant comprendre qu’elles assumeront les conséquences du choix d’un mauvais conseil : « Beaucoup se prétendent spécialistes, peu le sont réellement. À l’aune des sanctions prévues, il faut être très prudent dans le choix des prestataires ».
De son côté, dans une récente communication intitulée « RGPD : distinguons entre faits et fictions », Elizabeth Denham, la présidente de l’ICO (la « CNIL » britannique) a pris cela sur le ton de la plaisanterie : « Non, le RGPD n’empêchera pas le dentiste de mon quartier de rappeler ses patients pour leur rappeler leurs rendez-vous ; non, le RGPD ne vas pas soumettre mon artisan à une amende colossale qui le contraindra à mettre la clé sous la porte ; non, notre autorité de contrôle ne sera pas financée par les pénalités financières que nous allons être amenés à prononcer ».
Pour trier le vrai du faux concernant le RGPD et analyser les annonces, il vaut donc mieux s’en remettre à son Correspondant Informatique et Libertés, préfigurateur du futur Délégué à la protection des données : il est le véritable pivot du règlement européen et devrait être la référence en ce domaine au sein des entreprises. S’appuyant sur son expertise et son expérience, il sait identifier les offres susceptibles d’aider le responsable de traitement sur le chemin de la conformité.
