Mon analyse du rapport de NOYB "GDPR : a culture of non-compliance?"
Par Bruno RASLE • 29 janvier 2024 • LinkedIn
Ayant répondu au questionnaire publié par l'association NOYB, j'ai parcouru avec attention le rapport qui vient d'être publié. Il est intitulé "GDPR : a culture of non-compliance? Numbers of evidence-bases enforcement efforts".
Un millier de "privacy professionals" ont répondu à NOYB, ce qui donne une assez bonne représentativité (la France est deuxième contributeur après l'Allemagne, avec 113 réponses). On notera que le sondage mené régulièrement en France par le Ministère du Travail avec l'aide de la CNIL, de l'AFCDP et de l'ISEP, recueille régulièrement bien plus de contributions. Ainsi, pour la troisième édition, publiée en mai 2022, 1.811 DPO avaient contribué entre septembre et octobre 2021 (la CNIL a adressé récemment aux DPO désignés auprès d'elle le sondage qui donnera lieu à une quatrième publication : il est possible d'y répondre jusqu'au 12 février 2024 et il est crucial que chaque DPO en profite pour se faire entendre).
Je note que le rapport de NOYB consolide les observations relevées dans mon étude "Il faut sauver le soldat DPO !" concernant les pressions dont font l'objet certains DPO : "... ces départements [Marketing] font même pression sur les DPD pour limiter la conformité au GDPR. 32,3 % font même état de pressions de la part de la direction générale pour limiter la conformité au GDPR... Les DPD font état de "pressions" actives pour limiter la conformité au GDPR. De nombreuses personnes interrogées ont également subi des pressions pour limiter la conformité au GDPR dans l'intérêt de l'entreprise. Par exemple, près d'un tiers des DPD ont déclaré qu'ils subissaient des pressions de la part de la direction ou du PDG pour limiter la mise en conformité. L'enquête a également montré qu'il n'est pas seulement difficile de convaincre les ventes et le marketing des changements nécessaires, mais que 46,9 % des répondants ont déclaré qu'ils subissaient des pressions de la part des départements des ventes et du marketing, dont 19,0 % peuvent être considérés comme des pressions sérieuses.".
Sur ce sujet, NOYB fait référence au rapport que le CEPD a très récemment publié sur les conditions d'exercice du DPO : ("L'enquête du CEPD sur le rôle des délégués à la protection des données montre la nécessité d'apporter des changements au sein des organisations afin que les DPD puissent s'acquitter correctement de leur tâche. Le rapport du CEPD souligne également le fait que, dans certaines organisations, les DPD ne sont pas vraiment indépendants").
Je trouve très intéressante la remarque selon laquelle "la dissuasion reste nationale". Il semblerait que les professionnels de la protection de la vie privée (et les responsables de traitement) ne regardent guère au-delà de leurs frontières, et ce malgré le fait que le RGPD est censé établir un cadre juridique européen commun : "46 % des répondants ont déclaré que les décisions des autorités de contrôles d'autres pays ne sont pas influentes, tandis que 45 % considèrent que les décisions des tribunaux d'autres juridictions ne sont pas influentes. Seule la Cour de justice (CJUE) est considérée comme à peu près aussi influente que les décisions nationales". C'est bien ce que je constate lors de mes formations quand j'évoque des décisions des autorités estoniennes ou italiennes (par exemple).
A titre personnel (et avec l'aide précieuse de Deepl qui me permet de prendre connaissance de décisions publiées dans des langues que je ne maîtrise pas), j'essaie d'aller au-delà des seules décisions de la CNIL. A titre d'exemple, j'analyse actuellement une décision de l'autorité chypriote qui recèle des trésors qui avaient échappé jusqu'alors à mon attention.
NOYB souhaite que chaque autorité chargée de la protection des données "relaye" les décisions prises par ses homologues européennes "pour s'assurer que les entreprises réagissent à ces décisions". Est-ce vraiment leur rôle ? Pour éviter une déperdition d'énergie, ne faudrait-il pas plutôt que le CEPD élargisse le périmètre de ses publications actuelles ?
Dans cette attente, tout DPO devrait s'abonner à la newsletter de l'AFCDP qui signale régulièrement les décisions les plus pertinentes prises en dehors de la France (Cette lettre mensuelle est gratuite et nul n'est besoin d'être membre de l'association pour la recevoir).
NOYB remarque que "L'éventualité d'un recours collectif n'est pas (encore) considérée comme un moteur interne influent pour une conformité autonome". Pour les DPO désignés auprès d'organismes qui ne sont pas soumis aux sanctions pécuniaires de la CNIL (Cf. Article 20. III.7 de la loi Informatique et Libertés : "À l'exception des cas où le traitement est mis en œuvre par l'Etat..."), ce n'est effectivement que dans le cadre d'un recours collectif dans le domaine de la protection des données avec demande de dommages et intérêts qu'ils peuvent évoquer auprès de leur direction un risque financier à ne pas respecter le RGPD.
Le rapport s'étonne que les instruments juridiques non contraignants (lignes directrices du CEPD et les lignes directrices locales de l'autorité de protection des données) soient ressenties comme inefficaces. D'après les réponses apportées, seuls 15,7 % des répondants estimeraient que les lignes directrices du CEPD ont une "certaine influence" et que seuls 7,3 % les jugent "très influentes". Après la vague de sanctions prononcées par la CNIL à la suite du non-respect de sa doctrine cookies, on peut effectivement partager l'étonnement des auteurs du rapport, mais il est vrai que j'observe lors de mes formations techniques (à l'occasion desquelles je vulgarise pour des DPO non-informaticiens les concepts qu'ils doivent impérativement maîtriser) que les DPO pensent rarement à exiger que les appels d'offres et/ou les expressions de besoins fassent expressément référence (par exemple) aux recommandations de la CNIL sur l'authentification par mot de passe ou à celles relatives à la traçabilité ("mesures de journalisation").
Sans surprise, les répondants ont indiqué que les contrôles sur place des autorités sont les mesures les plus redoutées. On notera que, pour la France, après un record de 510 contrôles en 2015 et une chute sur un creux de 247 missions en 2020, la courbe repart à la hausse (345 contrôles courant 2022).
A titre personnel, j'avoue avoir été étonné que 35,8 % des répondants estiment que "l'effet dissuasif" du RGPD s'est estompé au cours des cinq dernières années. Il me semblait, au contraire, qu'au fil des sanctions prononcées et du montant de certaines d'entre elles, les messages commençaient à passer (certes, bien trop lentement). Sur ce sujet, je partage le témoignage d'un confrère belge que comprend le document : "Les choses se sont considérablement améliorées, mais il faudra plus de cinq ans pour se débarrasser de plus de vingt ans d'organisations qui font ce qu'elles veulent avec les données personnelles". Je pense qu'il faudra sans doute une génération...
Pour finir, deux passages m'ont dérangé/surpris :
Il est indiqué que "pour 74,4 % des personnes interrogées, si une autorité de protection des données franchissait demain la porte d'un responsable de traitement moyen, elle trouverait certainement des violations au RGPD". NOYB semble s'appuyer sur cela pour intituler son document "Une culture de la non-conformité" (comme si cette posture était volontaire pour tous les responsables de traitement). Quand on sait qu'aucun organisme ne peut être assuré d'avoir purgé des données personnelles dont il n'a plus l'utilité, les réponses auraient dû être à 100 % (Je ne sais pas si la CNIL peut faire un jour l'objet d'un contrôle par l'une de ses homologues, mais il est possible/probable que même elle soit non-conforme sur ce point) ;
Le témoignage d'un DPO français (en page 18 du rapport) selon lequel la CNIL n'effectuerait que 25 enquêtes approfondies par an (à rapprocher des chiffres indiqués supra concernant les contrôles que réalise l'autorité française chaque année).
