Odette Simoes, IAE Paris – Sorbonne Business School, Le 23 mai 2023

Le lundi 22 mai, Meta, la maison-mère de Facebook, Instagram ou encore WhatsApp, a écopé d’une amende de 1,2 milliard d’euros pour avoir enfreint le règlement général sur la protection des données (RGPD). Le régulateur irlandais, en charge d’appliquer le texte européen, a estimé que le géant américain avait « continué de transférer des données personnelles » d’utilisateurs du siège européen à Dublin vers les États-Unis en violation des règles des vingt-sept.

Cette amende, que Meta conteste, constitue la troisième infligée à la maison-mère de Facebook depuis le début de l’année dans l’UE. Il s’agit également d’un montant record qui dépasse les 746 millions d’euros réclamés à Amazon en juin 2021 au Luxembourg.

Cette nouvelle amende contre Facebook illustre bien la montée en puissance réglementaire du RGPD, qui a été adopté par l’Union européenne (UE) il y a presque cinq ans, le 25 mai 2018. L’idée de ce nouveau cadre normatif était de trouver un compromis entre défendre les droits des individus et permettre l’innovation des agents économiques. En effet, pour de nombreuses entreprises, les données à caractère personnel sont devenues une véritable manne, dont la protection suscite des craintes chez les citoyens comme chez leurs représentants.

Encore peu de DPD

Le texte, du fait de sa nature juridique, s’est appliqué immédiatement à tous les États membres. En France, c’est la Commission nationale informatique et libertés (CNIL) qui est garante de son respect. En 2022, l’autorité a prononcé 21 sanctions pour un montant total de 101 277 900 euros. En outre, avec 147 décisions prononcées, la CNIL a également annoncé un nombre record de mises en demeure (ordonnant à un organisme de se mettre en conformité dans un délai fixé).

Pourtant, les entreprises n’avaient pas nécessairement attendu la Commission européenne pour être sensibilisées à cette problématique. Dans l’Hexagone, la loi dite « Informatique et liberté » de 1978 était déjà maîtrisée par les organisations. Beaucoup avaient déjà en leur sein un « correspondant informatique et libertés », ancêtre du délégué à la protection des données personnelles (DPD), fonction instituée par le RGPD pour les organismes publics et les organisations amenées à traiter à grande échelle des données dites « sensibles », avec des missions de veille, d’information, de conseil, de contrôle et d’alerte si besoin.

Malgré cela, cinq ans après l’entrée en vigueur du RGPD, de nombreux chantiers restent en cours. D’abord, des progrès restent à accomplir en matière d’amélioration de la sécurité des données informationnelles et de suppressions des données (purges) dans tout le système d’information. Autre difficulté : les organismes tardent à se doter d’un délégué à la protection des données qui, selon le guide publié par la CNIL, ne doit pas recevoir d’instructions ni ne peut être sanctionné ou licencié en raison des conclusions qu’il tire dans le cadre de ses missions.

Si le rapport publié par la CNIL en 2022 faisait état de 89 841 organismes ayant désigné un DPD, ces responsables restent encore peu présents dans un certain nombre de structures. C’est particulièrement le cas au sein des collectivités territoriales, au point que des communes ont pu être mises en demeure d’en désigner un par les autorités.

Un rôle très (trop ?) vaste

Au sein des organisations qui ont nommé un DPD, les missions qui ont présenté la plus lourde charge de travail lors du déploiement du RGPD ont porté sur la mise en place et le suivi d’un registre des activités de traitements des données. Constituer ce document a souvent nécessité de longs échanges en interne pour recenser toutes les activités susceptibles de collecter des données, puis d’identifier la nature et la durée de leur conservation.

[Près de 80 000 lecteurs font confiance à la newsletter de The Conversation pour mieux comprendre les grands enjeux du monde. Abonnez-vous aujourd’hui]

Or, ce temps nécessaire apparaît inadapté à la rapidité des développements informatiques et des projets : les documents de conformité sont ainsi souvent en décalage avec les exigences. Par exemple, les analyses d’impacts sur la vie privée (AIVP) sollicitent énormément de temps car impliquent de nombreux échanges avec l’ensemble des métiers impactés. Ce document, obligatoire pour les traitements susceptibles d’engendrer des risques élevés, peut donc parfois être obsolète une fois publié.

Comme l’indique un témoignage que nous avons recueilli :

« Le rôle de DPD est vaste car il est à la fois le pilote de la conformité, un conseiller auprès de la direction et un accompagnateur des métiers. Il doit s’intéresser à toutes les directions et comprendre tous les métiers de l’entreprise afin d’apprécier la conformité des traitements. »

Cela n’est pas sans conséquence sur ces responsables :

« Nous devons répondre à une demande d’exercice des droits, déclarer une notification de violation de données, etc. En termes de savoir-être, il faut être capable de gérer le stress et les pics d’activité. »

DPD, un rôle mal reconnu

D’après nos observations sur le terrain, quelques recommandations pourraient être suggérées afin de faciliter le travail des DPD. Une première voie consisterait à alléger leur charge de travail, ce qui peut se faire en étoffant leur équipe pour répondre aux nombreuses sollicitations au quotidien. Les DPD travaillent majoritairement seuls : 75 % d’entre eux n’ont pas d’équipe pour les épauler dans leur mission.

Rares sont de plus les DPD qui disposent d’un budget afin d’accomplir leurs tâches. Seul près d’un tiers d’entre eux déclarent avoir eu des fonds en 2020, ou avoir pu bénéficier facilement de ceux d’autres services. Aussi allouer plus de moyens financiers représente-t-il un autre chemin sur lequel il serait bon de s’engager.

La place du DPD dans l’organisation mérite aussi réflexion. Il remplit une fonction support et de conseil, ce qui peut présenter certaines limites si la direction générale décide de passer outre l’alerte du DPD. Un enquêté le rappelle bien :

« Le DPD conseille le responsable de traitement, il ne décide pas. D’où l’intérêt qu’il puisse être proche de la direction générale. »

L’idée est qu’il puisse être soutenu dans la mise en place des recommandations qu’il formule. Un DPD nous a, par exemple, fait part des difficultés auxquelles il a été confronté et de la manière dont il tente de s’en sortir :

« Après 7 ans d’expérience dans la protection des données, dont 5 comme DPD, je constate que la conduite du changement se réalise de manière progressive, difficile. Elle passe par beaucoup de sensibilisation et d’accompagnement des métiers. Ensuite, selon moi, il est toujours indispensable d’avoir le sourire et d’être aimable. La conformité n’est pas une thématique très motivante pour la plupart des collègues, alors autant faire preuve de sympathie afin qu’ils soient moins réticents à assister aux réunions de suivi ».

Cette difficulté de sensibilisation des métiers internes à l’entreprise provient très probablement de l’absence de lien hiérarchique entre le DPD et les métiers. Il est très complexe pour lui de faire adhérer les parties prenantes : il ne bénéficie de fait pas d’un pouvoir de motivation, voire de sanction en cas de non-atteinte des objectifs de ses collègues.

Le rôle de DPD semble donc ne pas avoir terminé sa mutation. Peut-être, le nombre croissant de cyberattaques ainsi que des normes juridiques à venir, comme le règlement Dora qui entrera en vigueur en janvier 2025, inciteront-ils les organisations à accroître leur sécurité informatique et à renforcer les moyens des DPD.

Odette Simoes, Maître de conférences associé en Management des Systèmes d’information et conformité, IAE Paris – Sorbonne Business School

Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.