Changer d'édition

«Le RGPD se trouve en phase avec l’opinion publique»
Économie 7 min. 26.05.2019 Cet article est archivé

«Le RGPD se trouve en phase avec l’opinion publique»

«Le RGPD se trouve en phase avec l’opinion publique»

Photo: Shutterstock
Économie 7 min. 26.05.2019 Cet article est archivé

«Le RGPD se trouve en phase avec l’opinion publique»

Aude FORESTIER
Aude FORESTIER
Entré en vigueur il y a tout juste un an, le Règlement général pour la protection des données (RGPD) a amené les entreprises à revoir leur manière de gérer les données des clients et de leurs prospects. Bilan avec Tine A. Larsen, présidente de la Commission nationale de la protection des données (CNPD).

Le RGPD est entré en vigueur le 25 mai 2018. Peut-on dire que le consommateur a le contrôle de ses données ?

Le but du RGPD était de redonner le contrôle de ses données aux citoyens, aux consommateurs. L’année dernière, les sociétés essayaient d’être conformes. Il y avait encore des difficultés à propos de l’application. Il y a eu beaucoup de confusion lors de son entrée en vigueur autour du consentement. Un grand nombre d'e-mails envoyés pour le marketing direct étaient superflus ou exagérés. Cela montre quand même que le RGPD a obligé les entreprises à garantir plusieurs droits aux personnes intéressées. Il s’agit notamment du droit à l’oubli sur internet, le droit de refuser la collecte des données, le droit d’accès.

Le RGPD renforce ainsi le droit des citoyens, il a réussi à rendre le contrôle des données aux citoyens ce qui est en fait une nouveauté pour les citoyens. Il doit apprendre à faire valoir lui-même ses droits à l’égard du responsable du traitement. Le citoyen peut porter plainte devant la CNPD, même si cela concerne une société en Irlande, en France, on va devenir actif pour la personne intéressée.


La CNIL, l'autorité de protection des données en France, a condamné Google à une sanction de 50 millions 
d'euros. Le géant du Web est accusé de manquement à ses obligations dans le cadre du RGPD.
La première certification RGPD sera... luxembourgeoise
Neuf mois tout juste après l'entrée en vigueur du RGPD, le Règlement général sur la protection des données personnelles, une nouvelle certification est en train de se mettre en place. Le Luxembourg est le premier pays d'Europe à l'implémenter.

Que se passe-t-il pour le Grand-Duché ?

Nous sentons qu’au Luxembourg, le citoyen-consommateur s’intéresse à ce qui se passe avec ses données. Il veut devenir plus actif. Nous avons constaté une augmentation de la demande d’information, des demandes de renseignements, aux alentours de l’entrée en application du RGPD. De plus, nous avons vu une forte augmentation des plaintes (450 en 2018 voir encadré ci-dessous).

Pourquoi y a-t-il autant de plaintes ?

Il y en a autant car il y a eu une énorme prise de conscience sur les enjeux de protection des données auprès des particuliers mais aussi auprès des professionnels. Cela est dû notamment à l’effet médiatique du RGPD. Nous avons essayé de travailler avec des «multiplicateurs» pour travailler et sensibiliser le plus grand nombre de personnes possible. A savoir les entreprises qui mettent en œuvre le RGPD et les personnes intéressées, les consommateurs, les utilisateurs dans certains cas et très souvent les employés qui ont des droits. A force de leur faire connaître leurs droits, ils ont aussi agi.

Photo: Pierre Matgé



ITW avec Tine Larsen, préseidente de la commission nationale pour la protection des données, photo : Caroline Martin
Tine Larsen: «C'est au consommateur d'être exigeant»
A dix jours de l'entrée en vigueur du nouveau règlement européen, la Commission nationale pour la protection des données se retrouve au cœur de toutes les attentions. Pourtant, le 25 mai, aucune guillotine ne tombera. Sa présidente, Tine Larsen, invite le consommateur, à exiger des sociétés qu'elles respectent les règles du jeu.

Quel bilan tirez-vous un an après ?

Nous avons beaucoup été sollicités. Nous avons organisé beaucoup d'événements, des campagnes de sensibilisation, des conférences. Nous avons émis une brochure que nous avons distribuée sur le terrain. Nous avons organisé le Data protection lab, où les firmes peuvent échanger sur une problématique. En outre, nous avons renforcé notre méthodologie d’enquête. Aujourd'hui, nous sommes dans une optique de contrôle a posteriori. Nous avons établi un département enquête qui fait d’un côté des audits et de l’autre des contrôles ponctuels. Nous avons lancé une campagne d’audit auprès de 25 grands responsables de traitement où on contrôle la mise en application du règlement au niveau de la fonction de délégué à la protection des données.

Vous avez donc beaucoup de travail…

Effectivement. Le gouvernement luxembourgeois a reconnu qu’il y a eu un changement radical au niveau de la protection des données au niveau de l’Union européenne, qu’il faut en tenir compte et renforcer l’autorité de contrôle.

Cela veut-il dire que vous avez renforcé vos effectifs ?

Oui, nous avons augmenté nos effectifs de 15 à 38 à la fin de l’année 2018 et nous espérons être à 48 à la fin de cette année. Ce chiffre est crucial pour pouvoir exécuter notre rôle de régulateur, renforcé par le RGPD. Notre rôle est davantage global parce que nous avons beaucoup de sollicitations de l’étranger et des Luxembourgeois qui essayent de toucher des sociétés à l’étranger.


Wirtschaft, Der RGPD nach einem Jahr, 3. Edition der ''Luxembourg data protection days'', Viviane Reding, Foto: Lex Kleren/Luxemburger Wort
«La protection des données est dans l'ADN de l'Europe»
La troisième édition des "Luxembourg Data Protection Days" s'est déroulée ce lundi. Elle avait pour thème le premier anniversaire du RGPD.

Le RGPD est-il bien entré dans les mœurs ?

Je dirai que oui. Le RGPD est un texte en phase avec l’opinion publique. C’est un reflet de son époque. Il y a quelques années, les personnes avaient tendance à fermer les yeux sur l’utilisation peu appropriée de leurs données par les organisations si cela permettait d’avoir des services gratuits en retour. Aujourd’hui, la situation a radicalement évolué; l’usage des données personnelles que les responsables de traitement en font devient pour les consommateurs un véritable sujet d’inquiétude. Ils veulent savoir ce qui se passe avec leurs données, ce que les entreprises en font.

Quel retour avez-vous des entreprises, qu’elles soient grandes moyennes ou petites ?

Toutes les réglementations ont un coût. On ne peut pas dire parce qu’on est seul, on ne peut pas, on n’applique pas les règles. Ce n’est pas une bonne excuse si un jour nous venons parce qu'une plainte a été déposée ou que nous avons lu quelque chose ou effectué une sélection d’une société pour aller faire une visite d’appoint. Le coût n'est pas une bonne explication. Je pense que cela aurait un effet sur la sanction ultérieure. Si une petite société dit «j’ai consulté votre site sur les étapes de mise en conformité, j’ai réfléchi, j’ai mis en place mon registre de traitement, je me suis adressée à mon association professionnelle» et qu’elle collabore, cela peut par contre être considéré comme des circonstances atténuantes.

Tine A. Larsen, présidente de la CNPD.
Tine A. Larsen, présidente de la CNPD.
Photo: Pierre Matgé

Le RGPD s’est mis en place facilement ?

Je pense qu'il s'est mis en place beaucoup plus tranquillement et avec beaucoup moins de casse que nous avions prévu le 25 mai 2018. Nous avons constaté que la majorité des entreprises luxembourgeoises ont entamé les travaux de conformité, elles ont investi beaucoup d’énergie pour la mise en conformité. Ce que nous voyons, c’est que leur bonne volonté est un peu freinée par des thématiques plus complexes pour lesquelles elles attendent une orientation soit de notre part comme régulateur, soit l’EDPB (comité européen de la protection des données).

Que doivent faire les firmes maintenant?

Les sociétés doivent passer d’un mode de projet vers un mode opérationnel. Les Data Protection Officers auront une grande mission de maintenir l’intérêt, le soutien des directions pour continuer à avancer dans la mise en conformité car le RGPD, sa préparation ce n’est pas seulement une action d’appoint, une action figée dans le temps? Il s’agit d’une amélioration continue.


La CNIL, l'autorité de protection des données en France, a condamné Google à une sanction de 50 millions 
d'euros. Le géant du Web est accusé de manquement à ses obligations dans le cadre du RGPD.
La première certification RGPD sera... luxembourgeoise
Neuf mois tout juste après l'entrée en vigueur du RGPD, le Règlement général sur la protection des données personnelles, une nouvelle certification est en train de se mettre en place. Le Luxembourg est le premier pays d'Europe à l'implémenter.

Pourquoi le RGPD est-il bon pour notre pays ?

Il est bon parce qu'il s'agit d'un règlement et non pas d'une directive. Au début, on voulait refaire la directive de protection des données de 1995, mais au cours des négociations, c’est devenu un règlement applicable à tous les acteurs sur le territoire européen en même temps. On a essayé d’obtenir une harmonisation de la législation dans toute l’Union européenne avec le RGPD, c’est important pour les entreprises, pour offrir la possibilité d’une meilleure participation dans le marché digital unique européen. Si les sociétés luxembourgeoises veulent œuvrer au-delà des frontières, elles ne découvriront pas de nouvelles règles.

Est-ce qu’il s’agit d’un texte de loi qui peut aider dans l’innovation ?

Le RGPD est un accélérateur d’innovation parce que la société doit se poser tellement de questions sur l’utilisation des données, celles en relation avec sa digitalisation. En réfléchissant sur les traitements à mettre en œuvre, l’établissement du registre des traitements, elles doivent faire travailler ensemble les divers métiers et les fonctions de support. Avant, les différents secteurs travaillaient dans des silos et ces derniers ne savaient pas ce que les autres traitaient. Nous avons une plus grande information sur ces données. En transposant le RGPD, les sociétés ont été forcées à faire un nettoyage de printemps des données possédées. En détenir moins permet de connaître son stock et une utilisation plus efficace.

Est-ce qu'une nouvelle réglementation pourrait le remplacer ?

Non. Il y aura des adaptations dans des législations nationales, des adaptations ponctuelles sur certains points sur lesquels on n’a pas pu légiférer en profondeur. Le texte doit commencer à vivre à travers ces interprétations. A un certain moment, la Cour de justice de l’Union européenne sera saisie de cas qui auront passé tous les échelons au niveau des juridictions nationales pour aboutir à la cour et la jurisprudence de la Cours de justice de l’Union européenne, elle fera partie des règles d’application du RGPD. 


Sur le même sujet

Protections des données: vers un recrutement mieux protégé
Le recrutement de nouveaux employés, depuis l'entrée en vigueur du nouveau règlement de l'Union européenne sur la protection des données, nécessite un changement de la part des ressources humaines, des chasseurs de têtes et des agences de recrutement dans toute l'Europe.
Tine Larsen: «C'est au consommateur d'être exigeant»
A dix jours de l'entrée en vigueur du nouveau règlement européen, la Commission nationale pour la protection des données se retrouve au cœur de toutes les attentions. Pourtant, le 25 mai, aucune guillotine ne tombera. Sa présidente, Tine Larsen, invite le consommateur, à exiger des sociétés qu'elles respectent les règles du jeu.
ITW avec Tine Larsen, préseidente de la commission nationale pour la protection des données, photo : Caroline Martin
Tine A.Larsen, CNPD: «Il faut trouver l'équilibre»
La présidente de la Commission nationale pour la protection des données tente de rassurer les entreprises sur leur mise en conformité avec le règlement général applicable au 25 mai prochain. En tant que régulateur, Tine A. Larsen souhaite trouver l'équilibre entre libre circulation des données et protection des droits fondamentaux.
La présidente de la Commission nationale pour la protection des données Tine A. Larsen a reçu le Luxemburger Wort dans son bureau à Belval.