Interview: Pierre Sorlut

Tine A. Larsen préside la Commission nationale pour la protection des données (CNPD) depuis novembre 2014. La bonne mise en oeuvre du règlement général sur la protection des données (RGPD) est la priorité du moment.

Madame Larsen, comment le RGPD va-t-il rendre au citoyen-consommateur le contrôle de ses données?

Par le renforcement de ses droits. Le droit à l'information ou le droit à l'accès existent déjà dans l'ancienne directive, mais sont plus prononcés dans le règlement général de protection des données. Mais, surtout, les sociétés devront expressément obtenir le consentement du consommateur pour traiter ses données. Les entreprises doivent démontrer qu'elles l'ont bien obtenu. Il n'est plus question de parler d'accord implicite. Puis il y a de nouveaux droits comme le droit à la portabilité.

C'est-à-dire?

Par exemple, si vous voulez changer d'opérateur téléphonique, vous pouvez demander à ce que votre prestataire vous remette toutes les données qu'il a sur vous et les remette au suivant. C'est par exemple la liste de vos contacts, mais aussi les numéros appelés... dans la mesure où l'opérateur les a stockés. Si vous avez un compte Facebook ou Whatsapp, tout cela est gardé assez longtemps chez l'opérateur et vous pouvez leur demander de fournir les données. La portabilité est aussi très importante dans le milieu bancaire. Grâce au RGPD, il est possible de transférer les informations sur un compte et ses transactions d'un établissement à l'autre.

Prévoyez-vous une mise en oeuvre chaotique?

Je ne pense pas. Le défi résidera dans la définition du format permettant la portabilité. L'industrie devra développer ses standards. Comme toute régulation, le RGPD implique des coûts et des efforts. On ne part pas non plus de rien. On avait la directive, la loi luxembourgeoise de 2002 sur la protection des données.

Des textes obsolètes...

C'est ce qu'on dit, mais on a gardé les mêmes droits. On y a ajouté les droits à la portabilité et à l'effacement (ou à l'oubli, ndlr.). Si les sociétés s'étaient déjà préparées à ces textes, alors elles ont de bonnes bases. Ce qui change vraiment, c'est que les sociétés deviennent responsables.

Comment cela se passe-t-il avec le RGPD?

Jusqu'à présent, les autorités de contrôle surveillaient a priori ce que faisaient les entreprises. Elles nous envoyaient des notifications et des demandes d'autorisation. La CNPD vérifiait. Maintenant on refoule cette responsabilité vers les sociétés. Elles doivent elles-mêmes contrôler. Elles doivent analyser leurs traitements de données, tenir compte du principe de minimisation du traitement, veiller à la qualité des données, respecter la base légale pour leur collecte et le partage, etc.. Tout ce que nous vérifiions avant pour elles leur revient dorénavant.

Est-ce une simplification pour les entreprises ou pour le régulateur?

Pour les entreprises. Grâce au RGPD, elles ont la possibilité de s'organiser dans leur conformité. Elles ne répondent plus à l'obligation d'introduire une demande d'autorisation et d'attendre qu'on l'analyse. Parfois cela prend beaucoup de temps. A partir de mai prochain, si une start-up est prête à aller sur le marché et qu'elle est conforme au regard de la protection des données, elle n'a plus besoin d'attendre.

Pour les entreprises c'est nouveau et lourd. La problématique leur passait au-dessus jusque-là...

Oui et non. Les charges du RGPD ne sont pas proportionnelles à la taille des entreprises, mais au risque porté par les données qu'elles traitent. Imaginons une application qui permet de surveiller les enfants, mais que l'entreprise qui l'opère – et qui compte très peu d'employés – garde toutes les informations, que les données ne sont pas sécurisées et que cette app' est largement diffusée au Luxembourg. Je pense que cette société doit se rendre compte de ce qu'elle fait. Il faut mesurer le risque, savoir quelles données sont conservées, à quoi elles sont destinées et ce qu'il faut faire en cas de faille de sécurité.

Et a contrario...

Une très grande boulangerie peut avoir des données sur ses employés et sur ses clients. Elles ne traitent pas les données de ses clients comme Whatsapp ou Facebook. Elle n'a pas la même charge qu'une société qui fait du commerce de données son métier. Les sociétés doivent mesurer l'importance des données qu'elles ont entre leurs mains et générer une relation de confiance avec le client. Le commerce n'est envisageable que dans le cadre d'une telle relation.

C'est un énorme défi, ne serait-ce qu'en ressources humaines, pour les petites sociétés?

Pour reprendre notre exemple de boulangerie, celle-ci peut dire: 'Moi je fais du pain, je ne suis pas spécialisée en microbiologie ou en hygiène de la santé'. Elle doit néanmoins suivre les normes en matière de sécurité et de propreté. La logique demeure pour la protection des données avec le RGPD. Toutes les sociétés doivent faire un inventaire de tout ce qui leur appartient, des biens matériels ou immatériels. Le registre des traitements est un inventaire des données qui apportent de la richesse à l'entreprise.

Est-ce que le RGPD justement ne va pas nuire à la liquidité des données qu'on appelle parfois le pétrole du 21ème siècle?

Au contraire. Les start-up peuvent intégrer les concepts de «privacy by design» ou «privacy by default» dès la conception du traitement. Ce nouveau règlement est un avantage compétitif, elles utiliseront le cas échéant la relation de confiance avec le consommateur comme un levier commercial. Ceux qui ne respecteront pas les règles, en paieront le prix à la fin, éventuellement une sanction.

Elle peut s'avérer significative, jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires?

Oui mais pas seulement. Nous pouvons aussi prononcer des avertissements ou des ordres correctifs. Une fois publiés, il vont affecter la réputation de la société. Mais nous cherchons d'abord à sensibiliser et à éduquer.

Quelle posture adopterez-vous les premiers mois après le 25 mai?

Nous sommes déjà beaucoup sur le terrain pour sensibiliser les sociétés. Beaucoup se rendent compte qu'elles sont concernées, la plupart par la gestion des ressources humaines. Un magasin qui vend des journaux n'aura que les données relatives aux employés à gérer. Il n'a pas l'obligation de désigner un responsable à la protection des données ou d'établir un registre de traitement. Juste, et c'est une question de bon sens, il ne doit ne pas publier les informations personnelles sur ses salariés.

Le volume de travail sera conséquent quoi qu'il arrive...

On ne peut pas le quantifier, mais on doit donner au RGPD une place dans l'entreprise au quotidien. Cela varie en fonction des traitements que la société opère.

La CNPD va-t-elle faire preuve d'indulgence au début? Allez-vous appliquer un droit à l'erreur?

Nous invitons les entreprises à être prêtes en mai. Droit à l'erreur? Nul n'est censé ignorer la loi. Nous avons un rôle de supervision. Mais nous préférons la carotte au bâton. Nous ne voulons pas frapper à tout prix. Il ne s'agit pas de sanctionner sévèrement pour de toutes petites infractions. Nous ne voulons pas prononcer de lourdes amendes pour marquer le début d'une nouvelle ère. S'il y a des violations graves qui amènent des dommages aux personnes, alors oui il faut qu'on intervienne.

Est-ce que philosophiquement la CNPD sera dure ou adoptera-t-elle une position ouverte pour les entreprises?

Le grand défi du RGPD est de trouver l'équilibre entre la libre circulation des données et les droits fondamentaux des individus. Nous avons une très grande responsabilité dans le bon fonctionnement de l'économie, mais nous ne prenons pas de décisions sur un coup de tête. C'est juridiquement souvent très compliqué. On doit aussi évaluer l'approche des autres pays. Nous nous inspirons de la France et de l'Allemagne où règnent des cultures tout à fait différentes. Il nous faut concilier.

Quel impact a le RGPD sur l'organisation de la CNPD?

C'est une nouvelle façon de travailler. Nous nous dotons d'un nouvel organigramme. Cela va faire plus de personnel. Il y a trois ans nous étions 15. D'ici la fin de l'année nous serons 25. Fin de l'année prochaine nous serons 35. Il nous faudrait 49 postes pour fonctionner vraiment bien. Mais comme on ne mesure pas encore l'impact de RGPD, on ne va pas réclamer tous ces postes tout de suite. De deux millions d'euros aujourd'hui, le budget passera à 4,5 millions.