À quelques semaines de la mise en application du RGPD – le nouveau règlement made in Bruxelles destiné à redonner à l’internaute la maîtrise de ses données en conditionnant leur collecte et utilisation à son autorisation – nombreuses sont les entreprises à s’inquiéter de son impact futur sur leur activité et, à terme, sur l’équilibre de l’ensemble du secteur. Explications.

Certains y voient une opportunité, d’autres – plus nombreux – une menace. Annoncée il y a deux ans déjà, la mise en application imminente du RGPD – le règlement général sur la protection des données – n’en finit plus d’agiter l’écosystème du Web où médias, éditeurs web et spécialistes de la collecte de données en tout genre spéculent sur ses répercussions futures. Le législateur se veut pourtant rassurant, rappelant que, la nouvelle réglementation s’inscrivant dans la continuité de la loi informatique et libertés de 1978 et des habituelles recommandations de la Cnil, elle ne fait, pour l’essentiel, qu’exiger la mise en conformité des entreprises avec des exigences vieilles de plusieurs années. Voilà pour la théorie. À en croire les experts du droit et les acteurs du secteur eux-mêmes, les choses devraient s’avérer plus délicates côté pratique.

Risques financier et réputationnel

Et pour cause. Pour Florence Chafiol, avocate associée chez August Debouzy, spécialisée en nouvelles technologies et data privacy, avec ce nouveau règlement, c’est tout un état d’esprit qui évolue en matière d’e-privacy, cet enjeu longtemps ignoré et qui, aujourd’hui, cristallise les attentes. « Certes, les entreprises sont censées avoir entamé leur mise en conformité il y a deux ans déjà, mais à l’époque, le sujet n’était une priorité pour personne, explique-t-elle. Et comme un climat de relative tolérance régnait autour de ces questions de protection des données, beaucoup ont joué le statu quo. » Résultat, nombreuses sont celles qui, aujourd’hui, s’inquiètent du durcissement de ton accompagnant la mise en application imminente du RGPD avec, à la clé, un risque financier désormais bien réel – les amendes pour non-respect des règles de confidentialité pouvant atteindre jusqu’à 4% du chiffre d’affaires mondial – auquel s’ajoute un risque réputationnel et donc, concurrentiel, le fait que les citoyens puissent désormais déposer plainte contre une entreprise favorisant clairement les plus vertueuses en la matière… D’où l’impression qu’avec le RGPD, Bruxelles vient tout simplement de siffler la fin de la récré.

Accountability & privacy by design…

« Les entreprises sont désormais soumises à une obligation d’accountability, poursuit Florence Chafiol. Ce qui, comme toujours lorsqu’il est question de compliance, promet d’être extrêmement lourd en termes de documentation et de process. » Beaucoup plus lourd, en tous cas, que la simple déclaration à la Cnil qui prévalait jusqu’à maintenant. Et à cette nouvelle obligation s’ajoutera la nécessité de placer les exigences d’e-privacy au cœur des modes de fonctionnement de l’entreprise, en adoptant les concepts de « privacy by design » et de « privacy by default » consistant à penser la protection des données dès  la conception d’un outil ou d’un programme. « Les entreprises devront désormais non seulement se mettre en conformité avec ces exigences mais aussi, se mettre en position de prouver qu’elles l’ont fait », résume Florence Chafiol. Un double impératif qui, pour beaucoup, requerra, outre des frais d’avocat, la nomination de DPO – un data protection officer.

Frein à la rentabilité vs argument concurrentiel

Pour Emmanuel Brunet, P-DG d’Eulerian Technologies, si l’ambition première du RGPD se justifie, la mise en application pourrait déséquilibrer l’ensemble du secteur. « L’idée de renforcer la protection des données des consommateurs est louable, mais le législateur s’est emparé du sujet sous l’impulsion des Allemands qui, sur ce point, ont une position très dogmatique, considérant que la vie privée doit être protégée à tout prix. » Même si ce prix est la rentabilité des éditeurs et de tous ceux qui publient sur un site web. « Si on restreint trop l’utilisation de données personnelles, les éditeurs devront soit limiter leur contenu en multipliant le nombre de publicités par page, soit le rendre payant, poursuit-il. Cela fragilisera la rentabilité de leur business model et entraînera la disparition des plus petits acteurs du secteur, ce qui aboutira à la paupérisation de tout l’écosystème .»

Reste que, si beaucoup y voient un frein à leur activité, d’autres ont d’ores et déjà fait du RGPD un levier de performance doublé d’un argument concurrentiel. « Désormais, pouvoir dire « je suis RGPD compliant » devient un atout », reconnaît Florence Chafiol qui le constate déjà dans les appels d’offres : la mise en conformité est devenue un argument concurrentiel.

Caroline Castets

 

 

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Guide 2024