«RGPD: 5 ans, ça se fête?»

La villa numeris

Écrit par
juillet 12, 2023

«RGPD: 5 ans, ça se fête?»

#DigitalTrends | 05/07/23 | Compte-rendu

Pour une approche plus constructive de la régulation

Présentation de nos propositions pour une évolution de la régulation à laquelle réagissent deux avocats spécialisés tout en proposant des évolutions concrètes

«Le mot “innovation” n’est pas présent dans le Règlement général de protection des données (RGPD), relève Yann Padova, avocat associé du Cabinet Wilson Sonsini Goodrich & Rosati et ancien secrétaire général de la CNIL alors que les grands modèles de langage ne cessent de faire couler de l’encre».

Avec France Charruyer, avocate, présidente de Data Ring, ils brossent le bilan contrasté du RGPD à l’occasion de la présentation du rapport publié par notre think tank, «RGPD : 5 ans, ça se fête ?». Après cinq ans d’application, ils proposent de faire évoluer la régulation afin qu’elle accompagne davantage les entreprises.

Une contrainte règlementaire systématique

«La communication de la CNIL est axée sur la répression avec des amendes qui marquent les esprits», note David Lacombled, président de La villa numeris, dans son introduction, précisant que celle-ci est sur le podium des autorités de contrôle européennes pour le nombre d’amendes données après l’Irlande et la Grèce. En effet, pour France Charruyer, «il faut remettre la règlementation à l’endroit et ne pas sombrer dans le marketing de la peur, la CNIL est une petite équipe mobilisée mais isolée qui devrait davantage s’inscrire dans son rôle d’accompagnement au vu de la guerre économique actuelle». Yann Padova tient toutefois «à [défendre] la CNIL, régulateur référent. Les recommandations sur les cookies et certains positionnements ont eu des effets majeurs sur toute la chaîne. Cela manque dans le droit souple», relève-t-il.

France Charruyer fait «un constat d’échec» pour les PME et les collectivités au-delà des indéniables avancées en termes de prise de conscience. Il est devenu indispensable de transformer la contrainte en élément de valeur or les organisations étouffent sous un millefeuille de normes complexes et peu lisibles. «80% d’entre elles ne sont pas en conformité et n’auront pas les moyens de l’être». D’ailleurs, elle indique que malheureusement les valorisations d’entreprises n’intègrent pas les critères de conformité dans les critères financiers de type EBITDA. On a pourtant besoin de mener des tech et des Data due-diligences dans les fusions acquisitions et levées de fonds pour s’assurer de la robustesse de l’actif. Il serait intéressant d'intégrer la conformité dans la valorisation des titres de l’entreprise et de travailler avec la CNIL sur ce type de sujet afin d’accompagner les entreprises sur la valeur de leur patrimoine informationnel.»

«En France, on fait de la surtransposition, on se met toujours dans la contrainte règlementaire, avant l’innovation» déplore France Charruyer. David Lacombled explique ainsi que «dans la tradition française, les transpositions sont plus longues à mettre en œuvre que dans d’autres pays, mais une fois mises en œuvre, elles le sont plus fortement.» Pour Yann Padova, «le RGPD a été un choc pour les entreprises qui n’a toujours pas été absorbé. Au niveau européen, on a récupéré le virus français du culte de la norme. L’administration est faite pour produire de la norme : le Data Act, le DGA, le DSA, la réforme du RGPD, un tsunami règlementaire arrive.» Il s’agit là de «tout régler par la norme qui est, de plus en plus, précise et restrictive.»

«Nous avons l’innovation en dehors de l’Europe et la sur-règlementation en Europe» regrette Yann Padova. Effectivement, pour David Lacombled, «la régulation devient la réponse par défaut en matière d’innovation technologique.» France Charruyer évoque la gestion des risques cyber qui n’est plus un sujet technique mais névralgique pour la pérennité de l’organisation. En outre «Les entreprises priorisent souvent l’externalisation du risque cyber, transformant au passage leurs DSI davantage en acheteurs qu’en maîtres de leur SI au risque d’avoir une version dévoyée de la réalité, alors que la cybersécurité est un vrai investissement , un enjeu de responsabilité de gouvernance et de valeur au sein des directions.»

Pour des professionnels à l’intérieur de la CNIL

«Il faut des opérateurs économiques autour de la table qui partagent leurs expériences, analyses de la réalité terrain», affirme France Charruyer relevant «le particularisme du droit numérique. Le numérique, c’est le droit d’après. Il nous faut anticiper. Les représentants des organisations doivent avoir une voix». C’est d’ailleurs l’une des propositions de La villa numeris présentées dans son rapport : «RGPD : 5 ans, ça se fête ?». Yann Padova présente ainsi la gouvernance de l’autorité composée de 17 commissaires à temps plein. Cela changerait tout d’avoir 5 ou 6 permanents avec des profils plus technologiques. Les jeunes, eux, viennent du privé et repartent. La connaissance du privé est là mais ne l’est pas au sommet.»

France Charruyer considère que la vassalisation actuelle de l’Europe n’est pourtant pas une fatalité. Dans la guerre de la donnée, des modèles d’affaires partent d’ailleurs, il va falloir reprendre le contrôle de notre patrimoine informationnel et conserver nos talents. Elle propose de s’attacher à renforcer nos acteurs locaux, notamment sur l’open source , de rendre opérationnelle «une clause de souveraineté dans les marchés publics». Elle rappelle la contraction financière : «trop d’entreprises ne parviendront pas à rembourser les prêts garantis par l’Etat. Quand on est dans une organisation, on se pose ces questions : ai-je le budget de la conformité ? Les moyens humains et opérationnels ? On parle d’outils et de textes. Il faut être plus modeste, revenir au réel, retrouver les fondamentaux et aborder véritablement les enjeux de valeur, de productivité et d’attractivité de nos territoires.» Qui va financer le risque règlementaire ?

«Qui contrôle le contrôleur ? C’est une vraie question pour la CNIL. Depuis 2006, il n’y a pas eu une seule décision d’invalidation de décision de la CNIL, depuis 2006» rappelle Yann Padova en notant que celle-ci a été effectuée pour des raisons de procédure. Il explique que «celui qui rapporte un dossier est le même qui juge. Il faut passer à la séparation organique. Le collège de sanctions doit être distinct» prenant ainsi l’exemple de l’Association des marchés financiers (AMF) avec d’une part un collège plénier et d’autre part un collège répressif. Pour changer de cap, il faut changer la gouvernance.»

Le regard tourné vers le Royaume-Uni

«Outre-Manche, on a un choc de simplification. La France devrait retrouver l’esprit de cette règlementation unique et riche de sens et le remettre à l’endroit avec une vraie logique d’accountability, celle de l’autonomie décisionnelle des organisations dans la gestion de leurs risques et niveaux de conformité», propose France Charruyer pour qui «La taille importe pour absorber les chocs et transitions numériques et écologiques.» L’Information Commissioner’s Office (ICO) est mis en exergue. L’autorité britannique a ainsi instauré une sandbox règlementaire sur l’innovation dans la règlementation de l’IA». Yann Padova leur a ainsi proposé l’idée en faisant référence «au monde financier britannique où un cadre permet aux services financiers d’avoir une ligne directe avec les régulateurs. Ces derniers ont alors une connaissance extrêmement fine de ce qui arrive et les entreprises ont une sécurité juridique. Face au problème d’égalité devant la loi, il y a une potentialité juridique qui permet une dérogation temporaire. On pourrait créer un régime d’expérimentation. Il faut que les entreprises soient volontaires pour ouvrir le capot.» Il prône «un espace de dialogue où les entreprises viennent avec des projets.» Pour France Charruyer, en effet, «le Royaume-Uni veut remplacer la City par celle de la donnée.»

Outre-Manche, par exemple, la notion d’intérêt légitime est élargie, les formalités sur les registres allégées, l’innovation facilitée dans les sandbox alors que la CNIL bascule sur le droit souple. Au Royaume-Uni, on allège et on cherche des leviers de performance, le responsable de traitement est renvoyé à sa responsabilité face à ses choix. Les anglo-saxons ont une culture de la compliance et du pragmatisme . En France, alors que nous avons des champions en innovation, on fait le choix d’en stigmatiser certains avec des sanctions médiatisées, on fait semblant avec de la régulation épouvantail. La Norme c’est donner un sens et une direction : nos entreprises et organisations qui affrontent la guerre économique ont besoin d’une grille de lecture plus lisible de la norme pour pouvoir en faire un levier de performance et en faire bénéficier l’accompagnement de nos institutions. Pour Yann Padova : «on ne rattrapera pas un retard sur des décennies. Il faut se positionner différemment et voir où on peut se décaler dans la création et dans l’innovation plutôt que dans le suivisme».

:: Nos grand témoins

France Charruyer

Avocate

Présidente de Data Ring

Yann Padova

Avocat, associé du Cabinet Wilson Sonsini Goodrich & Rosati

Ancien secrétaire général de la CNIL

 

:: Pour aller plus loin

  • Notre rapport «RGPD: 5 ans, ça se fête ?» >> Consulter
  • «Protection des données: Shérif, fais-moi peur», la chronique de David Lacombled ans L’Opinion >> Lire

Connectez-vous pour commenter

Mot de passe oublié ?
Vous n'avez pas de compte ? Cliquez ici pour en créer un.