En quoi le RGPD aura-t-il un effet positif sur la confiance des consommateurs ?
 

Alexander De Croo : « Si on souhaite vraiment retirer un avantage de cette nouvelle économie digitale où les données jouent un rôle très important, la confiance est l'élément clé. L'Europe est de loin le bloc économique le plus important au monde, nous pouvons donc créer un environnement favorable à ce genre d'évolution. Beaucoup de PME ressentent actuellement ce RGPD comme une contrainte, mais je suis persuadé qu'elles percevront à moyen et à long terme l'opportunité que cela représente. »

Bruno Schroder : « En matière de propriété, l'opportunité est phénoménale. Comment imaginer survivre dans un marché avec 28 législations différentes en matière de protection de données ? Dans cette optique, au lieu de parler en anglais de “General Data Protection”, j'aurais plutôt envie de parler de “Good Data Protection” ! »

 

Il semble néanmoins que le RGPD suscite encore de nombreuses interrogations ?
 

Nicolas D'Hondt : « À environ 6 mois de l'entrée en vigueur du règlement, je constate que la grande majorité de mes clients ne savent toujours pas ce qu'est le RGPD. On entend encore un peu tout et son contraire à ce sujet. Il y a donc encore clairement un manque d'information au niveau des PME qui n'ont pas forcément un collaborateur en interne pour s'occuper spécifiquement de ce domaine. »

Dominique Pissoort : « Le fait est que ce texte est aussi extrêmement complexe, il contient un grand nombre d'incertitudes quant à la manière dont il faut l'appliquer. Une grande entreprise peut faire appel à son propre service juridique ou à un bureau d'avocats externe pour décortiquer le règlement, mais je comprends la préoccupation des petites sociétés. Cela fait penser à un iceberg dont la partie visible serait l'aspect juridique et la partie cachée serait l'aspect opérationnel. »

Thibaut D'Hulst : « C'est vrai que cette complexité est un vrai défi, mais je pense que c'est aussi une force. Il faut d'abord commencer par la compréhension du phénomène : pourquoi a-t-on besoin de ce règlement ? Chacun, dans son propre département, rencontre des situations différentes, mais travaille quotidiennement avec des données à caractère personnel. Prendre conscience de cet aspect fondamental mène déjà à un début de conformité. »

Gert Beeckmans : « On se focalise peut-être un peu trop sur la complexité de la loi. De manière basique, il s'agit de la protection des données et des droits des gens par rapport à ces données. Quand on explique la loi, il est important de partir de la base et de développer des compétences pour protéger les données concernées. »

Koen Claessens : « Beaucoup de ces interrogations deviendront plus claires en appliquant les règles RGPD sur des situations concrètes. L'aspect sectoriel est très important dans ceci, car il y a une grosse différence entre le secteur hospitalier, qui traite des données médicales confidentielles, et une société qui ne gère que les données de ses employés et quelques données de contact de ses fournisseurs et clients. Ce n'est donc pas forcément la taille de l'entreprise mais plutôt le type d'activité qui est important. D'où la nécessité pour les comités sectoriels de traduire le RGPD pour leur propre secteur. »

 

Que conseillez-vous comme principes de base ?
 

Koen Claessens : « Pour beaucoup d’organisations, il sera très difficile d’encore implémenter toutes les mesures RGPD et d’être prêts en mai 2018, étant donné le nombre et la complexité de ces mesures. Il sera donc très important de déterminer des priorités, parce qu'on ne peut pas tout faire à la fois, tant au niveau légal qu'informatique. Progresser pas à pas est indispensable. Un modèle de maturité RGPD pourra avoir une grande valeur ajoutée dans ce contexte. »

Bruno Schroder : « Le premier principe à utiliser, c'est le principe du “need to know” : tout le monde doit-il avoir accès aux informations ? Qui a besoin d'avoir accès à telle ou telle information ? En les rendant accessibles uniquement aux personnes qui en ont besoin, une grosse partie du travail est déjà effectuée. »

 

Cette nouvelle règlementation va demander également à l'entreprise de s'adapter dans son rapport avec ses employés, notamment en matière de RH.
 

Gert Beeckmans : « Effectivement, l'impact sera important. Beaucoup de départements RH ont encore du mal à percevoir de quelle manière ils pourront appliquer ces nouveaux principes. Il faut être capable d'être transparent et ouvert aux employés et être en mesure de communiquer clairement avec eux. »

Dominique Pissoort : « Cette transparence peut justement sembler quelque peu contraire à la philosophie RH traditionnelle. Le RGPD révolutionne un peu cet aspect en demandant à l'employeur d'être plus transparent, car le travailleur n'a pas forcément conscience de tout ce qui est collecté à son sujet. »

Nicolas D'Hondt : « Il existe par exemple un logiciel permettant d'interpréter des manipulations jugées dangereuses. Ainsi, un employé qui essaie d'envoyer un document via WeTransfer ou Dropbox voit un pop-up s'afficher, l'informant qu'il gère des données à caractère confidentiel et que la manipulation effectuée est considérée comme dangereuse. Si l'employé décide de poursuivre son envoi, un log de ce qui a été fait est créé automatiquement, ce qui permet, le cas échéant, de conscientiser l'utilisateur sur son action. »

 

Par ailleurs, le nouveau règlement impose de notifier certains types de violations de données.
 

Thibaut D'Hulst : « Il y a une obligation de notifier une fuite éventuelle dans les 72 heures auprès de l'Autorité de Protection des Données (qui remplace la Commission belge pour la vie privée). En cas de risque pour les personnes concernées, celles-ci doivent être prévenues également. Le but de la règlementation, c'est d'analyser les risques et de prendre les mesures nécessaires, grâce à des procédures internes et des lignes directrices. »

Gert Beeckmans : « Les États-Unis connaissent déjà cette obligation de notifier aux autorités ce genre de violations. C'est un changement de mentalité mais qui, au final, est perçu positivement par les personnes informées. »

Alexander De Croo : « Jusqu'à présent, il n'y avait pas forcément chez nous d'obligation de notifier aux autorités ou aux personnes concernées une brèche au niveau de la sécurité. D'où l'importance d'une meilleure règlementation, car sinon, comment les pouvoirs publics pourraient-ils s'investir davantage dans cet aspect s'ils ne sont même pas au courant du problème ? »

Koen Claessens : « Il n’y a pas que les brèches de sécurité des données personnelles qui sont importantes : pour beaucoup de sociétés d’autres données possèdent beaucoup plus de valeur, par exemple la Propriété Intellectuelle. Il faut donc préciser que lorsqu'on parle de sécurité des données, il ne s'agit pas uniquement des données personnelles, mais des données en général. Bien percevoir cette nuance est particulièrement important. »

Bruno Schroder : « , Il existe des processus pour gérer chaque chose ayant de la valeur dans une entreprise, telle que la gestion de stocks par exemple, pour tous les biens physiques. Les données sont aussi un bien que l'entreprise doit gérer. Une fois que cette culture de gestion des données est installée, elle est valable pour tout. »

 

Ces nouvelles dispositions ne sont-elles pas trop strictes, entre autres pour les marchés de services innovants ?
 

Dominique Pissoort : « Quand j'observe, en marketing, toutes les discussions autour du consentement - est-il obligatoire ou pas dans tous les cas ? -, l'impact économique pourrait être majeur, selon la réponse donnée à cette question. En effet, le risque est que la majorité des annonceurs se dirigent vers des grands acteurs tels que Google ou Facebook, qui obtiennent de facto ce consentement parce qu'ils occupent une position quasi monopolistique sur le marché. D'où la crainte de voir une partie du marché publicitaire belge s'effondrer s'il est obligé de travailler avec un consentement. »

Alexander De Croo : « En règle générale, le fait d'avoir un cadre par rapport à l'utilisation des données va créer de l'innovation. Dans beaucoup de cas actuellement, l'innovation n'a pas lieu parce qu'il n'y a pas de certitude sur la manière de traiter les données. Imposer certaines règles peut avoir au final un effet positif. Pour ce qui est de savoir où placer le curseur, c'est surtout dans la pratique que cela pourra être défini. Montrer qu'il y a des règles au public, c'est aussi accroître sa confiance. »

Gert Beeckmans : « Et ce cadre permettra de développer les compétences dans le secteur numérique et la protection des données en général. D'où l'importance pour les entreprises et organisations d'éduquer leurs employés qui traitent les données afin de pouvoir réagir de manière efficace selon les circonstances. »

 

Néanmoins, il semble que de très nombreuses entreprises ne soient pas encore prêtes pour aborder ce deadline du 25 mai 2018 ? Et comment mesurer la conformité ?
 

Koen Claessens : « Il faut clairement oublier la conformité totale pour cette date-là. Mais qu'attend-on vraiment en termes de conformité ? Un modèle de maturité pourra aider à mesurer la conformité RGPD et définir des cibles. On observe surtout actuellement un sentiment de crainte : des consultants mettent en garde contre les amendes prévues, d'autres prévoient même déjà des provisions dans leur comptabilité en prévision des amendes à venir ! Il faut donc absolument prendre garde à de telles craintes qui pourraient entraîner un effet négatif non désiré. »

Dominique Pissoort : « Outre les sanctions et les risques, l'entreprise qui se positionne avec une gestion éthique des données va créer automatiquement plus de confiance auprès de ses clients. Mais, au stade actuel, il est très difficile de mesurer la conformité, justement parce qu'il y a beaucoup de principes extrêmement subjectifs. Quand le risque est-il élevé ou pas ? C'est surtout une question de bon sens et de se mettre à la place du consommateur raisonnablement informé : que s'attend-il que nous fassions avec ses données ? »

Thibaut D'Hulst : « En termes de conformité, je pense qu'il faut avoir un inventaire des données qu'on possède ainsi qu'un plan global pour la mise en conformité, qui détermine les priorités, car il y a tellement de mesures qu'un tel plan est nécessaire pour agir de manière responsable et éviter des sanctions facilement évitables. »

Alexander De Croo : « Dans beaucoup de secteurs, les fédérations sont occupées à préparer activement l'entrée en vigueur du règlement. Beaucoup de PME sont à la traîne actuellement, mais je pense qu'il faut rester optimiste en la matière. »

Bruno Schroder : « Un élément important dans la confiance, c'est la notion d'exercice des droits du sujet : droit à la correction, à la conservation, à l'effacement des données... ; ce qui va permettre de savoir au fil du temps si une entreprise est suffisamment prête pour répondre à ces demandes. »

Nicolas D'Hondt : « Encore faut-il savoir jusqu'où va l'effacement des données, à quels cycles les backups des clients sont-ils effectués, jusqu'à quelle date remontent-ils, etc. Des solutions existent, qui permettent au client de faire une recherche globale à ce sujet et de décider ce qu'il souhaite faire, ce qui peut ainsi lui garantir une gestion efficace. »

 

Le règlement prévoit le droit à la portabilité des données. Cela aura-t-il une influence sur la concurrence et l'innovation ?
 

Thibaut D'Hulst : « Son effet pratique reste à vérifier. Le champ d'application peut être très large, et, par conséquent, cela pourrait entraîner un effet très important, surtout au niveau des services en ligne. Le droit à la portabilité pourra faciliter la concurrence entre services en ligne, mais ce droit peut également créer des opportunités pour des services intermédiaires : on pourrait imaginer qu'une personne ayant plusieurs comptes bancaires dans des banques différentes puisse importer les extraits de comptes relatifs à ceux-ci sur une nouvelle application lui permettant d'avoir un aperçu général de ses finances. »

Dominique Pissoort : « Cela pose tout de même certaines questions quant aux risques de dérives, compte tenu de toutes les données provenant de la personne elle-même (l'historique d'achats par exemple) et qui constituent une mine d'information susceptibles de partir à la concurrence. »

Bruno Schroder : « D'où l'intérêt d'avoir un indicateur de confiance RGPD au niveau de la collecte des données et de mettre en place un cadre légal qui autorise le traitement de ces données personnelles dans tel secteur, mais pas dans tel autre. Par ailleurs, il faut noter que le législateur national peut définir des exemptions pour qu'elles puissent être utilisées dans le secteur de la recherche. Ce qui peut donner à certains pays un réel avantage concurrentiel et justement, la Belgique est actuellement un des seuls pays européens à avoir un projet de loi en la matière, ce qui laisse entrevoir des opportunités considérables. »