The better the question. The better the answer. The better the world works. У вас есть вопрос? У нас есть ответ. Решая сложные задачи бизнеса, мы улучшаем мир. У вас є запитання? У нас є відповідь. Вирішуючи складні завдання бізнесу, ми змінюємо світ на краще. Meilleure la question, meilleure la réponse. Pour un monde meilleur. 問題越好。答案越好。商業世界越美好。 问题越好。答案越好。商业世界越美好。

Impulse: the latest news and inspirational stories from and for entrepreneurs

>> Solutions >> Impulse

Vous êtes en conformité avec le RGPD. Et maintenant ?

Solutions

EY - Vous êtes en conformité avec le RGPD. Et maintenant ?

Six mois après l'introduction du RGPD, la tempête médiatique entourant la nouvelle réglementation européenne sur la protection des données semble enfin s'être apaisée. Mais quel regard rétrospectif les entreprises portent-elles sur cette période agitée, et surtout, quelle est la prochaine étape ? Entretien avec les experts Peter Suykens et Jan Decorte de HVG Avocats.

Contact

EY - Peter Suykens

Peter Suykens
associé HVG Avocats
+32 2 749 1722
LinkedIn logo

EY - Jan Decorte

Jan Decorte
associate partner HVG Avocats
+32 2 774 9678
LinkedIn logo

HVG Avocats est un partenaire stratégique d'EY et a joué à ce titre un rôle majeur dans l'accompagnement d’entreprises vers la conformité intégrale avec le RGPD. Ce qui n'a pas toujours été facile, se souviennent aujourd'hui Peter Suykens, partner chez HVG Avocats, et Jan Decorte, associate partner.

« Le RGPD a suscité chez les chefs d'entreprise les mêmes émotions que le bug de l'an 2000 à l'époque ! », s’exclame Peter Suykens en riant. « Tout le monde avait peur du 25 mai 2018, mais rares sont ceux qui ont commencé à se préparer à temps. Avec pour conséquence un afflux massif vers la fin et, bien sûr, un goulot d'étranglement. »

« Il s'agit souvent de projets intenses et laborieux », reconnaît Jan Decorte. « Un tel projet nécessite un certain budget, et les coûts engendrés doivent d'abord faire l’objet d’un business case. D'un point de vue organisationnel, la mise en conformité revêtait aussi une certaine complexité. Nombreux sont ceux qui s’y sont mal pris. »

Peter Suykens : « Lorsque nous avons dû reporter plusieurs projets après l'été parce que l'afflux était trop important, il nous a fallu rassurer les clients concernés en leur assurant que ce ne serait pas la fin du monde s'ils n'étaient pas complètement en ordre pour le 25 mai. »

« Et bien sûr, la bombe n'a pas explosé le 25 mai », explique Jan Decorte. « Même l'autorité belge de protection des données n'a pas encore achevé sa propre réforme. »

Dans les secteurs de l’énergie et de la mobilité, les processus de production classiques feront irrémédiablement place aux nouvelles technologies. C’est donc le client final qui occupera la position centrale.

Amendes monstres

EY - Jan Decorte

Jan Decorte ne voit donc pas les amendes monstres redoutées arriver tout de suite en Belgique : « Le RGPD avait prévu une période de transition de deux ans jusqu'au 25 mai 2018. En théorie, il fallait être entièrement conforme au RGPD à cette date.

Dans la pratique, cependant, il semble qu'il y ait une certaine élasticité en Belgique. Je pense que ce que vous devez surtout démontrer pour le moment, c'est que vous vous en occupez sérieusement, que vous avez un plan stratégique solide, dont la mise en œuvre est déjà relativement avancée, mais que le rythme ne sera pas aussi rapide. »

« Bien sûr, il ne faut plus traîner. Le 25 mai est déjà loin derrière nous et les autorités de protection des données seront de moins en moins flexibles. Je m'attends donc à un resserrement constant à partir de 2019. »

Atteinte à la réputation et à l'image

Selon Jan Decorte, le grand danger ne réside pas actuellement dans des amendes monstres, mais dans de possibles atteintes à la réputation et à l'image : « L'attention des médias pour le RGPD a rendu les citoyens plus conscients de l'importance de leur vie privée. Par conséquent, ils jugent plus souvent une organisation en fonction du degré de protection de la vie privée qu'elle offre. »

« Une politique de protection de la vie privée solide et transparente est devenue un atout qui attire les clients, et une politique de protection de la vie privée laxiste est un risque commercial puni publiquement. La perte de réputation et d'image peut entraîner des dommages économiques souvent incalculables, incontrôlables et finalement totalement ou partiellement irréparables. Je pense que c'est ce qui est en jeu aujourd'hui. »

L'effet RGPD

Les citoyens ordinaires se souviennent de la période du 25 mai avant tout comme du moment où leur boîte de réception débordait constamment de mails RGPD leur demandant l'autorisation explicite de continuer à leur envoyer des e-mails promotionnels.

Peter Suykens en a également été incommodé : « Chaque matin, j'avais au moins sept e-mails de ce type dans ma boîte de réception. Je pense que la plupart des gens ont tout simplement supprimé massivement ces e-mails, sans donner leur autorisation pour un traitement ultérieur de leurs données. »

« Avec un certain nombre de clients, j'ai délibérément décidé de ne pas envoyer cet e-mail vers le 25 mai, mais d'attendre quelques semaines », ajoute Jan Decorte. « En effet, cela augmentait les chances que les prospects lisent le mail et donnent leur consentement. »

« Cependant, du fait que les clients potentiels doivent maintenant donner activement cette autorisation, de nombreuses entreprises ont vu leurs bases de données de prospects se réduire comme peau de chagrin. Il est difficile d’estimer le pourcentage global, mais certains de mes clients ont perdu jusqu'à 80 % de leurs prospects. Est-ce grave ? »

« Selon quelques clients, pas nécessairement. Ils ont vu dans le RGPD une occasion de faire le grand nettoyage dans leurs données personnelles et de ne plus perdre de temps pour des prospects dont ils savaient qu'ils ne répondraient plus, ce qui leur permet de mieux se concentrer sur ceux qui avaient répondu et donné leur autorisation pour rester informés des produits ou services de l'entreprise, et de communiquer de manière plus ciblée avec eux. »

Au début, on craignait vraiment que les entreprises européennes n’en ressortent plus affaiblies par rapport aux entreprises d’autres continents, mais cette crainte s'avère aujourd'hui bien souvent infondée.

Désavantage concurrentiel

EY - Peter Suykens

Pourtant, de nombreuses entreprises craignaient que le RGPD ne leur porte préjudice sur le plan économique, explique Peter Suykens : « Au début, on craignait vraiment que les entreprises européennes n’en ressortent plus affaiblies par rapport aux entreprises d’autres continents qui n'étaient pas soumises à une réglementation stricte. Mais cette crainte s'avère aujourd'hui bien souvent infondée. »

« En effet, on peut aussi renverser la situation : nous apprenons déjà à travailler avec cette réglementation plus stricte et sommes donc des précurseurs dans le domaine d'une législation plus précise en matière de protection des données, qui sera très probablement introduite tôt ou tard sur d'autres continents également. »

Jan Decorte acquiesce : « Nous constatons déjà que l'exemple européen du RGPD commence à être plus ou moins suivi dans d'autres régions et pays en dehors de l’UE, comme la Chine, le Brésil et l'Inde, où de plus en plus de réglementations s'inspirent du RGPD. Il y a cependant un autre aspect qui, selon moi, pourrait se révéler plus dommageable d'un point de vue purement économique. »

« Par le passé, l'Union européenne disposait d'une directive sur la protection de la vie privée que chaque État membre pouvait dans une certaine mesure interpréter lui-même, de sorte que vous pouviez avoir jusqu'à 28 réglementations similaires légèrement différentes. Cela signifiait, par exemple, qu'une entreprise américaine qui souhaitait lancer une boutique en ligne dans l'UE devait vérifier pour chaque État membre si elle était bien conforme à la législation locale. »

« Dans ce cas, la boutique en ligne devait être adaptée localement, ce qui coûtait bien sûr énormément de temps et d'argent. J'avais espéré que le RGPD éliminerait ce handicap européen. En effet, le RGPD n'est pas une directive, mais un règlement : contrairement à une directive, un règlement est en principe directement applicable dans chaque État membre, et de la même manière. Cela conduit à l'unité et la simplification, ce qui signifie donc que notre société américaine pourrait directement commencer à travailler de la même manière dans toute l'Union européenne. »

« Malheureusement, toutes sortes d'exceptions se sont à nouveau glissées dans le RGPD : les États membres peuvent eux-mêmes donner une interprétation qui peut différer de celle d'un pays voisin. Par exemple, le RGPD fixe l'âge minimum pour un consentement valide entre 13 et 16 ans. Dans cette fourchette, chaque État membre peut déterminer lui-même quel âge minimum effectif il va appliquer. Il subsiste donc bien un certain enchevêtrement dans différents domaines. »

What is next?

Une organisation qui a veillé à être entièrement conforme au RGPD n’a-t-elle donc plus rien à faire aujourd'hui ? « Bien au contraire », répond Peter Suykens, « il ne s'agit pas seulement d’être conforme aujourd'hui, mais aussi de le rester demain. Le RGPD est dynamique et continuera d'influencer la politique de confidentialité d'une organisation de différentes façons. »

« Tout d'abord, la manière dont nous devons comprendre le RGPD va maintenant être explorée plus avant par la jurisprudence ou les positions des autorités au niveau européen et belge. À l'avenir, nous pourrons peut-être légèrement assouplir des principes que nous avons sans doute appliqués un peu trop strictement dans le passé, ou vice versa. »

D'autre part, le RGPD prescrit que les entreprises doivent veiller elles-mêmes à rester en conformité : le ‘privacy by design’ signifie que chaque fois qu'une entreprise lance un nouveau service ou produit, modifie sa stratégie marketing, etc., elle tient compte de l'impact sur la protection existante des données à caractère personnel. L’entreprise devra alors procéder à un Privacy Impact Assessment et prendre les mesures techniques, organisationnelles et juridiques nécessaires pour garantir la protection dans le nouvel environnement également. »

« Cela signifie donc aussi que la protection de la vie privée jouera un rôle de plus en plus important dans le cadre des fusions et acquisitions d'entreprises, par exemple. Mais surtout, il faudra veiller à ce que le personnel en reste bien conscient. En effet, il ne suffit pas de rédiger une politique et de la publier quelque part sur l’intranet. Nous pouvons concrétiser cette prise de conscience par le biais de formations. »

e-privacy

Outre un RGPD en évolution, une nouvelle législation sur la vie privée dans le secteur des communications électroniques est également en cours d'introduction. « Ici également, l'intention est de remplacer la directive ‘vie privée et communications électroniques’ existante par un règlement ‘vie privée et communications électroniques’ », explique Jan Decorte.

« Le règlement ‘vie privée et communications électroniques’ concerne essentiellement la protection des données à caractère personnel par des moyens de communication électroniques et comprend, notamment, des règles spécifiques concernant le marketing direct par voie électronique. Alors que les opérateurs de télécommunications étaient initialement ciblés, le règlement sur la protection de la vie privée dans le secteur des communications électroniques s'adresse désormais également à toutes les entreprises qui offrent une certaine forme de services de communication électronique ou développent des outils tels que des technologies de tracking dans le cadre du marketing direct, etc. »

« Le règlement sur la protection de la vie privée dans le secteur des communications électroniques vise une plus grande clarté et une simplification dans l'intérêt des consommateurs, souvent avec des règles plus strictes pour les entreprises concernées. Il est même question de donner encore plus de pouvoir au consommateur dans l’acceptation ou non des cookies, ce qui aurait un impact énorme sur le secteur commercial si cela était effectivement appliqué. »

Le petit frère du RGPD aurait en fait dû être lancé en même temps que le RGPD, le 25 mai 2018. Mais cela n'a pas réussi, explique Jan Decorte : « Actuellement, personne ne sait quand la réglementation sur la protection de la vie privée dans le secteur des communications électroniques sera effectivement mise en œuvre, mais ce moment viendra. Les entreprises doivent donc s'y préparer. »

Cybersécurité

Dans l’intervalle, selon Jan Decorte, l'UE travaille également avec diligence à l'élaboration d'un nouveau cadre réglementaire pour la cybersécurité, et le commerce électronique exigera encore beaucoup d'attention : « Le commerce électronique continuera de croître régulièrement, mais son évolution constante sera soumise aux développements technologiques ultra rapides (il suffit de penser à toutes les formes d'intelligence artificielle) et à la protection de la vie privée, avec toutes les questions et tous les défis juridiques que cela implique. Comme vous pouvez le constater, nous n'aurons pas le temps de prendre des vacances dans les années à venir ! »