Un dernier cocktail RGPD avant la plage

Il y a eu cette modeste PME de traduction, qui s’est pris une « petite » prune de quelques dizaines de milliers d’euros. La somme semble faible, mais le CA de la boîte en question l’était tout autant, et le fait que cette TPE ou PME soit dans le rouge n’a manifestement pas suffi à attendrir la Cnil. Il faut dire que l’on était en plein dans la zone d’humiliation, avec des caméras de vidéosurveillance pointées directement sur les postes de travail des salariés, une première injonction non suivie de mesures correctives et des excuses du dirigeant à classer dans la catégorie « bidon +++ ».

Il y a eu ensuite British Airways, qui s’est pris un petit papillon à plus de 200 millions d’euros, pour avoir traité un peu légèrement les coordonnées bancaires de ses clients. Le plus drôle est l’attitude du PDG, qui semble considérer qu’à partir du moment où aucune activité frauduleuse sur les comptes desdits clients n’a été constatée la sanction est « surprenante et décevante ». Un peu comme si mon plombier avait perdu les clés de ma maison par négligence, mais me rétorquait : « Et alors ? Personne ne vous a cambriolé. »

Il vient d’y avoir, enfin, le record de l’été 2019, à savoir les 5 milliards d’euros infligés par les autorités US à Facebook. OK, ce n’est pas le RGPD, mais le motif est le même, à savoir le défaut de protection des données personnelles de ses usagers. Le petit Marc a dû en avaler de travers sa petite cuillère du breakfast, ce qui fait toujours plaisir, avouons-le.

Bref, dans les trois cas, il semble que le temps des mondanités soit bel et bien révolu des deux côtés de l’Atlantique, et que la façon « par-dessus la jambe » dont certains traitent les données personnelles des quidams que nous sommes en irrite pas mal, de plus en plus et de plus en plus fort. Les amendes susnommées sont d’ailleurs dans les abaques des 2 % ou 4 % du CA pour celles qui relèvent du RGPD. Pour Facebook, le point le plus remarquable tient au fait que le gouvernement US n’a manifestement pas eu besoin du RGPD ou d’un équivalent yankee pour sortir le gros gourdin – à se demander pourquoi il nous aura fallu, à nous, le RGPD comme arme ; ne pouvait-on pas en utiliser une autre ?

Si la Cnil n’hésite pas à filer une amende à une entreprise déficitaire et si le gouvernement britannique n’hésite pas à ponctionner très largement un fleuron de son industrie nationale, penser que les hôpitaux français sont totalement à l’abri de ce genre de prunes me semble un tantinet présomptueux. L’adage selon lequel il faut taper au porte-monnaie se vérifie partout et pour tous. Et si j’ai appris un truc pendant mon service militaire, c’est que quand vous avez en face de vous un troupeau qui se fiche des règles (qu’il s’agisse de cirer ses bottes ou de respecter le règlement intérieur de la cantine), il suffit d’en prendre un (pas forcément le pire, juste le premier que vous attrapez) et de faire un exemple, en général le reste de ses collègues se tient à carreau pendant un bon moment.

On peut classer schématiquement le niveau de conformité RGPD selon six niveaux :

–     Niveau 0 : RGPD ? C’est quoi ?

–     Niveau 1 : Ah oui, c’est vrai, il faudrait que l’on s’en occupe ;

–     Niveau 2 : Bon, on a fait trois PIA, au pire si on a un contrôle, c’est ce qu’on leur donnera et ils n’y verront que du feu ;

–     Niveau 3 : On a un plan d’action, on n’est pas forcément dans les clous, mais on y travaille ;

–     Niveau 4 : On fait des audits réguliers de nos PIA et de nos mesures, le seul risque non couvert est l’aléa technique ;

–     Niveau 5 : On est carré de chez carré, aucun trou dans la raquette, une équipe de dix personnes s’en occupe à plein temps.

Je ne sais pas pour vous, mais le niveau 5 me semble légèrement inaccessible. Le minimum syndical est le niveau 3, mais la cible est très clairement le niveau 4.

Cela fait un an (pour être plus précis, un an et des grandes vacances en intermède) que le RGPD est entré en vigueur, et à la rentrée je m’attaque aux audits de ce qui a déjà été pondu. Avec enregistrement, cosigné par le responsable de traitement et le DPO bien entendu. Et je suis en train de voir pour un journal de bord des actions, histoire de faire plus sérieux.

Je crains – ou je me réjouis, selon que c’est le DPO ou le citoyen qui parle – que la seule situation que la Cnil acceptera dans les prochaines années sera un incident sur la donnée dont la cause est l’aléa technique, rien que l’aléa technique, avec des organisations et des techniques mises en œuvre irréprochables.