RGPD : comment ne pas se faire plumer?...
Si vous arrivez sur cet article c'est que vous avez deux préoccupations majeures. La première : vous mettre en conformité avec le RGPD d'ici le mois de mai (ou en tout cas essayer...). La seconde : faire en sorte de ne pas "cramer" toute votre trésorerie pour y parvenir. Les besoins sont tels que la balance de l'offre et de la demande en terme de prestations est clairement en faveur des personnes maîtrisant les axes de mise en conformité. Alors, les tarifs demandés sont-ils scandaleux? Et comment limiter les dégâts en minimisant les coûts? Tentative de réponse.
Je le confesse bien volontiers, je n'ai pas encore proposé d'offres forfaitaires sur Getavocat pour répondre aux besoins des entrepreneurs s'agissant du RGPD. Et pourtant les demandes de prestations se multiplient! Et en toute sincérité, il n'y a pas que les entreprises qui soient prises au dépourvu (même si ça fait quand même plusieurs années qu'on sait que le texte va arriver), il en va de même des avocats.
Une mission sérieuse de mise en conformité d'une entreprise peut représenter une charge de travail très importante si cette dernière n'était pas "au carré" vis à vis de la loi dite "du 6 janvier 1978", mais amendée à plusieurs reprises depuis cette date. Le RGPD reprend pour l'essentiel l'ensemble des principes qui préexistaient dans ce texte. Pas de cours magistral, je vous rassure, je ne rentre pas dans le détail du texte.
Et c'est bien le caractère chronophage de cette mission qui amène les entreprises à recevoir en ce moment des devis énormes de la part, notamment, des cabinets spécialisés. Les confrères susceptibles de mener cette tâche correctement ne sont pas légions, la thématique des données personnelles ne passionnant pas vraiment les avocats.
Le bilan est vraiment simple : beaucoup de demandes + peu d'offres de prestations (même si on les offres se multiplient sur le web en ce moment) = gros tarifs.
Si un phénomène d'opportunité agit bien à la hausse sur les devis présentés, on doit malheureusement reconnaître que le travail à réaliser est souvent en adéquation avec le temps nécessaire à sa réalisation. Oui, de grosses factures peuvent donc être pertinentes sur cette thématique, essentiellement parce que les acteurs appelés à intervenir devront passer énormément de temps sur certaines missions, notamment pour les structures qui ne respectaient pas la règlementation préexistante. Ceux qui me lisent de manière habituelle savent pourtant que je ne suis pas de ceux qui considèrent qu'un bon travail est forcément un travail hors de prix. Attention cependant à ceux, qui flairant le bon coup, s'intéressent subitement à la matière...
Si pour l'heure Getavocat ne s'est pas encore positionné sur le RGPD en terme de prestations de mise en conformité, c'est bien parce qu'il est difficile de proposer des missions tarifées de manière forfaitaire. Ça "brainstorme" un max au cabinet et des propositions de services adaptés seront probablement prochainement formulées, au moins dans le domaine de la formation et de l'adaptation contractuelle dans un premier temps.
Et ma conformité alors?
Bon, d'abord, pas de panique! Le 25 mai à minuit, les agents de la CNIL ne vont pas débarquer dans vos locaux en descendant d'un hélicoptère en rappel et en cassant les vitres de votre immeuble en hurlant "RGPD personne ne bouge!".
Sans se lancer dans des prédictions à la Nostradamus, on peut raisonnablement estimer que les premières à être inquiétées seront les grosses entreprises américaines gourmandes en données personnelles : Facebook, Amazon, Apple, Google...
Au regard des sanctions encourues, on conçoit mal qu'elles n'aient pas pris leurs dispositions. Et si vous êtes en relation commerciale avec ces boîtes, il y a fort à parier que dans les semaines qui viennent, vous recevrez des avenants contractuels à signer en raison de votre statut de "sous-traitant" : le RGPD instaure en effet une coresponsabilité du responsable de traitement et du sous-traitant, ce qui doit mécaniquement amener tout le monde à se préoccuper du respect du texte.
Il faut encore ajouter que la CNIL n'a pas les moyens humains et matériels pour contrôler en masse. Vous allez donc avoir probablement (restons prudent...) le temps de vous mettre en conformité avec la nouvelle législation européenne. Encore une fois, pas de panique.
En réalité, pour les PME, le risque viendra essentiellement des associations, des actions de groupe ou encore des particulier eux-mêmes.
Il est temps de s'assurer!
Si vous n'aviez pas encore souscrit de contrat contre les cyber-risques, il est temps d'y penser.
Et oui, il n'y a pas que les juristes qui se frottent les mains en regardant le "marché" du RGPD prendre vie de manière significative, il y a aussi les assureurs (oui, oui, c'est bien du cynisme, mais du gentil cynisme).
En effet, dans le cadre de la mise en place de ce qu'on appelle des "mesures techniques et organisationnelles" (ça fait un peu penser au "référentiel bondissant" de l'éducation nationale pour définir un ballon...) que vous devrez adopter pour mettre en place et prouver votre mise en conformité en cas de contrôle, il est probable que certains partenaires commerciaux (les gros, bien conseillés) remplacent leur clause d'audit en matière de protection des données visant à s'assurer par exemple de la destruction des données en fin de contrat, à garantir que votre organisation logicielle protège celles-ci etc. par des attestation d'assurance couvrant le risque.
Les assurances délivrant ce type de garanties ont généralement déjà fait le job du contrôle de conformité. Moins compliqué, plus rapide, plus fiable donc.
Il vous faut donc plus que jamais avoir le réflexe "assurance spécifique".
Utilisez les outils disponibles... les bons!
Après avoir écrit ce paragraphe, je devrais normalement pourvoir bénéficier du programme de protection des témoins du FBI pour ne pas être lynché par les confrères.
Mais oui bien sûr il existe des outils vous permettant de démarrer une démarche de mise en conformité. Et il est assez simple de vous conseiller un réflexe de base : le site web de la CNIL qui est une pure merveille informationnelle! Vous y trouverez de nombreux outils pratiques vous permettant concrètement d'avancer dans la démarche de la mise en conformité.
Pas bête non plus d'envisager l'achat d'un bon bouquin en support : l'ouvrage "Protection des données personnelles : se mettre en conformité d'ici le 25 mai 2018" publié aux Editions Législatives remplacera avantageusement le Marc Levy sur votre table de chevet dans les mois qui viennent... ou pas. En tout cas, excellent ouvrage, avec des documents pratiques en fin de livre, je vous le conseille.
L'honnêteté me pousse cependant à dire que tout seul, ce sera sans doute compliqué... Nombreuses sont les notions juridiques qui risquent de vous décourager.
Donc vous reviendrez vers nous et on pourra vous faire d'énormes factures (re-cynisme...).
Plus sérieusement, entamer ce travail seul est effectivement sans doute illusoire tant certains points sont complexes et nécessitent une formation juridique souvent spécialisée.
En résumé, oui, des solutions existent, mais leur mise en oeuvre sera sans doute limitée par le degré de complexité juridique auquel vous serez confronté. Par ailleurs et c'est un point essentiel : le temps que vous passerez à gérer cette question ne sera pas du temps consacré à votre coeur de métier.
Des outils vraiment pratiques?
L'Union Européenne compte sur les progrès techniques pour faciliter les démarches de mise en conformité. Ne vous inquiétez pas sur ce point, ça frétille partout sur le web et on sent bien que les entreprises sont dans les starting block pour proposer leurs solutions. Une mise en garde peut-être : attention aux solutions globales!
Si envisager des solutions par thématiques est parfaitement cohérent, imaginer qu'un logiciel vous mâche totalement le travail est pour le moment illusoire tant la dimension humaine paraît indispensable dans un travail de mise en conformité.
Autre difficulté : l'impérative nécessité d'avoir une double compétence pour être efficace : juridique ET technique. Cela peut se traduire par l'intervention de plusieurs personnes aux compétences plurielles ou celle d'une personne (rare...) disposant de toutes ces compétences à la fois.
Un exemple de logiciel qui va s'intéresser à une partie de la problématique de manière intelligente et pertinente? Facile : AXEPTIO.
J'ai eu le plaisir immense de participer à la conception du logiciel (sur le volet juridique bien sûr) : des heures et des heures de travail réalisées sur le traitement du consentement dans le RGPD. C'est ce qui me pousse, expérience à l'appui donc, à dire que le logiciel qui permettra une mise en conformité globale n'est pas pour demain.
AXEPTIO prend le parti de traiter un point central du RGPD (le consentement) en adoptant une logique "pratico-pratique" : proposer un outil simple, fiable et pertinent aux entreprises du e-commerce, notamment, permettant de répondre à bon nombre des exigences du règlement européen. Ça ne règle pas tous les problèmes, mais ça contribue de manière significative à répondre à pas mal de difficultés et prouve que vous entamez une démarche vertueuse de mise en conformité.
On pourra à juste titre me faire le reproche de ne pas être totalement objectif puisque je suis intéressé dans l'aventure. Exact. Mais je ne demande pas être cru sur parole, voyez par vous même (et comme le disait Pierre Dac, "on dit d'un accusé qu'il est cuit quand son avocat n'est pas cru").
C'est sans doute la multiplication des outils de ce genre qui permettront d'avancer calmement, efficacement et et pour un coût raisonnable sur le chemin de la mise en conformité.
A suivre donc!