Réunion RGPD 29 octobre 2018, une remontée concrète des préoccupations des entreprises

507

Le 29 octobre dernier à la médiation des entreprises s’est tenue la troisième réunion du groupe de travail RGPD coordonné par Philippe Berna, Délégué innovation auprès du médiateur des entreprises.

Un constat sans concession sur les difficultés des TPE/PME face au RGPD

Les participants représentaient un scope large de compétences et de professions1. Cette troisième réunion avait l’objectif de recueillir des cas pratiques autour des enjeux des travaux du groupe.

Les échanges débutèrent par l’exposé des difficultés rencontrées par de nombreuses TPE/PME avec le RGPD. Leurs clients leur imposent notamment :

  • De remplir des questionnaires souvent très différents, nécessitant des compétences juridiques et techniques qu’ils ne maitrisent pas la plupart du temps,
  • Des contrats aux clauses parfois abusives et qui nécessiteraient fréquemment tant la présence d’un avocat que celle d’un responsable de la sécurité des systèmes d’information à leur côté. Condition difficile à satisfaire tant en termes de budget que d’organisation,
  • Un niveau de sécurité, de conformité et d’organisation qui peut être disproportionné par rapport aux traitements des données personnelles qu’elles doivent réaliser.

La multiplication des questionnaires à renseigner, des contrats à analyser prend de plus en plus de temps c’est pourquoi il apparait nécessaire de rédiger un document maître en la matière.

Un déséquilibre entre donneurs d’ordres (responsables de traitement) et prestataires (sous-traitants)

Plusieurs exemples concrets de ces déséquilibres et incongruités ont été évoqués.

Eric Huignard a partagé des questionnaires issus de plusieurs sources tandis que les participants échangeaient leurs expériences opérationnelles. De nombreux questionnaires semblaient excessifs au regard de l’obligation des responsables de traitement de s’assurer que leurs sous-traitants présentent des garanties suffisantes et appropriées.

Plusieurs des participants donnaient pour exemple des contrats contenant des demandes inquisitrices notamment en matière d’audits, de clauses et conditions trop complexes à satisfaire ou inappropriées. Celles-ci sont parfois rédigées par des responsables juridiques ne connaissant ou ne comprenant pas précisément ce qui va précisément être demandé à leurs sous-traitants et n’en identifiant pas les impacts. Pire, certains responsables de traitement demandent à leurs sous-traitants qu’ils apportent des précisions sur les traitements qu’ils allaient réaliser alors que c’est à eux, responsables de traitement, de préciser leur objet, leur durée, leur nature et finalité… Il est difficile dans ces conditions de tracer des limites claires entre responsables de traitement et sous-traitants. Il en est de même pour ce qui concerne les responsabilités du sous-traitant en particulier les contours et les limites de leur rôle de conseiller. Le manque de jurisprudence ne facilite pas non plus d’ailleurs la prise de positions.

Un autre exemple des incongruités rencontrées était apporté par Antoine Vitela, représentant la Fédération Française du Bâtiment, qui précisait que nombre de ses 50 000 adhérents avaient constaté que des grands groupes envoyaient souvent des mails groupés à tous leurs sous-traitants avec le même contrat RGPD sans faire le distinguo entre les types de prestations réalisées.

Il est rapidement apparu nécessaire aux participants de mettre rapidement en place les conditions d’un cadre équilibré et respectueux des positions de toutes les parties.

Philippe Berna a alors précisé qu’un rééquilibrage lui semble nécessaire entre client et prestataire, que des règles doivent être instaurées au niveau des filières, que tous les organismes concernés (institutionnels, fédérations et syndicats) doivent s’en saisir. Cela passe par trois grands sujets :

  • acculturer l’ensemble des acteurs à la notion de proportionnalité liée au traitement des données
  • préciser contextuellement quels sont les droits et devoirs des responsables de traitement et des sous-traitants,
  • faciliter la vie de tous en développant des matrices les plus standardisées possible en fonction des métiers avec un langage et des références compréhensibles par tous.

Conformité RGPD : l’audit, l’épée de Damoclès qui menace les prestataires

Un autre sujet d’interrogation abordé durant cette réunion concernait l’audit. Ainsi, des grands comptes cherchent à imposer dans leurs contrats un droit à l’audit qui ne soit plus limité.  Au moindre doute, ils se retrouvent seuls juges pour déterminer la pertinence d’un audit.  Il est impossible pour une TPE/PME d’aménager leur organisation pour des audits à répétition avec le risque qu’un d’entre-deux soit à ses frais au cas où une anomalie – même mineure – serait découverte. Pour éviter qu’un audit ne soit perçu comme une punition, il est nécessaire que client et le prestataire puissent faire preuve de pédagogie et l’aborder de manière positive comme une démarche visant à l’amélioration des règles d’utilisation de la data.

S’il est nécessaire de remonter aux organisations concernés par le RGPD (institutions, fédérations et syndicats) les problématiques liées aux questionnaires, les filières doivent de leur côté monter un tronc commun de propositions et de règles. Enfin, le sujet des audits doit être abordé et donner lieu à une charte des bonnes pratiques en la matière. Afin d’apporter toutes les précisions nécessaires à leurs prestataires, les grands groupes doivent se donner les moyens de cartographier leurs risques et procéder à leur résolution méthodiquement.

Dominique Scalia rappelait que 92% des 41 000 entreprises de la filière de la communication étaient des TPE toutes concernées par le RGPD et incapables de faire face aux coûts d’une mise en conformité au RGPD. Cette absence de visibilité entraîne une peur nuisible à l’économie. Il pointait du doigt la situation de beaucoup de TPE et PME qui déclarent signer les contrats des grands groupes le couteau sur la gorge sous peine de mettre la clé sous la porte mais aussi de ne pas pouvoir faire face aux investissements élevés qu’imposent la mise en conformité avec le RGPD.

L’approche du RGPD de la CNIL, réglementaire, ne doit pas pour commencer être confondue avec celle des grands groupes qui est d’ordre contractuel.

Chaque association doit remonter les interrogations des acteurs de la filière qu’elle représente.  C’est aussi par l’éducation des équipes des donneurs d’ordres qu’il sera possible d’entamer un travail

Le RGPD renforce la nécessité d’un achat responsable

L’achat responsable des donneurs d’ordres est un atout pour leurs propres activités. En effet, qu’adviendrait-il d’eux s’ils contribuaient à « tuer » leurs fournisseurs. Un enjeu qui ne concerne pas seulement le Délégué à la protection des données (DPO, pour Data Protection Officer) et dépasse les enjeux du RGPD. L’envoi d’un questionnaire non argumenté à un fournisseur contribue à le fragiliser. Pour éviter des points de ruptures, il convient d’acculturer l’ensemble des acteurs à la notion de proportionnalité liée au traitement des données. Parmi les pistes à aborder, il conviendrait par exemple d’alléger les contraintes au niveau du démonstrateur qui relie un Grand Groupe et une Start-up.

Autre sujet d’interrogation des entreprises, celui des cabinets conseils qui proposent des mises en conformité au RGPD à leurs clients. Il ne s’agit pas de les condamner dans l’ensemble mais de veiller à ce qu’ils rajoutent une véritable valeur ajoutée et ne surfent plus sur la vague du RGPD avec les excès qui ont été constatés. Il a été mentionné le cas d’un client dont le cabinet conseil s’était chargé d’expliquer collectivement sa démarche auprès des sous-traitants.

La responsabilité d’un donneur d’ordres s’étendant à ses fournisseurs, il peut être tenté souvent d’exiger de ceux-ci qu’ils lui fassent la liste exhaustive de leurs sous-traitants voire réduisent leur nombre pour limiter les risques
Les prestataires déplorent que ces exigences en matière de transparence des données aillent souvent à l’encontre de la liberté de commercer voire même encouragent des donneurs d’ordres à les court-circuiter en s’adressant directement à leurs propres sous-traitants.

De leur côté, les donneurs d’ordres rétorquent qu’ils sont tenus pour responsable in fine des prestations qu’ils payent et donc susceptibles de payer de lourdes amendes en cas de faute d’un prestataire. C’est la raison pour laquelle ils estiment avoir le droit de savoir à qui est confiée l’exécution de la prestation confiée.

Analyse du constat par le groupe de travail RGPD avant des premiers livrables

Le groupe de travail était unanime pour constater que faute de réaction coordonnée, nombre de TPE/PME allaient rencontrer des difficultés croissantes à répondre aux exigences de leurs clients. Il ne s’agit pas de désigner des coupables contre des victimes, mais de proposer des lignes de conduites pratiques qui participent à faciliter la mise en conformité à la RGPD des entreprises en proportion de leur activité. L’aspect contractuel est d’ores et déjà à clarifier notamment celui concernant les démonstrateurs qui ne nécessitent pas toutes les précautions d’un déploiement industriel.

Les organismes de représentation professionnelle doivent remonter les témoignages (difficultés et bonnes pratiques) de leurs adhérents à la Médiation des entreprises qui se charge de servir de référent et de contact auprès de la CNIL notamment. Cette première phase doit permettre la rédaction de premiers documents clarifiants les devoirs et droits de chacun des acteurs d’une relation contractuelle. Le RGPD est une chance pour les entreprises à condition qu’il soit équitablement et proportionnellement appliqué.

La prochaine réunion est fixée au vendredi 14 décembre à 9h30 à la médiation des entreprises.

S’inscrire ici

  1. Philippe Berna – Médiation des entreprises, Eric Huignard et Dominique Scalia – Observatoire COM MEDIA, ADA Per conseil, Groupe Diffusion plus, Gocad Services, Syndicat des TPE/PME du numérique, PremiumPeers, Comité Richelieu, FFB Service juridique, FNPC, MACIF, Association des Conseils en innovation , France innovation, Orange, Koryo, Docapost.

LAISSER UN COMMENTAIRE