Application du RGPD ? Labels à faire !

Le nouveau règlement européen sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai prochain. Parmi les 99 articles qui le composent, 2 sont spécifiquement consacrés à la question des labels. Si l’idée de disposer de labels pour afficher la conformité au règlement et rassurer les citoyens et les acteurs économiques semble bonne, de nombreux obstacles se dressent avant d’y parvenir.

 

Des labels, il y en a partout, et pour tout type de produits et services. Nos yeux de consommateur y sont habitués : du label agriculture biologique sur les produits des rayons de supermarché, à l’étiquette Energie Label pour l’électroménager. Ils peuvent être soit un signe de conformité à la législation — c’est le cas du marquage CE — soit un signe de crédibilité envoyé par une entreprise pour mettre en avant ses bonnes pratiques. Et s’il est parfois difficile de s’y retrouver dans la quantité astronomique de labels et de signes de confiances existants, certains sont de véritables repères. Les appellations AOC sont ainsi connues et recherchées par un grand nombre de consommateurs. Dès lors, pourquoi ne pas créer des labels relatifs à la bonne gestion des données personnelles ?

Si la question peut sembler décalée pour un citoyen qui ne voit le label que comme une marque rouge sur l’emballage d’un poulet fermier, l’Union européenne l’a prise en compte. À tel point que les articles 42 et 43 du nouveau règlement européen sur la protection des données personnelles (RGPD, GDPR en anglais pour General Data Protection Regulation) sont consacrés à cette idée. La création de labels est ainsi encouragée par le texte afin de permettre aux entreprises établies dans l’UE responsables du traitement des données des citoyens de démontrer leur conformité au règlement. Sur le papier, tout semble propice à la mise en place de signes clairs de confiance en matière de protection des données personnelles.

Cependant, de nombreux obstacles se dressent, à la fois institutionnels et économiques. En réalité, la complexité est telle que la Chaire Valeurs et politiques des informations personnelles* (VPIP) de l’IMT a fait de la question des labels, et notamment de l’impact du  RGPD en la matière, un sujet de travail à part entière. Ces recherches menées entre l’adoption du texte européen le 14 avril 2016 et son application prévue le 25 mai 2018 ont ainsi donné lieu à un ouvrage de plus de 230 pages intitulé : Signes de confiance — l’impact des labels sur la protection des données personnelles.

Pour Claire Levallois-Barth, chercheuse en droit à Télécom ParisTech et coordinatrice de l’ouvrage, la complexité tient en partie au nombre et à l’hétérogénéité des labels relatifs à la protection des données personnelles. Rien qu’en Europe, on en dénombre a minima 75, avec une répartition géographique très inégale. « L’Allemagne à elle seule en rassemble 41 » note la chercheuse. « En France, nous en avons décompté 9, dont 4 délivrés par la Cnil [Commission nationale de l’informatique et des libertés]. » Le Royaume-Uni n’en compte que 2. La Belgique : un seul. Chaque pays a son approche, notamment pour des raisons culturelles. Dès lors, difficile de s’y retrouver dans une offre aussi hétéroclite, qui rassemble des labels aux significations diverses.

Des labels sur quoi ?

Car l’une des questions essentielles est la suivante : que doit-on labelliser ? Les services ? Les produits ? Les processus au sein des entreprises ? « Tout dépend de la situation et de l’objectif recherché » répond Claire Levallois-Barth. Jusqu’à il y a peu, la Cnil délivrait par exemple un label « coffre-fort numérique » qui certifie un service comme respectueux « de la confidentialité et de l’intégrité des données qui y sont stockées » selon ses propres critères. En parallèle, la Commission dispose également d’un label « Formation » certifiant la qualité des formations sur des textes législatifs européens ou nationaux. Bien que ces deux labels soient décernés par le même organisme, ils n’ont pas la même signification. Dire qu’une entreprise « est labélisée par la Cnil » n’apporte donc qu’un faible degré d’information. Il faut alors rentrer dans la complexité pour comprendre la signification du label, ce qui semble a priori contraire au principe-même de simplification qu’il est censé incarner.

Une solution pourrait être de mettre en place des labels généraux, qui englobent aussi bien les services, que les processus internes, ou les formations de l’ensemble des personnes en charge du traitement des données au sein d’une organisation. Toutefois, cette idée se heurte à l’argument économique. Car certifier les bonnes pratiques d’une entreprise pour lui décerner un label peut coûter cher, voire même très cher. Et plus il y a de services et d’équipes à certifier, plus les sommes et le temps passé à obtenir la certification sont importants.

Le 31 mars 2018, la Cnil est officiellement passée d’une activité de labellisation à une activité de certification.

De son côté, la Cnil a annoncé qu’elle arrêtait de délivrer gratuitement des labels. « Suite à l’entrée en vigueur du RGPD, la Commission a décidé de se concentrer plutôt sur l’élaboration ou l’approbation de référentiels de certification. Les certifications elles-mêmes seront délivrées par des organismes de certifications agréées » constate Claire Levallois-Barth. Notamment, Afnor Certification ou Bureau Veritas pourront proposer des certifications qui seront payantes. Cela leur permettra de financer le temps passé à évaluer les processus et les services en interne, à analyser les dossiers, à auditer les systèmes d’information…

Et pour ces acteurs, la rentabilité économique de la certification apparaît comme le nœud du problème. En règle générale, les entreprises ne souhaitent pas dépenser plusieurs dizaines, voire centaines de milliers d’euros dans une certification qui leur rapportera un label peu reconnu. Les organismes de certification doivent donc trouver les bonnes formules : suffisamment complètes pour donner de la valeur au label, sans représenter un investissement trop important pour une majorité d’entreprises.

S’il est peu probable de voir émerger un label global, certains acteurs s’interrogent sur l’opportunité de créer des labels sectoriels basés sur des référentiels reconnus par le RGPD, par exemple en matière de cloud computing. Une telle situation pourrait apparaître si les critères étaient approuvés soit au niveau national par l’autorité de contrôle compétente sur son territoire (en France, la Cnil), soit au niveau de l’Union européenne par le Comité européen de la protection des données (CEPD). Il faudrait ensuite qu’un nombre critique de labels soit délivré. Ici encore, deux options sont retenues par le RGPD.

Ainsi, selon l’article 43 du RGPD, le label peut être délivré soit par les autorités de contrôle de chaque pays, soit par des organismes privés de certification. En France, l’autorité de contrôle est la Cnil, et les organismes de certification sont des organisations telles que l’Afnor et Bureau Veritas. Ces derniers seront eux-mêmes mis sous surveillance. Ils devront en effet être agréés soit par l’autorité de contrôle, soit par l’organisme national d’accréditation, en France le Cofrac.

La question naturelle qui en découle est la suivante : si les autorités de contrôle développent leurs propres référentiels, n’auront-elles pas tendance à ne favoriser que l’agrément des organismes utilisant ceux-ci ? Pour Eric Lachaud, doctorant en droit et technologie à Tilburg et invité à la journée de présentation de l’ouvrage de la chaire VPIP le 8 mars dernier « cela pose clairement des questions de concurrence entre les référentiels élaborés par les acteurs publics et ceux des acteurs privés ». Interrogée lors du même évènement, Sophie Nerbonne, directrice de la conformité à la Cnil, répond toutefois que le but de la commission nationale « n’est pas de verrouiller le marché, mais de faire valoir [son] expertise dans des domaines bien précis de certification, comme le délégué à la protection des données. »

Une certaine idée de la protection des données

Il faut cependant reconnaître que le champ d’expertise d’une autorité de contrôle comme la Cnil, pionnière en matière de protection des données personnelles en Europe, est assez vaste. Au-delà du sujet du délégué à la protection des données personnelles, responsable de la mise en œuvre la conformité au RGPD au sein de l’organisme qui l’a désigné, l’autorité indépendante qu’est la Cnil est chargée de réguler les questions de traitement, de gouvernance, et de protection des données personnelles — comme en attestent les labels qu’elle décernait jusqu’à présent. Difficile donc d’imaginer que les autorités de contrôle ne fassent pas valoir leur large champ d’expertise.

D’autant que toutes les autorités de contrôle ne sont pas si avancées sur la question de la certification en matière de données personnelles que la Cnil. « Donc il y a aussi une véritable question de concurrence entre autorités de contrôle de différents pays » pointe Eric Lachaud. Faut-il espérer un dialogue entre les 28 États membres de l’Union européenne pour limiter cela ? « La problématique d’avoir une reconnaissance mutuelle entre les pays se pose, et n’a toujours pas été réglée » souligne le doctorant en droit, et « il existe un risque non négligeable de nivellement par le bas » insiste Claire Levallois-Barth. Pourtant les bénéfices seraient clairs. En reconnaissant les référentiels de chacun, les pays de l’Union européenne ont l’occasion de fournir à la certification une véritable dimension transnationale, ce qui donnerait aux labels une valeur à l’échelle européenne, et des repères communs aux citoyens et entreprises des 28.

L’enjeu d’une uniformisation va même au-delà des frontières de l’Union. Si la norme CE est parfois critiquée pour sa simplicité d’obtention par rapport à des normes nationales plus strictes, elle a au moins le mérite d’avoir imposé certains standards européens à l’échelle mondiale. Tout constructeur voulant toucher le marché de 500 millions de personnes que constitue l’Union européenne doit y souscrire. Pour Éric Lachaud, c’est là un exemple de ce que peut produire une convergence des États-membres en Europe : « Nous pourrions espérer que l’Europe reproduise ce qu’elle a fait pour le marquage CE ; qu’elle s’investisse pour faire valoir la voix des 28 au niveau mondial, et promouvoir une certaine idée de ce qu’est la protection des données. »

Les incertitudes qui pèsent sur le marché des labels doivent être tempérées par les ambitions du RGPD. La philosophie de ce règlement est de construire une législation robuste aux changements technologiques, qui s’inscrive sur le long terme. En un sens, les articles 42 et 43 du RGPD peuvent être vus comme un socle propice à initier et réguler un marché de la certification. Les questions qui se posent actuellement apparaissent donc parmi les premières étapes de structuration de ce marché. Ce sont les mois qui suivront le début de l’application du RGPD qui définiront ce que les 28 États-membres veulent construire.

 

*La Chaire VPIP rassemble les écoles Télécom ParisTech, Télécom SudParis et Télécom École de Management. Elle est soutenue par la Fondation Mines-Télécom.

 

Des labels sur les données personnelles, à quoi ça sert ?

Pour les entreprises, disposer d’un label relatif à la protection des données personnelles leur permet de satisfaire l’obligation de responsabilité imposée par l’article 24 du RGPD. Il oblige tout organisme chargé du traitement des données à être en mesure de démontrer qu’il respecte le règlement. Cette obligation s’applique également aux sous-traitants de données personnelles.

Pour cette raison, plusieurs experts pensent que la première application des labels sera sur les relations inter-entreprises plus qu’entre les entreprises et les consommateurs. Les acteurs économiques de type PME pourraient en effet demander à être certifiés afin de se conformer à la demande croissante de leur donneur d’ordre, notamment des grands groupes pour assurer leurs opérations de sous-traitance.

Toutefois, le RGPD est un règlement européen. Il existe donc une présomption de conformité : toute entreprise est censée le respecter dès sa mise en application. Un label de conformité ne peut donc pas être utilisé comme un argument marketing. En revanche, il est probable que les éditeurs de référentiels de certification choisissent d’encourager des labels qui vont au-delà du cadre du RGPD. Auquel cas, un contrôle plus strict sur le traitement des données personnelles que ce que prévoit la législation pourrait être utilisé comme un argument fort de concurrence.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *