Deux ans après, comment est appliqué le RGPD au Luxembourg ?

Deux après l’entrée en vigueur du Règlement Général sur la Protection des Données, Frédéric Vonner, Partner, Privacy Leader au sein de PwC Luxembourg, évoque la manière avec laquelle les organisations ont intégré ces enjeux au cœur de leur activité.

Frédéric Vonner, Partner, Privacy Leader – PwC Luxembourg

C’était il y a deux ans. L’obligation de se mettre en conformité avec le nouveau Règlement Général sur la Protection des Données (RGPD) alimentait de très nombreuses discussions tant au niveau des organisations que dans l’espace public.

Qu’en est-il aujourd’hui de l’application des nouvelles exigences définies au cœur de cette réglementation européenne visant à protéger les données personnelles de chacun, mais aussi à poser le cadre permettant leur exploitation ? PwC, qui avait déjà mené une enquête fin 2018 auprès des organisations luxembourgeoises pour évaluer la situation, a réitéré l’exercice un an après. « Nous avons envoyé un questionnaire à de nombreux acteurs luxembourgeois et avons recueilli une centaine de réponses », commente Frédéric Vonner, Partner, Privacy Leader au sein de PwC Luxembourg.

Rattrapage des acteurs hors finance

Parmi les réponses reçues, il faut noter une surreprésentation du secteur financier, en raison de son importance à l’échelle de l’économie luxembourgeoise. De manière générale, les acteurs financiers sont plus matures en matière de gestion et de sécurisation de la donnée et disposent d’une plus grande capacité à se mettre en conformité. Les résultats de la première enquête l’ont d’ailleurs confirmé. « Il est toutefois intéressant de constater que, par rapport à 2018, la part des acteurs en dehors du secteur financier affirmant être en conformité est plus importante », assure Frédéric Vonner.

Des politiques définies, mais pas systématiquement appliquées

L’ensemble des organisations semble donc avoir pris conscience de l’exigence de se mettre en conformité. Il n’est toutefois pas certain que tous aient compris les implications de ce règlement. « On constate par exemple qu’une large partie des acteurs (83%) a défini une politique et des durées de rétention des données personnelles. Le Règlement exige que l’on ne conserve les données que le temps dont on en a besoin. Sur papier, la conformité est là. Cependant, seuls 12% confirment appliquer pleinement la politique définie dans leurs systèmes d’information», poursuit Frédéric Vonner.

Sur ce point, la conformité serait effective essentiellement au niveau de la compliance. Dans beaucoup de cas, toutefois, les acteurs n’ont pas été plus loin. Souvent, les raisons sont d’ordre pratique. Supprimer un document papier est relativement aisé. Garantir l’élimination d’une donnée conservée électroniquement est plus complexe.

Des réponses variées aux citoyens faisant valoir leurs droits

Souvent, les systèmes informatiques n’ont pas été conçus pour l’application de telles règles. « Tant qu’une situation n’expose pas les données d’une personne concernée à un risque, tant que l’organisation n’a pas été confrontée à une demande d’accès par exemple, la nécessité de récupérer les données ne se présente pas. Or, ce type de demande est rare », explique Frédéric Vonner.

Il suffit d’ailleurs de tenter l’expérience, en faisant valoir ses droits auprès de diverses organisations, pour se rendre compte que les réponses peuvent être variées. « À titre personnel, avec quelques collègues, nous avons demandé à plusieurs organisations de nous transmettre les données personnelles nous concernant. On constate que certaines sociétés sont rodées tandis que d’autres fournissent des réponses partielles ou ne répondent tout simplement pas », assure le Partner de PwC Luxembourg.

Le questionnaire sondait aussi les organisations sur les principaux défis auxquels elles devraient faire face vis-à-vis des exigences du RGPD. Le principal réside dans la cartographie, pourtant essentielle, des traitements des données personnelles. Viennent ensuite la complexité des mesures technologiques à mettre en place et la disponibilité du personnel pour veiller à la bonne application des politiques définies.

Un régulateur plutôt conciliant, pour le moment

« D’autre part, on a constaté que le régulateur ne mettait pas publiquement une pression importante sur les acteurs, et adopte au contraire une approche positive d’accompagnement. Nous sommes un des rares pays européens à ne pas avoir émis de sanction pour non-respect du règlement », poursuit Frédéric Vonner. « Le régulateur a cependant beaucoup de travail, vis-à-vis des citoyens et des acteurs locaux. Il est aussi responsable pour des investigations transfrontalières à l’égard d’acteurs dont le siège est installé au Luxembourg. C’est par exemple le cas d’Amazon, explique Frédéric Vonner. De telles enquêtes peuvent prendre du temps et impliquent que les régulateurs apprennent à travailler ensemble et s’alignent sur la manière de faire appliquer le règlement. »

Au Luxembourg, peu de valorisation des données personnelles

Si le RGPD a pour objectif de mieux protéger les données personnelles, il fixe aussi le cadre autorisant leur exploitation. « On constate que les grands acteurs numériques, comme Google, Amazon, Apple, Facebook ou encore Netflix se sont rapidement adaptés. Ces services sont tellement imbriqués dans nos vies que, le plus souvent, les citoyens leur accordent un consentement pour l’utilisation de leurs données personnelles sans forcément avoir conscience de l’utilisation faite de ces données, poursuit Frédéric Vonner. Au Luxembourg, peu d’acteurs sont activement engagés dans du marketing direct. Les acteurs financiers limitent la monétisation des données personnelles, par crainte de mettre à mal la confiance accordée par leur client. Même la grande distribution avance avec prudence sur ce terrain. »

Créer de la valeur en rendant les données anonymes

Si, à l’échelle du petit marché luxembourgeois, on exploite encore peu les données personnelles en dehors des opérations nécessaires à délivrer un service, d’autres possibilités de valoriser l’information existent. « Une fois les données rendues anonymes, on peut déjà en extraire beaucoup de valeur, en identifiant par exemple des tendances sur l’ensemble d’une population. La donnée peut aussi être utilisée à des fins non marchandes. On l’a vu avec le coronavirus par exemple, où les données des opérateurs de télécommunications ont permis d’analyser les flux de population pour mieux comprendre la propagation du virus, commente Frédéric Vonner. Beaucoup peut être fait, à condition de mener une vraie réflexion sur la place des données dans l’organisation. »

L’application du RGPD, au-delà des mesures de conformité prises et de la désignation d’un Délégué à la Protection des Données, doit inviter les organisations à questionner la manière dont la donnée personnelle est utilisée et protégée et à envisager les possibilités de la valoriser.