Edito
05H22 - jeudi 10 juin 2021

Les sites de l’Élysée et de la CNIL ne sont pas conformes au RGPD… Et alors ?

 

Quelques observateurs spécialistes de l’auto-flagellation ne perdent pas une occasion d’observer que les Américains ont inventé les Gafam, les Chinois les Batix et les Européens le RGPD… Oubliant au passage quelques Licornes et des centaines de PME européennes qui pèsent déjà dans le monde d’après.

Ceci dit, le RGPD résonne un peu comme les nouvelles Tables de la loi dont le gendarme, la gardienne du Temple, est, en France, la Commission Nationale Informatique et Libertés. La CNIL vient encore de pointer les faiblesses de l’architecture numérique du pass sanitaire et de déconseiller l’usage de Teams et de Zoom dans l’enseignement supérieur.

Eh bien, au jeu de l’arroseur arrosé, en voici une bien belle : les sites Internet de l’Elysée et de la CNIL ne sont pas conformes au RGPD.

En effet, nous avons eu la curiosité de soumettre ces deux sites publics emblématiques, l’Élysée et la CNIL, gardienne donc du respect du RGPD, aux services de prestataires les plus connus en matière d’évaluation de la conformité : Cookiebot ou Usercentrics. Le résultat de l’analyse est sans appel : « site not compliant ». Le résultat est édifiant !

Ni l’un ni l’autre n’est donc parfaitement conforme au RGPD.

Faut-il s’en inquiéter et s’en émouvoir ? Faut-il que toutes affaires cessantes, les services informatiques de ces deux institutions œuvrent jour et nuit jusqu’à la parfaite conformité de leur site ? Ce serait mieux à titre d’exemplarité. Mais est-ce si important ?

Contrairement à des prestataires informatiques qui vous proposent tous les jours de mettre votre site internet en conformité avec le RGPD, audit et mise en conformité susceptibles de déboucher sur une certification RGPD, l’IDP (Institut de Droit Pratique), partenaire d’Opinion Internationale, qui conseille et forme les entreprises, notamment à ces questions de protection des données, offre une autre approche : distinguer l’essentiel de l’accessoire, afin de donner aux entreprises les moyens de déterminer leur stratégie en fonction du ratio risque/coût. C’est bien plus utile que d’agiter les peurs en brandissant les millions d’euros d’amende prévus par les textes. Car la CNIL, et plus encore le juge, tient compte du contexte, de l’intention du responsable du traitement, de la gravité de la faute et de ses effets.

En théorie, le RGPD obéit à une logique d’obligation de moyen : il faut tout mettre en œuvre pour se mettre en conformité, respecter les process et protocoles, mais si malheur devait arriver (une fuite de données), on n’est pas responsable.

En pratique, la plupart des amendes infligées par la CNIL font suite à une fuite de données dont l’origine est à chercher dans un défaut de sécurité informatique. Nous sommes donc plus proches d’une obligation de résultat : pas de problème avec les données = pas d’ennuis avec la CNIL.

Néanmoins, cette équation, tout comme la non-conformité des sites de l’Élysée et de la CNIL au RGPD ne signifient pas que la mise en conformité soit inutile. Mais elle ne doit pas toujours être forcément totale et absolue, d’abord parce que la démarche peut avoir un coût important, notamment pour les PME et les TPE, voire nuire à ses intérêts économiques, tout cela pour un risque juridique infime. Ensuite, sauf faute ou négligence grossière, la CNIL mettra en demeure l’entreprise de corriger ses failles, et ne la sanctionnera que si elle ne s’exécute pas.

Il faut aussi avoir à l’esprit que le RGPD est aussi, voire surtout, un instrument visant à contrecarrer l’extraterritorialité du droit américain. Les États-Unis s’arrogent le droit de condamner des entreprises étrangères qui ne respectent pas les lois de l’Oncle Sam ou sa politique (par exemple pour condamner celles qui ont eu des relations commerciales avec l’Iran). Ainsi, pour se protéger de notre meilleur ami, le RGPD permet de sanctionner les entreprises américaines qui traitent illégalement les données des Européens. Malheureusement si l’on tire les conséquences pratiques du jugement de la Cour de justice de l’Union européenne du 16 juillet 2020 selon lequel le RGPD est impuissant à faire obstacle à la transmission des données des Européens aux agences publiques américaines, au nom du Cloud Act, il ne faudrait en théorie plus utiliser les plateformes et services de cloud américains (les GAFAM en particulier). Mission impossible évidemment !

Sur ce, nous ne déposerons pas plainte auprès de la CNIL contre la CNIL et l’Élysée pour non-respect du RGPD… Mieux vaut selon nous promouvoir, à travers ces deux cas emblématiques, la doctrine suivante : respecter le RGPD, c’est d’abord sécuriser ses données en formant l’utilisateur final aux bonnes pratiques de sécurité informatique, tout en le sensibilisant aux conséquences juridiques d’éventuelles négligences. Comme le disent les experts en sécurité, le point faible est toujours entre le siège et le clavier ! Nous ne doutons pas que l’ensemble des collaborateurs de l’Elysée et de la CNIL sont déjà sensibilisés à ces bonnes pratiques… Sinon l’IDP se ferait un honneur d’y former les 800 agents de la présidence de la République et les quelques centaines de collaborateurs de la CNIL…

 

Michel Taube et Raymond Taube, rédacteur en chef d’Opinion Internationale et directeur de l’IDP – Institut de Droit Pratique

 

 

Notre indépendance, c’est vous !

Parrainez Opinion Internationale

 

 

Directeur de la publication
Directeur de l'IDP - Institut de Droit Pratique / rédacteur en chef d’Opinion Internationale

Michel Taube dans Les informés de France Info

La « Marche pour les libertés » pour lutter contre l’extrême-droite, le point sur la campagne des régionales, le sommet du G7, pollution en Corse, élections législatives en Algérie, géopolitique et Euro 2020…
Michel Taube