RGPD : l’ode aux moulins à vent

 

A quatre jours de l’entrée en vigueur du Règlement européen sur la protection des données (RGPD), les moulins à vent des marchands du temple tournent à plein régime sur la plaine du vide.

« Votre entreprise est-elle compatible (sic) ? »

« Nous sommes déjà prêts pour le RGPD et vous ? »

« Ne passez pas à côté du RGPD ! »

«  Attention aux sanctions du RGPD ! »

Les slogans passent et repassent comme les banderoles remorquées par les monomoteurs de notre enfance sur les plages du Sud, la poésie en moins.

Au menu, toujours la même rengaine, toujours la même mise en musique des mêmes chiffres (4% du chiffre d’affaires mondial ou 20 millions d’Euros) dont on sait qu’ils ont toujours le même effet sur le chef d’entreprise normalement constitué : la peur.

Sauf que la mise en avant procède, au mieux, d’une incompréhension du mécanisme ou, au pire, d’un comportement drôlement trompeur.

Pourquoi ?

Parce quand bien même les chiffres indiqués sont corrects en valeurs absolues, cela ne signifie pas encore qu’ils sont présentés de manière intellectuellement honnête, car ces sanctions seront – évidemment – appliquées avec un certain discernement et ne seront que l’ultima ratio des moyens correctifs et répressifs envisagés par le règlement (avertissements, mises en demeure, etc.).

Et il n’y a que des ignares (ou des flibustiers fertiles en expédients) pour penser que la sanction maximale sera, automatiquement et à chaque procédure, infligée à toute entreprise prise dans l’engrenage.

A titre d’exemple, la calomnie est, en Suisse, punie d’un maximum de trois ans de prison (ce que l’on appelle la « peine menace » et qui porte d’ailleurs bien son nom). Si ladite peine menace était automatiquement infligée aux calomniateurs de tous poils et de tous pedigrees, les lieux de détentions fleuriraient comme des centres commerciaux.

Cet abus de la crédulité des chefs d’entreprise est préoccupant et trahit également un certain désoeuvrement de certaines des officines actives dans le développement de formules magiques pour soigner le RGPD.

A la vérité, il s’agit souvent d’entreprises de webmarketing qui ont vu dans le RGPD tout à la fois leur planche de salut et la résurrection de la poule aux œufs d’or, pour la dernière fois aperçue, en fuite, le 1er janvier 2000, peu de temps après le coup marketing le plus fourré de tous les temps : le bug de l’an 2000.

Que je sois ici bien compris, il n’est pas question de dénigrer le RGPD, qui constitue un indéniable progrès dans la conception même de la protection des données – même si certaines de ses dispositions semblent pour le moins artificielles et compliquées à mettre en œuvre au regard de la vie des affaires – mais bien de mettre en garde contre de prétendues mises en conformité « clefs en main » par des entreprises qui ne disposent parfois ni d’un juriste ni d’un informaticien dans leurs rangs et dont le seule livrable se compose d’une présentation Powerpoint avec moult triangles de pannes et autres schémas anxiogènes.

Le RGPD est, bien au contraire, un instrument délicat et complexe qui nécessite l’alliance de compétences spécialisées, et un peu de recul.

L’étoile du Berger de l’entrepreneur responsable ne brille pas dans la Terreur numérique mais s’épanouit dans un principe de responsabilité sereine quant aux données qui sont placées sous sa garde. Ni plus, ni moins.