Le règlement général sur la protection des données est entré en vigueur il y a tout juste un an. Pendant plusieurs mois avant et après sa mise en place, le RGPD a été un sujet important et a soulevé de nombreuses questions en entreprise. Comment être conforme ? Quelle procédure ? Que dois-je faire pour la mise en conformité RGPD ?

Mais alors où en sommes-nous un an après ? Toutes les entreprises, respectent-elles scrupuleusement le RGPD ? Cette mesure, est-elle efficace pour améliorer le traitement des données et conserver leur confidentialité ? Des entreprises, ont-elles été sanctionnées ? 1 an après nous faisons le bilan.

Rappel : Qu’est-ce que le RGPD ?

Le RGPD, pour règlement Général sur la protection des données (GDPR en anglais) est un texte de loi européen voté en avril 2016 et mis en place officiellement le 25 mai 2018.  Ce texte a pour objectif  de renforcer la protection des données à caractère personnel. Le but principal étant de protéger et sécuriser les données des internautes européens et de sensibiliser les professionnels et les institutions qui collectent ces données. Cette nouvelle réglementation a exigé la mise en place de différentes actions pour mettre son entreprise en conformité.

En premier lieu, toute entreprise doit désormais être en mesure de prouver à tout moment que le traitement de ses données est conforme et sécurisé (données clients, employés, fournisseurs etc…). De plus, elles doit s’assurer que ces mêmes obligations sont bien respectées par ses sous-traitants et est donc dans l’obligation de choisir des prestataires qui respectent, eux-mêmes, le RGPD.

Par ailleurs, tout organisme collectant de la donnée personnelle se doit d’être totalement transparent vis-à-vis des personnes concernées. L’acquisition des données doit donc être obligatoirement accompagnée d’un consentement clair de la part de l’internaute concerné.

Pour faire respecter ces obligations, piloter la mise en conformité et contrôler la gestion et le traitement des données, la CNIL suggère vivement aux entreprises de nommer un Data Protection Officer (DPO). Pour certaines entreprises, la nomination d’un DPO est même une obligation. C’est le cas notamment des organismes publics, des sociétés de plus de 250 salariés et des entreprises qui manipulent un très grand nombre de données ou des données sensibles dans le cadre de leur activité principale.

Bilan, 1 an après la mise en place du RGPD

État des lieux

Le RGPD est donc un ensemble de règles complexes auxquelles les entreprises doivent se soumettre, mais cette complexité ne ralentit-elle pas justement la mise en conformité ? Quel état des lieux pouvons-nous faire un an après le lancement du RGPD ?

Commençons, tout d’abord, par une statistique plutôt inquiétante. D’après une étude menée par Cookiebot en mars dernier, 89% des sites officiels des gouvernements européens intègreraient des trackers récoltants des informations sur les visiteurs… Pour prendre l’exemple de la France, 52 entreprises privées traquent les visiteurs directement depuis le site du gouvernement. Selon cette même étude, la France est d’ailleurs désignée comme le plus mauvais élève d’Europe.

Plus mauvais élève notamment car toutes les atteintes à la sécurité des données ne sont pas signalées par la CNIL. Il semblerait que nos voisins européens soient en effet plus rigoureux au sujet de la réglementation. Les Pays-Bas, l’Allemagne et le Royaume Uni ont signalé chacun + de 10 000 atteintes à la sécurité des données en janvier dernier. Un chiffre nettement plus faible en France avec seulement 1300 signalements.

Par ailleurs, la mise en conformité tarde à s’effectuer dans les entreprises. 6 mois après l’entrée en vigueur de la réglementation, 80% des commerces n’étaient pas en conformité vis-à-vis du RGPD. Un commerce sur deux n’aurait même pas enclenché le processus, selon les estimations du cabinet Staub et Associés. Ce constat pose la question de la complexité de la réglementation. Si certaines entreprises ont entamé  un process de mise en conformité, il est très difficile de le consolider et d’assurer une conformité pérenne sans un accompagnement d’experts sur le sujet. Le respect de la réglementation coûte de l’argent et du temps aux entreprises. Il faudra pourtant bien agir pour la mise en conformité avant que les sanctions se généralisent.

Les premières sanctions

On s’aperçoit donc que cette première année de RGPD a été le théâtre de beaucoup de dérives, mais alors qu’en est-il des sanctions ? Les différents organismes garants du respect du RGPD en Europe, ont sanctionnées, en tout, 36 entreprises, pour un montant total de 56.6 Millions d’euros. Pour prendre l’exemple de la France, nous savons que pendant cette année, la CNIL, a davantage joué le rôle d’accompagnateur que celui de gendarme. Pour autant elle n’a pas hésité à sanctionner lourdement les plus gros manquements au RGPD. Par exemple, l’une des actualités qui a le plus fait parler d’elle est la sanction prononcée par la CNIL à l’encontre de Google LLC. Le 21 janvier dernier la commission nationale de l’informatique et des libertés a prononcé une sanction record contre le géant américain de 50 Millions d’euros. La CNIL justifie ce montant par le niveau de gravité des manquements de Google en matière des principes de transparence, d’information et de consentement des utilisateurs. Deux jours plus tard l’entreprise américaine a fait appel de cette décision auprès du conseil d’Etat français. A ce jour le conseil d’Etat n’a pas encore rendu sa décision, une décision qui risque d’être décisive pour les prochaines sanctions, car cela permettra de passer un message fort aux entreprises négligentes.

Ces sanctions astronomiques sont une manière de crédibiliser le RGPD et de rappeler qu’aucune entreprise, pas même Google, ne peut fuir ses obligations.

Pour autant, il ne faut pas s’imaginer que les sanctions relatives au RGPD ne concernent que les plus grandes entreprises. Les PME sont également attentivement surveillées car le manque d’investissements consacré à la mise en conformité RGPD peut présenter des risques pour l’intégrité des données manipulées. Selon la CNIL, cette mise en conformité est une étape inévitable pour les PME et les TPE mais elle est consciente que beaucoup de dirigeants peuvent se retrouver démunis face à la complexité de cette réglementation. C’est pourquoi, en partenariat avec BPI France, la CNIL a créé un guide pratique de mise en conformité à destination des TPE et des PME pour les aider à amorcer cette transition et donner quelques précieux conseils sur la gestion des données personnelles.

Et maintenant ?

Malgré tous ces efforts pour accompagner notamment les plus petites entreprises, la CNIL assure qu’elle sera encore plus vigilante et n’hésitera pas à sanctionner les entreprises, peu importe leur taille ou leur chiffre d’affaire. Comme l’assure Mathias Moulin, le directeur protection des droits et sanctions à la CNIL, au sujet des différents mises en demeures adressées à plusieurs entreprises cette année « nous aurions pu procéder à des sanctions […] mais nous avons préféré opter pour la pédagogie. Nous n’excluons pas pour autant de basculer vers cette éventualité si les mauvaises pratiques venaient à perdurer à moyen terme. » Il devient donc urgent pour les PME de se conformer aux normes RGPD, car si les grands groupes peuvent se relever d’une lourde sanction financière, ce n’est pas toujours le cas pour les plus petites entreprises.

D’autre part, face à la recrudescence de nouveaux moyens de collecter les données personnelles, la CNIL assure d’être particulièrement attentive à la gestion des données des assistants vocaux et des plateformes de Cloud Computing comme Amazon Web Services. Elle promet également de surveiller le déroulé des différentes campagnes politiques, notamment les élections européennes et de se mobiliser d’avantage pour la protection des données des mineurs, sujet particulièrement sensible.

Comment réaliser sa mise en conformité RGPD

Cette première année, le rôle de la CNIL a été d’accompagner les entreprises dans la mise en conformité. Leur demandant a minima, de présenter un plan d’action clair et précis des solutions à mettre en place. Beaucoup d’entreprises ont encore du mal à amorcer cette transition, notamment les PME qui n’ont pas forcément de visibilité sur leur traitement des données et qui n’ont pas beaucoup de temps à y consacrer. Pour autant, à l’avenir, la CNIL durcira ses contrôles et sera encore plus exigeante.

La première étape pour se mettre en conformité est de désigner un référent RGPD, le DPO comme évoqué plus haut. Quelle que soit la taille de votre entreprise, il est important de nommer quelqu’un qui puisse piloter la stratégie de mise en conformité. Que cela soit à plein temps ou en plus de son travail, en fonction des besoins de votre entreprise. Il est primordial que vous soyez conscient de l’état des lieux de votre gestion des données. Pour cela vous devez mener un audit global de préférence avec l’aide de votre prestataire informatique par exemple. Une fois que vous avez identifié quelles actions doivent être mises en place, établissez, avec votre prestataire, le plan d’action à mettre en place pour agir vers votre mise en conformité au RGPD dans les plus brefs délais.

Cette mise en conformité est inévitable pour tous les entreprises, TPE, PME ou grands groupes. D’autant qu’on observe que la mise en conformité au RGPD permet aux entreprises d’acquérir une meilleure réputation auprès de leurs clients, de réduire les risques de perte de données mais également parfois de faire évoluer l’entreprise en amorçant la transformation digitale. Si vous n’êtes pas certain d’être totalement conforme aux normes RGPD, rapprochez-vous de votre prestataire informatique afin de mener un audit complet et un état des lieux de la manière dont sont traitées les données dans votre entreprise. Il vous proposera ensuite les solutions adaptées à vos besoins et vous orientera vers la meilleure stratégie de mise en conformité.

Nouveau call-to-action