Rome ne s’est pas faite en un jour. Avec ces 99 articles, le RGPD représente un chemin de croix pour de nombreuses entreprises. Et il faudra là aussi plusieurs années avant que ce règlement ne devienne une « norme ». Complexe à comprendre et nécessitant des adaptations particulières, il exige une profonde évolution des mentalités de tous les services d’une entreprise.
Mais la situation évolue très lentement. Certes, le RGPD a eu le mérite de provoquer une prise de conscience plus ou moins forte, tant de la part des entreprises que des consommateurs, sur les enjeux de la protection des données personnelles. Un récent baromètre CNIL/IFOP indique ainsi que 66% de la population française se dit aujourd’hui plus sensible au sujet qu’avant la mise en vigueur du règlement.
La CNIL plus sévère
Excepté des entreprises appartenant à des secteurs très réglementés, « la majorité des PME et des TPE que je côtoie ou pour lesquelles j’interviens sont très loin de la conformité », avoue un DPO (Data Protection Officer ou délégué à la protection des données).
Or, cette politique de l’autruche ou ce « retard à l’allumage » n’est certainement pas la bonne méthode. Pour deux raisons principales. Premièrement, les plaintes déposées auprès de la CNIL ont fortement augmenté (plus de 11 000 l’année dernière). Deuxièmement, la CNIL va se montrer plus sévère. Dans un entretien accordé à La Tribune, la nouvelle présidente de la Commission nationale de l’informatique et des libertés (CNIL), Marie-Laure Denis, a déclaré qu’il faut « désormais, faire preuve de davantage de fermeté. Notre action de régulation ne sera efficace que si nous actionnons à parts égales les deux leviers à notre disposition, c’est-à-dire la pédagogie d’un côté, et le contrôle avec éventuellement des sanctions de l’autre ».
Mais en se focalisant uniquement sur les sanctions, de nombreuses entreprises se sont dit qu’elles ne risquaient rien, la CNIL se concentrant sur les grands groupes et les GAFAM (Google, Amazon, Facebook, Apple et Microsoft) pour montrer l’exemple. Et l’actualité des sanctions leur a donné raison. En janvier dernier, la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de la société GOOGLE LLC en application du RGPD pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ».
Attention aux CNIL européennes
Un an après, « nous restons en France dans une logique de « pas vu, pas pris » et on attend de voir comment la CNIL va réagir », constate Maître Anne-Sophie POGGI, Avocate à la Cour spécialisée en droit de la donnée.
Mais les entreprises ont tort de croire que les sanctions ne peuvent venir que de la CNIL. Premièrement, une CNIL italienne ou allemande par exemple peut demander des comptes à une entreprise française si elle a reçu des plaintes de citoyens italiens ou allemands. Le RGPD est en effet un règlement européen qui protège tous les citoyens de l’UE ! Deuxièmement, le donneur d’ordre français (ou, là aussi, européen) d’un sous-traitant français peut aussi exiger que celui-ci prouve sa conformité sous peine de perdre ce contrat…
Le RGPD instaure en effet une coresponsabilité entre les entreprises et leurs sous-traitants. Une entreprise peut donc mandater un cabinet spécialisé pour réaliser des audits RGPD et de sécurité (les deux étant liés, contrairement à ce que pensent à tort de nombreux professionnels) afin de vérifier que les données personnelles qu’elle leur confie sont bien protégées…
Les entreprises sont loin d’en avoir fini avec le RGPD. Ce n’est que le début !
Dans l'actualité
- Le RGPD : bientôt un « standard » mondial ?
- Logiciels et applications mobiles : le casse-tête de la conformité avec le RGPD
- Qu’est-ce que notre relation à l’intelligence artificielle dit de nous ?
- Salon Big Data : la donnée, une stratégie d’entreprise
- FIC 2019 : des menaces de plus en plus complexes
- Sites Web en France: une sécurité trop négligée
- Les attaques informatiques concernent toutes les entreprises
- Smart City : les clés de la ville aux mains des pirates
- Protection des données personnelles : le retard des entreprises
- CCPA : La Californie aura bientôt son RGPD version light
- Le volume de données ne cesse d’augmenter, les fuites aussi !
- Pourquoi les GAFA veulent-ils faire sauter les banques ?
- Anonymisation des données, une nécessité à l’ère du RGPD
- La protection des données personnelles est renforcée en Californie
- Nos données sont-elles privées en cas d’épidémie ?
- Des données de santé chez Microsoft : un hébergement sous haute tension
- Apple pris en flagrant délit de mensonge sur la protection de la vie privée ?
- Respect de la vie privée : les cadeaux à éviter
- WhatsApp : quelles sont les alternatives les plus respectueuses de la vie privée ?
Dans les ressources documentaires