En ce moment

RGPD : une mise en conformité loin d’être généralisée

Posté le 24 mai 2019
par Philippe RICHARD
dans Informatique et Numérique

Exécutoire depuis un an, le RGPD oblige les entreprises à revoir leurs méthodes de traitements des données personnelles et à renforcer leur sécurité informatique. Mais peu d’organisations peuvent affirmer qu’elles sont en conformité. Quand certaines n’ont encore rien fait…

Rome ne s’est pas faite en un jour. Avec ces 99 articles, le RGPD représente un chemin de croix pour de nombreuses entreprises. Et il faudra là aussi plusieurs années avant que ce règlement ne devienne une « norme ». Complexe à comprendre et nécessitant des adaptations particulières, il exige une profonde évolution des mentalités de tous les services d’une entreprise.

Mais la situation évolue très lentement. Certes, le RGPD a eu le mérite de provoquer une prise de conscience plus ou moins forte, tant de la part des entreprises que des consommateurs, sur les enjeux de la protection des données personnelles. Un récent baromètre CNIL/IFOP indique ainsi que 66% de la population française se dit aujourd’hui plus sensible au sujet qu’avant la mise en vigueur du règlement.

 La CNIL plus sévère

Excepté des entreprises appartenant à des secteurs très réglementés, « la majorité des PME et des TPE que je côtoie ou pour lesquelles j’interviens sont très loin de la conformité », avoue un DPO (Data Protection Officer ou délégué à la protection des données).

Or, cette politique de l’autruche ou ce « retard à l’allumage » n’est certainement pas la bonne méthode. Pour deux raisons principales. Premièrement, les plaintes déposées auprès de la CNIL ont fortement augmenté (plus de 11 000 l’année dernière). Deuxièmement, la CNIL va se montrer plus sévère. Dans un entretien accordé à La Tribune, la nouvelle présidente de la Commission nationale de l’informatique et des libertés (CNIL), Marie-Laure Denis, a déclaré qu’il faut « désormais, faire preuve de davantage de fermeté. Notre action de régulation ne sera efficace que si nous actionnons à parts égales les deux leviers à notre disposition, c’est-à-dire la pédagogie d’un côté, et le contrôle avec éventuellement des sanctions de l’autre ».

Mais en se focalisant uniquement sur les sanctions, de nombreuses entreprises se sont dit qu’elles ne risquaient rien, la CNIL se concentrant sur les grands groupes et les GAFAM (Google, Amazon, Facebook, Apple et Microsoft) pour montrer l’exemple. Et l’actualité des sanctions leur a donné raison. En janvier dernier, la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de la société GOOGLE LLC en application du RGPD pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ».

Attention aux CNIL européennes

Un an après, « nous restons en France dans une logique de « pas vu, pas pris » et on attend de voir comment la CNIL va réagir », constate Maître Anne-Sophie POGGI, Avocate à la Cour spécialisée en droit de la donnée.

Mais les entreprises ont tort de croire que les sanctions ne peuvent venir que de la CNIL. Premièrement, une CNIL italienne ou allemande par exemple peut demander des comptes à une entreprise française si elle a reçu des plaintes de citoyens italiens ou allemands. Le RGPD est en effet un règlement européen qui protège tous les citoyens de l’UE ! Deuxièmement, le donneur d’ordre français (ou, là aussi, européen) d’un sous-traitant français peut aussi exiger que celui-ci prouve sa conformité sous peine de perdre ce contrat…

Le RGPD instaure en effet une coresponsabilité entre les entreprises et leurs sous-traitants. Une entreprise peut donc mandater un cabinet spécialisé pour réaliser des audits RGPD et de sécurité (les deux étant liés, contrairement à ce que pensent à tort de nombreux professionnels) afin de vérifier que les données personnelles qu’elle leur confie sont bien protégées…

Les entreprises sont loin d’en avoir fini avec le RGPD. Ce n’est que le début !


Pour aller plus loin