Fermer la publicité
Journal d'information juridique et d'annonces légales

RGPD, quel bilan un an après ?

le - - Droit

RGPD, quel bilan un an après ?
© D.R.

Déjà un an que le fameux Règlement général européen 2016/679 sur la protection des données à caractère personnel – le RGPD – est entré en application et que les organisations doivent être en conformité. Si la grande majorité d'entre elles ne l'est toujours pas, elles semblent toutefois avoir pris conscience de l'importance du chantier et se sont lancées dans la cartographie des données.

Cette année, la mise en conformité avec le nouveau règlement européen sur le digital, le fameux RGPD, est une question centrale pour la gouvernance des entreprises et des associations.

Il était urgent pour ces dernières de s'y soumettre, notamment au regard des lourdes sanctions qu'il prévoit. Ce n'est pas sans accompagnement que les organisations ont redoublé d'efforts pour se mettre dans les rails de la protection des données.

Maîtriser les notions clés

Premier acteur impliqué, et pas le moindre puisqu'il s'agit de l'autorité de contrôle française, la Commission nationale informatique et liberté (Cnil) a mis les bouchées doubles pour aider les organisations.

Elle a d'abord mis en ligne un logiciel PIA (Privacy Impact Assessment) téléchargeable gratuitement, disponible en français et en anglais, dont elle a récemment sondé la satisfaction des utilisateurs.

Guillaume Desgens-Pasanau, ex-directeur juridique de la Cnil, explique : « Le RGPD prévoit que, pour certains types de traitement de données, les responsables devront rédiger une étude d'impact dont l'objectif est de vérifier les enjeux de protection et évaluer le niveau de risque en matière de protection de la vie privée. Ce document pourra être communiqué sur demande à la Cnil, qui pourra d'ailleurs faire dans certains cas des remarques et bloquer la mise en œuvre du traitement pendant quelques semaines. La Cnil a donc mis en ligne un logiciel libre qui permet de préparer ce fameux document. C'est un outil d'aide à la décision qui va assister le professionnel sur les informations qu'il doit renseigner et comment évaluer le niveau de risque par rapport à un traitement. »

La Cnil a ensuite proposé un Mooc (massive open online course) structuré en quatre modules d'une durée moyenne de 5 heures a été élaboré par ses juristes et experts. Cette formation en ligne ouverte à tous est composée de vidéos, d'illustrations et de cas concrets et propose des quizz et des évaluations. Dans la continuité du guide pratique pour les TPE-PME élaboré avec Bpifrance, la Cnil propose au téléchargement un nouveau modèle de registre des activités de traitement, destiné à faciliter sa prise en main et sa tenue.

De son côté, le Medef a développé deux outils pratiques. D'une part, un outil d'autodiagnostic (rgpd.medef.com), et d'autre part un Mooc, développé en partenariat avec le cabinet d'avocats De Gaulle Fleurance & Associés (moncampusnumerique.fr.) qui propose aux adhérents du syndicat patronal d'accéder gratuitement à des contenus pédagogiques.

Les professionnels du droit, avocats et juristes d'entreprise en tête, ont aussi joué un rôle pédagogique très important pendant cette période de transition.

Risque de sanction accru

Le RGPD prévoit des sanctions d'ampleur inégalée : des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % de leur chiffre d'affaires annuel mondial, et ce pour atteindre les Gafam.

Désormais, les responsables de traitement de données et les sous-traitants peuvent faire l'objet de sanctions administratives importantes en cas de méconnaissance des dispositions du RGPD. Les autorités de protection peuvent notamment : prononcer un avertissement ; mettre en demeure l'entreprise ; limiter temporairement ou définitivement un traitement ; suspendre les flux de données ; ordonner de satisfaire aux demandes d'exercice des droits des personnes ; ordonner la rectification, la limitation ou l'effacement des données.

La Cnil ne cesse d'instruire des plaintes à l'encontre des géants du net comme Google et Facebook, des leaders du commerce électronique ou des spécialistes des paiements ou de publicité en ligne.

50 millions : Google prend cher

La Commission nationale informatique et liberté (Cnil) a prononcé en janvier dernier une sanction d'ampleur de 50 millions d'euros à l'encontre du géant du net Google en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable sur la personnalisation de la publicité.
C'était la première fois que la Cnil faisait application des nouveaux plafonds de sanctions prévus par le RGPD. Le montant retenu, ainsi que la publicité de l'amende, se justifient, selon elle, par la gravité des manquements constatés qui concernent des principes essentiels du règlement : la transparence, l'information et le consentement.
Cette sanction se justifie aussi et surtout compte tenu de la place prépondérante qu'occupe le système d'exploitation Android sur le marché français touchant des millions d'utilisateurs chaque jour, et parce que les manquements retenus perdurent.
De plus, la formation restreinte de la Cnil a souligné que le modèle économique de Google repose en partie sur la personnalisation de la publicité de sorte que lui incombe une responsabilité toute particulière dans le respect de ses obligations.

Réaction et création de valeurs

Cet état de fait provoque des frissons chez de nombreux chefs d'entreprise, directeurs juridiques et directeurs des systèmes d'information (DSI) qui musclent leur dispositif de cybersécurité.

En effet, pour la grande majorité d'entre eux, le “projet RGPD” est loin d'être achevé. Comment affiner les prises de décision et mettre en place une bonne cartographie des risques ? Qu'attendre de ses sous-traitants en informatique ? Comment procéder à l'étude d'impact pour la mise en place du PIA ? Quelles sont les bonnes pratiques en cas de contrôle de la Cnil ? Comment anticiper sa gestion de crise ?

Le côté positif c'est que les dirigeants semblent avoir compris qu'il s'agit d'un projet organisationnel de gouvernance à mener dans toute la structure, et pas uniquement sur la digitalisation. Promu par certains grands groupes comme vecteur de croissance, la conformité RGPD est connue des dirigeants de TPE-PME.

Selon une étude Ifop pour Kaspersky Lab et Euler Hermes, six mois après sa mise en application, 55 % des décideurs au sein de PME françaises déclarent avoir renforcé leurs mesures de sécurité. Mieux encore, ils sont 47 % à classer le Big data et l'analyse des données en tête des technologies porteuses d'opportunités au cours des deux prochaines années.

Les scandales “Cambridge Analytica” et “Christchurch” ont poussé Mark Zuckerberg, récemment invité à l'Élysée, a rappelé que la plateforme travaille activement à la protection des données de ses utilisateurs. La saison 3 du programme Startup Garage de Facebook, lancée cette année à l'incubateur Station F, est d'ailleurs dédiée à l'accompagnement d'une dizaine de jeunes pousses sur le traitement des données personnelles.

Les experts sont unanimes, le véritable challenge est de maintenir une cartographie dynamique dans une entreprise. En effet, l'écosystème du traitement de données à caractère personnel est vivant et complexe. La mise en conformité RGPD est donc un processus continu avec des choix à faire régulièrement.

En outre, « l'adoption de ce règlement aura permis à l'ensemble des organisations de monter en maturité en matière de sécurité. Nous l'avons d'ailleurs observé dans notre rapport annuel des menaces (MTREND 2019) avec une baisse du temps moyen de persistance de l'attaquant sur les réseaux de leurs victimes et ce grâce à de meilleurs capacités de détections », commente David Grout, CTO de la zone Europe de FireEye, entreprise de sécurité informatique américaine.

Un an après cette application, on peut donc considérer que le règlement est un succès et une belle avancée pour les entreprises et les citoyens européens en termes de sécurité des données.




Anne MOREAUX
Journaliste

Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer