Restez connectés

Formulaire de recherche

Le RGPD un an après : bilan et impacts

C’est l’heure du bilan ! Un an après l’entrée en application du RGPD (Règlement européen sur la protection des données), ne pas être en conformité peut avoir de fortes conséquences sur l’entreprise. Comme l’a précisé Marie-Laure Denis, Présidente de la Commission nationale Informatique et Libertés dans un article des Echos, du 15 avril dernier « La CNIL vérifiera pleinement à partir de maintenant le respect des obligations. Trois ans après l'adoption du RGPD et un an après son entrée en vigueur, c'est la fin d'une forme de tolérance ».
Quelles sont les actions pour se mettre en conformité ? Quel est le niveau de conformité des entreprises ? Quels sont les points de vigilance identifiés ? Quels sont les impacts et les risques de ne pas appliquer le règlement européen sur la protection des données ? Quel est le bilan à un an ?

Plus

Plus de 30 cadres d’entreprise étaient présents le 13 juin pour la 1ère conférence de Ressources Transition, le cabinet de management de transition qui accompagne les clients dans des contextes de transformation, d’amélioration de la performance et des projets de crise. Deux intervenants ont pu partager leurs retours d’expériences. Merav Griguer, Associée du cabinet d’avocats international Bird&Bird et David Laniado, DPO et DSI de Ressources Transition et du Groupe Fed, premier groupe français indépendant de recrutement.

1. Les actions de mise en conformité au titre du RGPD

La CNIL indique 4 actions de conformité à mener pour une entreprise :

  • Désigner un pilote pour informer et conseiller, pour coopérer avec les autorités de contrôle, pour dispenser des conseils sur demande mais aussi pour contrôler.

  • Cartographier les traitements en établissant un registre, déterminer si la base légale du traitement est conforme au RGPD, vérifier que les principes relatifs au traitement des données sont respectés.

  • Prioriser les actions concernant les mesures de sécurité, le droit des personnes, le respect des principes fondamentaux du RGPD et élaborer les contrats en fonction des dispositions obligatoires des articles 28 et 26 du RGPD. Mais aussi gérer les risques en élaborant un PIA (analyse d’impacts sur la protection des données).

  • Organiser des processus internes, notamment à travers la mise en place :

  1. d’une politique de confidentialité
  2. d’une analyse d’impacts sur la protection des données si nécessaire
  3. d’une politique de sécurité des données
  4. de procédures de gestion des plaintes des personnes concernées et de gestion des failles de sécurité
  5. d’une politique de conservation des données
  6. d’un registre des activités de traitements ou encore une procédure/checklist "Privacy by design-by default"
  7. de documenter la conformité à chaque étape grâce au Délégué à la protection des données (DPO)

                                                           

 

Source : « © Bird&Bird » (pour copyright Bird & Bird)

     2. Quel est le niveau de conformité des entreprises ? 

En termes de bilan, Merav Griguer, Associée Bird&Bird affirme qu’« aucune entreprise ne peut se revendiquer conforme à 100 % mais qu’il est important de raisonner par priorités à courts termes ». Globalement, les entreprises ont, jusqu’à aujourd’hui, réalisé et élaboré :

  • un audit RGPD et un plan d’actions,
  • une cartographie de leur traitement,
  • une politique de protection des données.

On observe quelques points bloquants. Les outils CRM étant antérieurs au RGPD et la question de la gestion de la durée de conservation des données étant difficile, la mise en conformité est complexe à mettre en œuvre et reste un sujet inachevé. Aussi, pour se conformer au maximum, il faut procéder par priorités en minimisant et sécurisant les données et en optimisant la gouvernance (mise en conformité des solutions en amont, gestion des transferts de données) !

  3.  Quels sont les points de vigilance et les actions à renforcer en vue de la stratégie de contrôle de la CNIL pour 2019 ? 

La CNIL va principalement sanctionner les manquements suivants :

  • Le non-respect des obligations de transparence et d'information : on constate notamment que l'accessibilité de l'information n'est pas respectée. En effet, cinq ou six étapes sont nécessaires pour accéder à cette dernière et les informations prévues à l'article 13 du RGPD sont extrêmement dispersées sur trois documents. La description des données à caractère personnel recueillies auprès de sources extrêmement variées est également imprécise et incomplète.

  • Le non-respect de l'obligation de disposer d'une base légale pour le traitement de la personnalisation publicitaire : les informations relatives au traitement de publicité ciblée ne sont pas facilement accessibles, claires et compréhensibles. L'utilisateur est tenu d'accepter immédiatement tous les traitements mis en œuvre par Google, y compris ceux concernant la publicité ciblée ou la reconnaissance vocale. 

Pour ces manquements, Google a été sanctionné, en janvier 2019 par une amende de 50 millions d’euros assortie de la publicité de la sanction.

Afin de contrôler la conformité des entreprises au RGPD, la CNIL vise  3 objectifs en 2019/2020 :

  1. mettre en place le respect effectif des droits des personnes en apportant une réponse claire, complète et dans les délais impartis.

  2. renforcer le traitement des données des mineurs (Biométrie, réseaux sociaux etc…)

  3. orienter les contrôles sur l’existence et le respect du contrat de sous-traitance en ayant une meilleure répartition des responsabilités entre les responsables de traitement et les sous-traitants.

                                                                               

 

Source : « © Bird&Bird » (pour copyright Bird & Bird)

 4.  Quels sont les impacts et les risques du RGPD ? 

Une mauvaise application des dispositifs du RGPD - tels que l’incohérence du registre des traitements, la mauvaise qualification des parties,  des failles de sécurité ne concernant pas des données - peut être sanctionnée par la CNIL.

Aussi, selon l’article 83 du RGPD, les violations identifiées ci-dessous peuvent induire des sanctions financières. David Laniado, DSI et DPO du Groupe Fed et du cabinet Ressources Transition et Merav Griguer, Associée chez Bird&Bird, identifient deux catégories de violations. La première, relative aux manquements à l’obligation de traitement loyal des données collectées, au traitement de données sensibles ou encore à la portabilité des données à caractère peuvent entrainer jusqu’à 4 % du chiffre d’affaires mondial annuel de l’entreprise et 20 millions d’euros d’amende. La deuxième concerne le défaut du registre des traitements, l’absence de notification d’une faille de sécurité, le manquement à l’obligation de sécurité etc… qui peuvent être sanctionnés par une amende pouvant aller jusqu’à 2 % du chiffre d’affaires mondial annuel de l’entreprise et 10 millions d’euros d’amende.

5.  Suite à la mise en place du RGPD, quel est le bilan à un an ? 

On constate une prise de conscience importante des individus et des professionnels concernant le RGPD. Le bilan en quelques chiffres se traduit par une augmentation de 30 % des plaintes à la CNIL (11 900 en France pour plus de 140 000 en Europe) et une accentuation de la coopération au niveau européen entre les autorités de protection des données (plus de 1 000 procédures dont 800 appliquant la CNIL). Aussi 70 % des Français sont plus sensibles à la protection des données personnelles et les demandes de renseignements de la part des professionnels de la CNIL sont en augmentation constante (plus de 8 millions de visites sur le site de la CNIL).

La CNIL souhaite également instaurer la confiance dans le numérique en crédibilisant la nouvelle réglementation, en mettant fin à la période de transition entre l’adoption et l’entrée en vigueur du RGPD, en étant plus stricte envers les entreprises. Elle souhaite aussi accentuer la dynamique de conformité de la CNIL (plan d’accompagnement auprès des collectivités territoriales, contenus dédiés aux startup, élaboration de référentiels, point de contact des professionnels).

La CNIL souhaite en outre faciliter l’accès des particuliers au DPO afin qu’ils puissent le saisir pour exercer leurs droits via un moteur de recherche. Pour les professionnels, la CNIL proposera des formations en ligne dans un but d’aider à se mettre en conformité ainsi qu’un modèle de registre des activités de traitement pour mener à bien l'obligation d'Accountability et  un outil PIA sous forme d'un logiciel libre.

Rejoignez nous

Si vous vous retrouvez dans ce descriptif, votre profil nous intéresse, n’hésitez pas à nous contacter.

Devenir manager de transition