Mise en conformité RGPD, 1 an plus tard

Geneviève SAQUET
Geneviève SAQUET
Mis à jour le 2019-12-17
Share LinkedIn

Le samedi 25 mai 2019, le Règlement général sur la protection des données (RGPD) sera entré en application depuis un an très exactement. Le bilan est assez contrasté en la matière.

Pour rappel, le RGPD était venu remplacer la directive de 1995 sur la protection des données personnelles. Ce règlement a créé de nouveaux droits au profit des personnes concernées par le traitement de données : le droit à la portabilité des données ainsi que le droit à l’effacement des données.

Il a également imposé de nouvelles obligations aux entreprises traitant des données à caractère personnel. A ce titre, trois contraintes principales se dégagent du Règlement. Le principe d’accountability élargit le devoir de déclaration à la CNIL des traitements de données à caractère personnel présentant un risque pour la vie privée incombant aux entreprises. Depuis l’an dernier, celles-ci doivent mettre en oeuvre des “mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque”, mais aussi tenir un registre des traitements de données opérés. Également, le RGPD a pu renforcer le principe de consentement préalable à la collecte et au traitement des données de la personne concernée. Enfin, de nouvelles sanctions ont été mises en places : elles peuvent atteindre 4% du chiffre d’affaires annuel mondial.

Tout ça n’est pourtant que théorique… Alors, quel est le bilan réel du RGPD, un an après son entrée en application ?

Une situation contrastée pour les personnes concernées par les traitements de données

Ce sont d’abord les personnes concernées qui ont bénéficié des nouvelles règles du RGPD. En effet, un sondage IFOP, réalisé pour la CNIL en avril dernier, révèle que les Français sont 70% à se dire plus sensibles à la protection des données personnelles. Cette sensibilité accrue des citoyens touche tous les domaines dans lesquels sont traitées des données personnelles, et explique en partie l’augmentation des plaintes que la CNIL a reçu depuis l’entrée en application du règlement : en janvier 2019, le record avait été battu, avec 11 077 plaintes reçues. Les derniers chiffres recensent près de 145 000 plaintes reçues dans toute l’Union Européenne.

La plupart de ces plaintes portent sur la diffusion de données sur Internet, mais aussi le commerce en ligne et les ressources humaines. La société civile prend une part très importante dans l’application du RGPD. L’association UFC-Que Choisir a introduit un certain nombre de plaintes, alors que la Quadrature du Net et l’ONG None of your Business ont pu agir contre Google auprès de la CNIL.

Cependant, malgré cette sensibilité renforcée à l’égard de la protection des données personnelles, on a pu remarquer que les dispositions prises par les entreprises concernant le consentement et l’information des personnes concernées n'ont pas toujours l'impact attendu. Comme les conditions générales d’utilisation ou les mentions légales, l’utilisateur lira la politique de confidentialité et le message de consentement soit en diagonale, soit pas du tout, afin d’en être débarrassé.

Enfin, les citoyens semblent s’estimer impuissants face aux agissements d’entreprises peu respectueuses de la vie privée comme Facebook ou Google.

Des impacts négatifs sur les entreprises

En une année de RGPD, la CNIL (Commission nationale Informatique et Libertés) a pu avoir l’occasion d’utiliser les nouveaux pouvoirs que lui a conféré le Règlement. A ce titre, elle a notamment réalisé 310 contrôles en 2018, 49 mises en demeure ont été adoptées, pour 11 sanctions prononcées. Les secteurs les plus visés ont été les assurances et les entreprises de ciblage publicitaires.

Après un an d’application du RGPD, la CNIL va commencer à réellement sanctionner les entreprises non-conformes. Désormais, les sous-traitants pourront aussi être sanctionnés (jusqu’à maintenant, seuls les responsables de traitement étaient concernés) et les contrôles vont être renforcés. La commissaire européenne Věra Jourová a comparé le texte à “un bébé d’un an qui a de l’appétit et qui est très agile”.

Pourtant, les PME et TPE tiennent la place des laissées pour compte dans ce grand tableau européen. La plupart d’entre elles ne sont toujours pas conformes au RGPD, et certaines n’ont pas l’intention de le faire. C’est souvent l’argument financier qui ressort, étant donné que les prestations de mise en conformité coûtent souvent très cher. Ainsi, ces entreprises ne voient pas toujours la valeur-ajoutée que peut leur apporter le RGPD et son influence positive sur le marketing, l’image de marque ou encore la relation client.

C’est dans cette veine que Blockproof a développé un logiciel RGPD, destinée aux TPE et PME, permettant une mise en conformité rapide et à moindre coût. On fixe une démo gratuite?