Mise en conformité RGPD : Où en est-on, trois ans après ?

Le 25 mai 2018 entrait en vigueur le Règlement Général pour la Protection des Données Personnelles en Europe. Il s’agit d’un ensemble de dispositions relatives aux contrôles, aux mises en demeure et aux sanctions pouvant être prononcées par la CNIL(Commission Nationale de l’Informatique et des Libertés), en cas de manquements ou de non-respect des consignes/contraintes du règlement.

RGPD : Qu’est-ce que c’est concrètement ?

Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Régulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…).

Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant. Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.

En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

  • Qu’elle est établie sur le territoire de l’Union européenne,
  • Ou que son activité cible directement des résidents européens.

Par exemple, une société établie en France, qui exporte l’ensemble de ses produits à l’étranger pour ses clients doit respecter le RGPD. De même, une société établie à l’étranger, proposant un site de e-commerce en français ou en Europe livrant des produits doit respecter le RGPD.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes. Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

Où en est-on en France vis-à-vis du RGPD ?

47% des entreprises et des organismes publics estiment avoir atteint « un niveau de complétude » supérieur à 70% concernant le RGPD, rapporte une enquête menée par Data Legal Drive en partenariat avec Lefebvre Dalloz et l’Association française des juristes d’entreprise. Les niveaux de cybersécurité et de formation des salariés sont également en augmentation. Cette enquête, menée auprès de 348 délégués à la protection des données (DPO) et juristes travaillant dans le secteur privé ou public entre le 8 avril et le 2 mai 2021, montre une prise en compte croissante de ce texte.

Un renforcement global de la Cybersécurité des entreprises

Une enquête révèle que la sécurité informatique dans les entreprises est en hausse : 65% des structures interrogées ont accéléré et renforcé leur cybersécurité en instaurant de nouvelles mesures. C’est deux fois plus que l’an dernier, note l’enquête. Ainsi, 64% des DPO déclarent avoir réalisé des audits du niveau de sécurité sur leur site Internet.

Cette prise en compte croissante s’illustre également sur l’importance donnée à la formation des collaborateurs. Plus de 7 salariés sur 10 disent être de plus en plus attentifs à la protection des données au sein de leur entreprise. Pour former leurs collaborateurs, les entreprises privilégient les réunions, la diffusion d’informations et la communication en interne. Cependant, communiquer n’est pas équivalent à former : Il est primordial de penser à former et sensibiliser effectivement les collaborateurs dans leur ensemble, sur les enjeux liés au respect du RGPD

Notons qu’en 2020, la CNIL a enregistré plus de 13000 plaintes et infligé l’équivalent de centaines de millions d’euros d’amendes. Ce sont Google et Amazon qui ont reçu les amendes les plus élevées avec 100 et 40 millions respectivement pour des violations liées à la réglementation sur les cookies. Ils sont suivis par Carrefour qui a écopé d’une amende de plus de 3 millions d’euros pour de très nombreux manquements au RGPD (Article complet).

Les niveaux de cybersécurité et de formation des salariés sont globalement en augmentation en France. Cependant, des efforts restent encore à faire, notamment dans certains secteurs. 37% des répondants révèlent un taux de complétude inférieur à 50%. Parmi les secteurs les plus retards d’après l’étude, on trouve l’éducation, la santé (En décembre 2020, la CNIL a infligé deux amendes de 3000 et 6000 euros à l’encontre de deux médecins libéraux pour avoir non convenablement protégé les données personnelles de leurs patients) ainsi que les banques et assurances.

Comment expliquer que ces grandes entreprises (Google et Amazon qui devraient être aux normes) sont encore sujettes à de telles amendes ? Cela voudrait donc dire que malgré les efforts qui sont faits, il subsiste encore des points d’amélioration, même chez ces géants. Et si de telles enseignes ‘’ne respectent pas effectivement TOUTES les contraintes du RGPD ‘’, qu’en serait-il des plus petites marques ? Voire des TPE – PME ?

  • Prenons maintenant du recul par rapport à l’enquête

Les résultats de l’étude sont donnés sur un échantillon de 348 entreprises, et la France compte des millions d’entreprises, de tailles diverses et affiliées à divers secteurs d’activités. Si nous nous fions uniquement à cette enquête, nous nous rendons aisément compte que les résultats ne sont pas forcément exacts pour un échantillon d’entreprises plus important.

Rappelons que le RGPD est entrée en vigueur depuis maintenant 3 ans, et pourtant de grands groupes tels que Google et Amazon, continuent de subir l’équivalent de centaines de millions d’euros d’amendes. Cela veut dire que tous les points contraignants du RGPD ne sont pas encore respectés, beaucoup d’efforts restent à être fournis, aussi bien par les grandes entreprises que les moins importantes.

Les prises de consciences sont certes effectives, néanmoins il reste beaucoup d’efforts à fournir de la part de l’ensemble des entreprises, et de tous les secteurs d’activités. Plusieurs entreprises (grandes comme petites), continuent de subir des attaques ou tentatives d’attaques informatiques en tout genre. Ces attaques visent, la plupart du temps, à dérober ou pirater vos données.

La sécurité complète de l’infrastructure numérique fait partie intégrante de la mise en conformité RGPD, mais pas seulement. La sauvegarde des données, la protection des infos utilisateurs, la formation et la sensibilisation des collaborateurs en font également partie ; Weodeo peut vous accompagner sur ces questions.

Et vous ? Où en êtes-vous, vis-à-vis de la mise en conformité RGPD ? Votre infrastructure numérique est-elle complétement sécurisée, et à l’abris de vol de données de vos clients ? La mise en conformité RGPD passe par ces points clés, et bien d’autres encore.

Une réaction sur “Mise en conformité RGPD : Où en est-on, trois ans après ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *