50 millions d’euros ! C’est le montant de l’amende record notifiée en janvier dernier à Google LLC par la Commission Nationale Informatique et Libertés (CNIL). En cause, le non respect du Règlement Général sur la Protection des Données personnelles (RGPD) entré en vigueur le 25 mai 2018. Au programme : manque de transparence dans le traitement des données personnelles, information insuffisamment claire et compréhensible, absence de consentement pour la personnalisation de la publicité. Dans le sillage de Dailymotion ou d’Uber, neuf sanctions pécuniaires et 48 mises en demeure (dont treize publiques) sont également tombées. Les autorités de protection des données de l’UE, homologues de la CNIL, ont reçu au total plus de 95 000 plaintes de citoyens depuis mai 2018, dont 65 000 concernaient des failles de données, selon une étude du cabinet d’avocats. Bref, la non conformité peut coûter cher : jusqu’à 4% du chiffre d’affaires. Mais alors, au bout d’un an, quel est l’impact du RGPD dans les entreprises ? Et comment celles qui sont encore à la traîne peuvent-elles s’organiser ?
La France 10ème des 28 États-membre
Selon une étude d’ImmuniWeb, 83% des 100 sites français les plus populaires échouent aux contrôles de conformité RGPD avec une politique de confidentialité manquante ou difficile à obtenir (50% d’échecs), une utilisation non sécurisée des cookies manipulant des données potentiellement sensibles (80% d’échecs) ou un cryptage manquant (10% d’échecs). Au final, la France que ne se classe qu’au 10ème rang des 28 États-membres.
Les TPE et PME en retard
« 70 à 80% du RGPD étaient déjà présents dans les réglementations française et européenne. Les grandes organisations avaient déjà initié des programmes de conformité, rappelle Albine Vincent, responsable des Délégués à la Protection des Données (DPD) [Data Protection Officer (DPO] à la CNIL. Ce chantier doit être impulsé par le top management. A l’heure du numérique, il est trop risqué de ne pas sécuriser les données à caractère personnel (DCP). » Quant aux TPE et PME, elles sont majoritairement à la traîne. Pour les aider à se mettre en conformité, la CNIL et Bpifrance ont réalisé conjointement le Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises. Simple, limpide et pragmatique, l’ouvrage propose de passer à l’action en quatre étapes. Il s’agit d’abord de cartographier les données personnelles (Quelle est leur nature ? Où sont-elles ? Qui en est responsable ?) puis de construire le registre de leurs traitements (marketing, recrutement, paie, gestion commerciale, contrôle d’accès, etc.) en évaluant les risques pour les personnes et pour l’entreprise. Après quoi, il faut détruire les données inutiles. A cet égard, la CNIL donne à télécharger un registre type des traitements sous forme de tableau Excel.
Tous les services impactés
Reste à respecter l’obligation de transparence en indiquant la raison de la collecte des DCP, ainsi que le processus pour les modifier ou les retirer de la base de données. Ce qui impose de mettre en place une véritable gouvernance des DCP. Les plateformes en ligne, comme celles de PeopleDoc ou de Data Legal Drive, offrent ainsi une infrastructure collaborative pour mettre en œuvre cette gouvernance. Enfin, le RGPD impose de sécuriser les données, donc le système d’information. « Le RGPD impacte tous les services de chaque organisation. Au niveau opérationnel, n’importe quel salarié peut être concerné », avertit Florence Bonnet, directrice chez TNP Consultants qui accompagne les entreprises dans leur mise en conformité au règlement européen. Les salariés, et parfois même les dirigeants, manquent d’acuité dans le perception du risque. Pour preuve, la plupart des ordinateurs portables perdus ne sont pas cryptés.
DPO : un oiseau rare
Dans l’administration publique, dans dans les sociétés qui gèrent des données sensibles (santé, opinions politiques, profilage d’individus, etc.), orchestrer la gouvernance des données réclame d’embaucher un DPO en interne. A savoir « un profil qui connaît bien la réglementation, l’organisation d’internet, la culture de l’entreprise ainsi que son secteur d’activité, précise Albine Vincent. Il doit être capable de dialoguer avec tous les services (informatique, juridique, sécurité, marketing, RH, commercial, la conformité, etc.) » On s’en doute, le DPO doit être dans la boucle dès le démarrage du moindre projet numérique, afin de garantir le respect des DCP (Privacy by Design) et la sécurité du système d’information (Security by Design). Autant dire qu’il s’agit d’un oiseau assez rare. Les autres entreprises peuvent alors « recourir à des cabinets de DPO externalisés », reprend l’experte de la CNIL qui, dans quelques jours, en publiera la liste avec formulaire de contact. Comme il n’existe pas de certification pour ces cabinets, le dirigeant devra en vérifier le sérieux par lui-même. Il pourra envisager de renforcer sa gouvernance en organisant avec son DPO sa cellule de crise avant de subir une fuite de données, une faille de sécurité ou une cyberattaque.
Erick Haehnsen
* https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement
Commentez