Gérer les risques
Aujourd'hui et demain

Cybersécurité

RGPD : une marge de progression importante

Neuf mois après son entrée en vigueur, les amendes pleuvent en cas de non respect du RGPD. S'il y a de bons élèves, surtout chez les entreprises exploitant des sites Web et mobiles, la marge de progression demeure importante en matière de consentement.

250 000 euros d’amende pour Optical Center, 400 000 euros pour Uber, 250 000 euros également pour Bouygues Telecom. Et même 50 millions d’euros pour Google LLC le 21 janvier dernier ! Telles sont les amendes qu’inflige en France la formation restreinte de la Commission Nationale Informatique et Libertés (CNIL) depuis l’entrée en vigueur dans toute l’Union européenne, le 25 mai dernier, du Règlement Général sur la Protection des Données personnelles (RGPD). La menace financière est telle et la mise en œuvre des mesures nécessaires si complexe que de nombreux dirigeants d’entreprise retardataires cherchent à savoir s’il est possible de contourner le RGPD. La réponse est définitivement : non !

Six réflexes à adopter d’urgence
On ne saurait que trop conseiller aux responsables d’entreprise et aux managers de télécharger le Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises élaboré par la CNIL et Bpifrance. En 62 pages, celui-ci propose une méthodologie simple, limpide et pragmatique. De même, le site de la CNIL conseille d’adopter six réflexes. Tour d’abord, il convient de ne collecter que les données vraiment nécessaires. Il faut alors se poser les bonnes questions : « Quel est mon objectif ? », « Quelles données sont indispensables pour atteindre cet objectif ? », « Ai-je le droit de collecter ces données ? »,  » Est-ce pertinent ? », « Les personnes concernées sont-elles d’accord ? ». Second réflexe : la transparence. Une information claire et complète constitue le socle du contrat de confiance qui lie l’entreprise avec les personnes dont elle traite les données. L’objectif vise alors à indiquer la raison pour laquelle les données à caractère personnel (DCP) sont collectées.
Dans la foulée, le troisième réflexe porte sur le respect des droits des personnes. Il s’agit ici de décrire clairement le processus auquel accéderont les personnes qui voudraient modifier leurs DCP ou les retirer de la base de données. Le quatrième réflexe concerne la maîtrise des données. Contrairement au trois premiers, celui-ci est plus délicat, mais il est aussi indispensable puisqu’il impose de contractualiser le partage et la circulation des DCP afin d’assurer leur protection à tout moment. Le cinquième réflexe porte sur l’identification et la gestion des risques susceptibles de survenir en matière de gros volumes de données ou de données particulièrement sensibles. Enfin, le sixième réflexe vise à sécuriser le système d’information de l’entreprise ainsi que l’accès physique aux données.

Une évolution positive dans le Web et le mobile

Où en sont les sociétés françaises ? Les entreprises qui exploitent des sites Web et mobiles dans les secteurs média-presse, banque-assurance, immobilier, voyages, rencontres, comparateurs, télécoms, commerce, luxe et réseaux sociaux ont considérablement adapté leurs pratiques au RGPD, selon le dernier baromètre Converteo. Pour preuve, 78% d’entre elles ont adopté une charte sur la gestion des données personnelles. 67% ont également mis en place des « Privacy Centers » sur leurs sites pour gérer le consentement des utilisateurs. Il y a un an, 12% des sites audités ne donnaient aucune information sur les données collectées et traitées, tandis que 84% des acteurs ne précisaient ni les destinataires ni les informations de partage des données personnelles.
Globalement, on note une meilleure information des utilisateurs sur l’exercice de leurs droits RGPD. D’ailleurs, 88% des acteurs indiquent le contact du DPO (Data Protection Officer) et la marche à suivre de manière claire (mail, courrier, etc.). Et 15% des sites ont développé des interfaces d’exercice des droits web pour permettre aux personnes d’accéder à leurs données, les modifier ou les retirer. Qui plus est, depuis mai 2018, le sujet des cookies est également pris très au sérieux par les annonceurs. A cet égard, 86% de bandeaux cookies sont correctement implémentés et 18% des acteurs vont jusqu’à intégrer un Cookie Center. En revanche, les entreprises sont à la traîne en termes de recueil du consentement des internautes. Alors que celui-ci doit être donné de manière spécifique, éclairée et univoque, les intentions restent floues. A ce titre, seulement 30% des personnes ne savent qu’il sera utilisé à des fins de prospection commerciale, 16% pour la personnalisation et 2% pour le scoring et les statistiques.

Exemple de Privacy Center de l’espace client d’Orange.
© Converteo
Exemple de Privacy Center de l’espace client d’Orange.
© Converteo

Utiliser une application pour détecter les erreurs

C’est dire si les entreprises, notamment les TPE et PME, ont besoin d’affiner leurs règles de collecte et de traitement des données personnelles. Surtout en matière de « données sensibles », qui nécessitent une vigilance particulière. Elles concernent les informations révélant l’origine ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou l’orientation sexuelle. Sauf consentement explicite de la personne, le recueil et le traitement de ces données sont interdits. D’où l’intérêt de les détecter au plus tôt. A cet égard, Coheris propose RGPD Spot, un outil simple et rapide pour identifier à la volée les données interdites par le RGPD. Il s’agit d’une extension qui s’installe dans le navigateur web (Firefox ou Chrome) de l’utilisateur afin d’identifier les données sensibles qui sont saisies à la volée. L’utilisateur peut alors vérifier la présence de données sensibles dans le texte qu’il est en train de taper. Un message d’alerte lui apparaît si celui-ci contient des données sensibles. Il peut ainsi corriger leur saisie immédiatement.

Erick Haehnsen

Exemple de message d’alerte pendant la saisie de données
sensibles. © Coheris
Exemple de message d’alerte pendant la saisie de données
sensibles. © Coheris

Commentez

Participez à la discussion

Suivez-nous