Bilan du RGPD 2 ans après – Paroles d’experts
Publié le lundi 17 février 2020
Pour aller plus loin, l’IEEPI vous propose la formation suivante :
Paroles d’experts : Charlotte Baldassari
L’IEEPI donne la parole à ses experts, aujourd’hui Charlotte Baldassari, Avocate au Barreau de Marseille, Spécialiste en droit des nouvelles technologies.
Elle nous propose une analyse sur :
RGPD : Retour sur la mise en œuvre de cette réglementation presque deux après son entrée en vigueur.
Sans nul doute, le RGPD a marqué une véritable prise de conscience des enjeux de la protection des données personnelles mais a suscité beaucoup d’inquiétudes de la part des entreprises. Retour sur la mise en œuvre de cette réglementation presque deux après l’entrée en vigueur de ce texte..
Quel a été le rôle pratique de la Commission Nationale Informatique et Liberté (CNIL) en matière d’accompagnement pour la mise en conformité au RGPD ?
Dès le début, la CNIL a publié de nombreux articles afin de faciliter la compréhension des nouvelles obligations découlant du Règlement. Elle a également rédigé un grand nombre de guides, de modèles et de méthodes à la disposition des entreprises pour se conformer à la réglementation, comme le dernier en date qui concerne spécifiquement les développeurs web.
En outre, la Commission a développé un logiciel open source gratuit afin de faciliter la conduite et la formalisation de l’analyse d’impact sur la vie privée (PIA) et a mis en place un « Atelier RGPD » gratuit et accessible en ligne jusqu’au 21 septembre 2021.
Autant d’outils pratiques qui permettent aux entreprises d’être accompagnées pour mettre en œuvre cette réglementation.
Les sanctions infligées depuis l’entrée en vigueur du RGPD n’ont visé jusqu’à présent principalement que des grandes entreprises. Pensez-vous que la politique de répression va changer en 2020 ?
En 2019, une dizaine de sanctions ont été prononcées en France dont la plus sévère a condamné GOOGLE LLC le 21 janvier 2019 à une amende de 50 millions d’euros pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ».
Bien que les GAFAM (dont Google, Facebook et Amazon) soient en ligne de mire de ces condamnations, tous les secteurs sont concernés : une société spécialisée dans la promotion immobilière a ainsi été condamnée à 400 000 € d’amende pour « défaut de sécurité des données personnelles et non-respect des durées de conversation » ; et une société d’installation d’équipement et d’isolation l’a été à hauteur de 500 000 € pour « absence de pertinence, non adéquation, non pertinence et caractère excessif des données, défaut d’information des personnes, non-respect du droit d’opposition, non coopération avec l’autorité de contrôle, transfert non encadré de données hors de l’UE ».
Si les petites entreprises ou celles de taille moyenne n’ont été que peu concernées pour le moment, il est toutefois à prévoir que la période de tolérance qui leur a été accordée touche à sa fin.
Il est impératif que toutes les entreprises, quelle que soit leur taille, se sentent concernées par cette réglementation et se mettent en conformité.
Si en raison de ces sanctions les grandes entreprises ont rapidement pris des mesures pour se conformer à la réglementation, est-ce le cas des petites ou moyennes entreprises ?
De manière générale, les entreprises ont compris la nécessité de se conformer, notamment quant à l’image qu’elles renvoient. Cette conformité est devenue un élément marketing afin de fidéliser les utilisateurs. C’est le cas par exemple de l’entreprise Doctolib qui a signé « une charte de protection des données de santé » afin de prouver qu’elle ne monnaye pas les données personnelles et notamment de santé des personnes.
Encore beaucoup de petites entreprises ne se conforment pas au RGPD, notamment parce qu’elles pensent que seules des entreprises de taille importante sont concernées par les sanctions.
Or, cela est dommage dans la mesure où généralement, ces entreprises sont soumises à des obligations moins contraignantes et peuvent facilement se mettre en conformité, notamment avec la tenue d’un registre de traitement, la rédaction de mentions obligatoires dans les contrats et de « politique de protection des données ».
Quels sont justement les freins constatés au sein des entreprises à la mise en œuvre de cette règlementation ?
Avec l’entrée en vigueur du RGPD, les entreprises ont découvert toute une réglementation relative à la protection des données personnelles. Or, si ce texte a considérablement renforcé les obligations des responsables et des sous-traitants, la législation en la matière n’est pas nouvelle et date de la loi informatique et liberté de 1978. Il y a donc beaucoup à rattraper pour ces entités « profanes » en ce domaine.
De plus, les entreprises ne savent pas concrètement comment se conformer à la réglementation : à l’exception de celles présentes dans le secteur des nouvelles technologies, elles ne connaissent généralement pas l’étendue des données personnelles traitées au sein de l’entreprise, des lieux d’hébergement des données (CRM en mode Saas, cloud etc.), de la chaîne des sous-traitants, etc. Un audit externe peut toutefois les y aider.
Enfin, pour beaucoup d’entre elles, l’on constate que les freins sont souvent le coût et le temps à consacrer à la mise en conformité. Il serait en effet illusoire de penser que l’on peut se mettre en conformité en une journée… Cela nécessite de mettre en place un véritable plan d’action sur plusieurs mois pour traiter sérieusement cette réglementation. Mais cela est tout à fait réalisable sans mettre en péril l’activité de l’entreprise.
Le Royaume Uni est sorti de l’Union européenne le 31 janvier 2020 à minuit. Quelle est la conséquence sur l’application du RGPD et pour les entreprises qui transfèrent des données à caractère personnelle vers ce pays ?
Si le Royaume Uni a effectivement quitté l’Union européenne, l’accord de retrait prévoit toutefois une période transitoire jusqu’au 31 décembre 2020, qui pourra être prolongée, et pendant laquelle le droit de l’Union continuera de s’appliquer. Le Royaume Uni sera donc soumis au RGDP jusqu’à cette date et ne sera pas encore considéré comme un pays tiers.
Passé cette période transitoire, la Commission européenne pourra prendre une décision d’adéquation, i.e. constater que le Royaume Uni assure un niveau de protection suffisant, ce qui permettra de transférer les données personnelles sans difficulté.
A défaut, le responsable du traitement ou le sous-traitant qui souhaitera transférer des données vers ce pays devra prévoir des garanties appropriées et permettre aux personnes concernées de disposer de droits opposables et de voies de droit effectives. Dans tous les cas, il faudra informer les personnes concernées du transfert de leurs données personnelles hors de l’Union Européenne.
En dernier lieu, pensez-vous que les personnes physiques se sentent davantage protégées dans l’utilisation qui est faite de leurs données personnelles ?
L’entrée en vigueur du RGPD a fait couler beaucoup d’encre et les personnes dont les données sont collectées prennent conscience de la nécessité de bénéficier d’une protection et d’avoir des moyens d’agir en cas de violation.
La sensibilisation est très présente et les condamnations font la une des journaux y compris de la presse grand public.
La conséquence qui en découle est la multiplication des contestations de la part de particuliers ou d’associations de consommateurs, et même de salariés. La présidente de la CNIL, Madame Marie Laure Denis, indiquait ainsi sur le plateau de BFM TV en janvier dernier que la Commission avait reçu plus de 14 000 plaintes en 2019, soit 25% de plus par rapport à 2018.
Ces chiffres prouvent que les français se préoccupent de la protection de leurs données personnelles et que les professionnels ont tout intérêt à se mettre en conformité pour conserver la confiance de leurs clients et les fidéliser sur le long terme.
Pour aller plus loin, l’IEEPI vous propose la formation suivante :
Partagez cette actualité :
