Protection des données, quel bilan pour le RGPD ?

Nous tournons désormais la page de 2018, et quoi de mieux en cette journée mondiale de la protection des données que de tirer un bilan sur l’un des évènements marquant de cette année : le Règlement Général sur la Protection des Données (RGPD).

C’est le 25 mai dernier que le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur. Après plus de 6 mois, la Commission Nationale de l’Informatique et des Libertés (CNIL) dresse un bilan chiffré suite à sa mise en application.

Une sensibilité accrue à la protection des données

Depuis l’entrée en vigueur du RGPD, les Français sont de plus en plus nombreux à s’intéresser à la protection des données personnelles. À ce jour, plus de 1 000 notifications de violations de données ont été reçues, soit environ 7 par jour et la CNIL a reçu 6 000 plaintes concernant notamment l’exercice des droits des utilisateurs (soit 34% de plaintes supplémentaires qu’en 2017 sur la même période). Dans un sondage réalisé fin octobre 2018, deux tiers des Français se déclarent plus sensibles qu’auparavant à la protection des données. Cela s’explique notamment par une prise de conscience sur des sujets tels que :

le piratage ;
le vol de données ;
la multiplication des sollicitations commerciales considérées comme spam.

65% des personnes interrogées déclarent avoir entendu parler du RGPD mais ils ne sont que 54% à déclarer comprendre ce que ce texte a concrètement changé sur les droits des personnes et les obligations des professionnels. Par ailleurs, 32 000 organismes (publics et privés) ont mis en place des délégués à la protection des données personnelles (DPO), ce qui porte leur nombre à 15 000 (certains œuvrant pour plusieurs organismes). Comparé aux 5 000 correspondants informatiques et libertés présents avant le RGPD, ce chiffre démontre une prise en compte croissante du règlement par les professionnels.

Des efforts visibles mais insuffisants

Six mois après la mise en œuvre du RGPD, les entreprises françaises ont majoritairement entamé leurs travaux de mise en conformité RGPD, mais de nombreux manquements ont été relevés, notamment sur certains aspects complexes du règlement.

Les sociétés ont adapté rapidement leurs pratiques au RGPD. Pour preuve, 78% des entreprises ont adopté une charte sur la gestion des données personnelles (bien souvent appelée “Politique de confidentialité”). 67% ont également mis en place des fonctionnalités dédiés sur leurs sites, permettant de gérer les consentements des utilisateurs, leur gestion des préférences ainsi que l’exercice de leurs droits. Il y a un an, 12% des sites audités ne donnaient aucune information sur les données collectées et traitées ; et 84% des acteurs ne précisaient ni les destinataires ni les informations de partage des données personnelles. Les entreprises sont en revanche à la traîne en termes de consentement. Alors que celui-ci doit être donné de manière explicite, éclairée et univoque par les utilisateurs, il n’est recueilli qu’à hauteur de :

30% à des fins de prospection commerciale,
16% à des fins de personnalisation,
2% seulement à des fins de scoring et de statistiques

La conformité est également variable en fonction de l’appareil utilisé et du média (site web / site responsive / site mobile / application). Ainsi 40% des chartes ne sont pas responsive et 82% des acteurs ne développent pas de solutions dédiées au respect du RGPD sur leur application mobile. Le RGPD est finalement en application avec moins de problématiques que prévu. Pour autant, de nombreuses entreprises prennent encore à la légère certaines parties du règlement qui font toujours l’objet de contournements. Ce sont pourtant des éléments clés de la politique de protection des données personnelles. Il s’agit surtout de points sensibles pour les utilisateurs finaux et qui pourraient porter préjudice aux entreprises. Si la CNIL se montre plus sévère cette année, les manquements constatés à date n’échapperont pas à sa vigilance. Peu d’acteurs auront le luxe en 2019 de ne pas poursuivre leurs efforts de mise en conformité RGPD.

Les sanctions

Depuis le 25 mai 2018, la CNIL a mis en demeure plusieurs sociétés de se mettre en conformité avec le RGPD. En cas de mise en conformité, aucune suite n’est donnée à la mise en demeure. Dans le cas contraire, la Présidente saisit le service habilité qui peut prononcer une sanction.

D’ailleurs, le lundi 21 Janvier 2019, la CNIL a condamné la société Google à une amende de 50 millions d’euros, reprochant au géant américain de ne pas informer de façon suffisamment claire ses utilisateurs quant à l’exploitation de leurs données personnelles. La CNIL devient ainsi la première instance de régulation européenne à sanctionner une grande plateforme internet mondiale en utilisant les dispositions du nouveau règlement.

Pour rappel, le règlement permet d’infliger des sanctions allant jusqu’à 4% du chiffre d’affaires mondial pour manquement aux obligations de protection des données personnelles des citoyens européens. L’association La Quadrature du net, qui était à l’origine de la plainte, appelle maintenant la commission à s’exprimer sur l’exploitation des données liée à l’utilisation de YouTube, Gmail et Google Search, et appelle la CNIL à prononcer une sanction « d’un montant proportionné à la situation, bien au-delà de 50 millions d’euros », selon un communiqué.

En conclusion

Les nouvelles obligations prévues par le RGPD constituent une évolution importante pour de nombreux acteurs économiques. La CNIL est consciente des difficultés rencontrées par ces acteurs et devrait donc également proposer de nouveaux outils pour les accompagner dans leur mise en conformité.

De notre côté, nous proposons à l’ensemble de nos clients de les accompagner sur la mise en conformité RGPD de leur site Internet, leur boutique en ligne ainsi que leurs actions webmarketing.

Si votre site Internet ou votre boutique en ligne n’est pas encore conforme au règlement, n’hésitez pas à prendre contact avec nous afin que notre référent RGPD puisse vous accompagner sur ce volet.

Vous serez sûrement intéressé par