RGPD : 7 mois après, rien en vue. Est-ce normal ?

RGPD : 7 mois après, rien en vue. Est-ce normal ?

Le grand chambardement est passé. Après plus d’un semestre de mise en application du RGPD, où en sont réellement les entreprises ? Faisons un premier bilan.  

Des mois et des mois de prévention, d’explication et de préparation avant la date fatidique. Le 25 mai 2018 a causé bien des tracas aux entreprises qui devaient se mettre en conformité avec le Règlement Général sur la Protection des Données, plus couramment appelé RGPD. Voici maintenant plus de six mois que l’échéance est passée et que les nouvelles règles sont entrées en vigueur. L’occasion de faire un premier bilan de la mise en conformité des entreprises françaises.

Toujours plus de DPO, mais toujours pas assez

En janvier dernier, la présidente de la Cnil (Commission nationale de l’informatique et des libertés), Isabelle Falque-Pierrotin, estimait à environ 80 000 le nombre d’organisations qui allaient devoir recruter un DPO (Data Protection Officer) pour prendre en charge les nouvelles missions liées à la protection des données. À la fin du mois de novembre, elles étaient 32 000 à en avoir désigné un. Ce déficit de professionnels compétents pour gérer l’application du RGPD est un frein important pour les entreprises. Loin de vouloir se soustraire aux nouvelles réglementations, ces dernières sont encore nombreuses à rechercher la bonne méthodologie et les bonnes pratiques de sécurité pour s’y conformer. Depuis janvier 2018, la Cnil a enregistré 178 000 appels et 246 000 consultations des FAQ publiées sur son site. L’outil PIA (Privacy Impact Assesment), qui permet de réaliser une analyse d’impact sur la protection des données, a quant à lui été téléchargé 130 000 fois.

Des mises en demeure publiques

Depuis le 25 mai, les entreprises ont également adressé à la Cnil plus 1 000 notifications de violations de l’intégrité des données, soit une moyenne de 7 par jour. Si aucune des sanctions prévues par le règlement n’a pour l’heure été prononcée (rappelons qu’elles peuvent aller jusqu’à une amende de 20 millions d’euros ou d’un montant équivalent à 4 % du chiffre d’affaires), plusieurs signaux incitent les entreprises à poursuivre soigneusement leur travail d’appropriation du RGPD. Certaines ont d’ores et déjà reçu une mise en demeure publique pour une exploitation de données personnelles contraire au texte, parmi lesquelles on trouve des spécialistes du ciblage publicitaire comme Fidzup, Singlespot, Teemo ou encore Vectaury, mais aussi des grands groupes français comme Humanis ou Malakoff Mederic. Si ces mises en demeure ne constituent pas à proprement parler des sanctions, leur impact en termes d’image peut être très négatif pour les sociétés visées. D’autant que les utilisateurs de services en ligne sont de plus en plus regardants sur la façon dont les fournisseurs traitent leurs données. Deux tiers d’entre eux se disent « plus sensibles » que ces dernières années à la protection de leurs données personnelles. La Cnil a d’ailleurs enregistré 9 700 plaintes cette année, soit 34 % de plus qu’en 2017 sur la même période, et dont 6 000 ont été déposées après le 25 mai.

La CNIL affine ses outils

Si certains ont pu penser que la Cnil faisait preuve d’un certain laisser-faire depuis quelques mois, nul doute que la période d’adaptation ne durera pas éternellement et que les scénarios que l’on a vu apparaître ailleurs en Europe (voir ci-dessous) finiront pas se reproduire en France. Mais plutôt que de passer directement par la case sanction, la commission a choisi de miser dans un premier temps sur l’accompagnement des entreprises et publie régulièrement de nouveaux guides, référentiels et outils pour les aider à assimiler et mettre en pratique les principes du RGPD. En 2019, elle délivrera les premiers agréments de DPO, lancera un MOOC sur les fondements de la réglementation et dévoilera un plan d’accompagnement dédié aux collectivités locales. De nombreuses ressources et solutions sont disponibles pour mener à bien cette transformation dans les stratégies de sécurité. Le travail est loin d’être terminé.



En Europe, les premières sanctions tombent

La première sanction liée au RGPD a été prononcée au Portugal. Le Centre Hospitalier Barreiro-Montijo s’est vu infligé une amende de 400 000 euros par le CNPD (Comissão Nacional de Proteção de Dados), qui reprochait à l’établissement de santé pas moins de trois infractions au règlement européen. Quelques semaines plus tard, c’est le réseau social allemand Knuddels.de qui a écopé d’une amende de 20 000 euros après une fuite massive de données utilisateurs. Les autorités de protection européennes collaborent également sur des plaintes transfrontalières. Près de 350 sont actuellement traitées, dont 187 concernent la Cnil.

About the Author: Jérôme Osinéri

Jérôme Osinéri, 46 ans, a commencé sa carrière chez IBM en Tunisie en tant que responsable marketing, en charge des études de marché. De retour en France il a rejoint Brother en 1997 comme Chef de Produit imprimantes et multifonctions, en charge du marketing mix. Il continue son parcours dans l’informatique en intégrant l’équipe marketing Dell en 1999, avec la responsabilité de la ligne de produit portables pour la France, et comme focus principal l’accompagnement de la force de vente grands comptes. En 2005 il bascule dans les solutions pour l’entreprise, avec la fonction de Business Manager Stockage pour Dell sur la région EMEA. Dans un premier temps en charge de la ligne de produit PowerVault, il gère en 2008 le lancement des solutions EqualLogic nouvellement acquises par Dell. En 2009, son scope s’étend à toutes les lignes de produits stockage, avec comme priorités les lancements produit et la relation avec les partenaires technologiques. En septembre 2010 il rejoint le segment « Public et Grandes Entreprises » de Dell avec la responsabilité des programmes marketing stockage pour la région EMEA. A ce titre, il développe notamment du contenu pour former et assister les forces de vente dans leurs conversations avec les clients sur les problématiques de gestion des données, il est également en charge des évènements stockage et des activités de promotion et communication des offres vers la clientèle, pour tous les pays de la zone EMEA. Depuis septembre 2017 il est de retour dans l’équipe Dell EMC France en charge du marketing de toutes les solutions d’infrastructure, serveurs, stockage, solutions convergées et hyper convergées, solutions de protection des données, réseaux. Jérôme Osinéri est père de deux enfants et titulaire du diplôme de l’école de commerce Kedge Business School à Marseille, ainsi que d’un Master Spécialisé en Marketing et Communication acquis à ESCP Europe Business School.