Le grand chambardement est passé. Après plus d’un semestre de mise en application du RGPD, où en sont réellement les entreprises ? Faisons un premier bilan.
Des mois et des mois de prévention, d’explication et de préparation avant la date fatidique. Le 25 mai 2018 a causé bien des tracas aux entreprises qui devaient se mettre en conformité avec le Règlement Général sur la Protection des Données, plus couramment appelé RGPD. Voici maintenant plus de six mois que l’échéance est passée et que les nouvelles règles sont entrées en vigueur. L’occasion de faire un premier bilan de la mise en conformité des entreprises françaises.
Toujours plus de DPO, mais toujours pas assez
En janvier dernier, la présidente de la Cnil (Commission nationale de l’informatique et des libertés), Isabelle Falque-Pierrotin, estimait à environ 80 000 le nombre d’organisations qui allaient devoir recruter un DPO (Data Protection Officer) pour prendre en charge les nouvelles missions liées à la protection des données. À la fin du mois de novembre, elles étaient 32 000 à en avoir désigné un. Ce déficit de professionnels compétents pour gérer l’application du RGPD est un frein important pour les entreprises. Loin de vouloir se soustraire aux nouvelles réglementations, ces dernières sont encore nombreuses à rechercher la bonne méthodologie et les bonnes pratiques de sécurité pour s’y conformer. Depuis janvier 2018, la Cnil a enregistré 178 000 appels et 246 000 consultations des FAQ publiées sur son site. L’outil PIA (Privacy Impact Assesment), qui permet de réaliser une analyse d’impact sur la protection des données, a quant à lui été téléchargé 130 000 fois.
Des mises en demeure publiques
Depuis le 25 mai, les entreprises ont également adressé à la Cnil plus 1 000 notifications de violations de l’intégrité des données, soit une moyenne de 7 par jour. Si aucune des sanctions prévues par le règlement n’a pour l’heure été prononcée (rappelons qu’elles peuvent aller jusqu’à une amende de 20 millions d’euros ou d’un montant équivalent à 4 % du chiffre d’affaires), plusieurs signaux incitent les entreprises à poursuivre soigneusement leur travail d’appropriation du RGPD. Certaines ont d’ores et déjà reçu une mise en demeure publique pour une exploitation de données personnelles contraire au texte, parmi lesquelles on trouve des spécialistes du ciblage publicitaire comme Fidzup, Singlespot, Teemo ou encore Vectaury, mais aussi des grands groupes français comme Humanis ou Malakoff Mederic. Si ces mises en demeure ne constituent pas à proprement parler des sanctions, leur impact en termes d’image peut être très négatif pour les sociétés visées. D’autant que les utilisateurs de services en ligne sont de plus en plus regardants sur la façon dont les fournisseurs traitent leurs données. Deux tiers d’entre eux se disent « plus sensibles » que ces dernières années à la protection de leurs données personnelles. La Cnil a d’ailleurs enregistré 9 700 plaintes cette année, soit 34 % de plus qu’en 2017 sur la même période, et dont 6 000 ont été déposées après le 25 mai.
La CNIL affine ses outils
Si certains ont pu penser que la Cnil faisait preuve d’un certain laisser-faire depuis quelques mois, nul doute que la période d’adaptation ne durera pas éternellement et que les scénarios que l’on a vu apparaître ailleurs en Europe (voir ci-dessous) finiront pas se reproduire en France. Mais plutôt que de passer directement par la case sanction, la commission a choisi de miser dans un premier temps sur l’accompagnement des entreprises et publie régulièrement de nouveaux guides, référentiels et outils pour les aider à assimiler et mettre en pratique les principes du RGPD. En 2019, elle délivrera les premiers agréments de DPO, lancera un MOOC sur les fondements de la réglementation et dévoilera un plan d’accompagnement dédié aux collectivités locales. De nombreuses ressources et solutions sont disponibles pour mener à bien cette transformation dans les stratégies de sécurité. Le travail est loin d’être terminé.
En Europe, les premières sanctions tombent
La première sanction liée au RGPD a été prononcée au Portugal. Le Centre Hospitalier Barreiro-Montijo s’est vu infligé une amende de 400 000 euros par le CNPD (Comissão Nacional de Proteção de Dados), qui reprochait à l’établissement de santé pas moins de trois infractions au règlement européen. Quelques semaines plus tard, c’est le réseau social allemand Knuddels.de qui a écopé d’une amende de 20 000 euros après une fuite massive de données utilisateurs. Les autorités de protection européennes collaborent également sur des plaintes transfrontalières. Près de 350 sont actuellement traitées, dont 187 concernent la Cnil.