1 an après l’entrée en vigueur du Règlement européen sur le traitement des données personnelles, le bilan s’avère mitigé. D’un côté, il est évident qu’une grande partie des entreprises reste non conforme. Certaines n’ont pas encore fini leur mise en conformité, d’autres se sont mises en conformité partiellement, en définissant des priorités ou en interprétant par elles-même certains aspects de la loi, d’autres encore n’ont tout simplement pas essayé d’appliquer le règlement.

Ce qui est certain, c’est que le nombre de plaintes déposées aux instances régulatrices européennes ont considérablement augmenté et que des amendes ont été délivrées.

Dans cet article, nous vous proposons un retour sur les conséquences et sur le bilan du RGPD pour les entreprises, 1 an après sa mise en application.

Le bilan, les chiffres :

En Janvier 2019, Google a été condamné par la CNIL à payer une amende dans le cadre d’une sanction RGPD. Cette information a été l’un des seules à transparaître dans l’actualité de la mise en application du nouveau règlement. Sait-on seulement combien de plaintes ont été déposées dans le cadre de la loi, et quelles ont été les amendes ?

Un nombre de plaintes qui a augmenté 

En France, un peu plus de 6 mois après la mise en place du dispositif, la CNIL enregistrait une augmentation de 34 % des plaintes par rapport à l’année précédente.

Au total, d’après un bilan de la Commission européenne réalisé en mai 2019, 145 000 plaintes ont été déposées en 1 an de RGPD.

Des citoyens qui sont mieux informés 

D’après les résultats d’un baromètre réalisé auprès de 27 000 Européens, 73 % des personnes interrogées ont entendu parler d’au moins 1 des 6 droits garantis par le RGPD.

Bilan des amendes RGPD

Vous trouverez ci-dessous un bilan (non exhaustif) de certaines amendes infligées à des entreprises dans le cadre du RGPD et rendues publiques :

  • En Autriche, en Septembre 2018, une entreprise de paris sportifs a été condamnée à une amende de 5280 euros pour avoir installé une caméra de sécurité qui filmait un espace public.
  • En Angleterre, en Octobre 2018, Facebook a été condamné par par l’ICO (Information Commissioner’s Office) à une amende de £500,000 (environ 560 000 euros)
  • Au Portugal, en Octobre 2018, l’hôpital de Barreiro s’est vu infliger une amende de 400 000 euros en raison de sa politique d’accès aux bases de données des patients.
  • Au Royaume-Uni, Uber a reçu en novembre 2018 une amende pour un montant de 1,2 millions de dollars en raison de l’existence de failles de sécurité dans son système.
  • En Italie, en Décembre 2018, Facebook a été condamné à une amende de 10 millions d’euros pour tromperie concernant les données personnelles, un dossier clos par l’ICA (Italian Competition Authority),
  • En France, en Janvier 2019, Google a été condamné à une amende de 50 millions d’euros pour manquement à son obligation de transparence et de clarté dans le contexte de création d’un compte Google.
  • En France, le 17 avril 2019, le Conseil d’Etat ramène à 200 000 euros (contre 250 000 euros précédemment) une condamnation infligée à l’entreprise OPTICAL CENTER par la CNIL concernant la sécurité des données des clients du site internet
  • Toujours en France, en Mai 2019, l’entreprise Sergic, spécialisée en services immobiliers, a fait l’objet d’une amende de 400 000 euros pour non respect des durées de conservation.

Faits marquants : 

  • On remarque que ce sont des entreprises de toutes tailles, et notamment PME, PMI et grands groupes, qui ont été touchées par ces amendes.
  • Les justifications invoquées pour ces amendes correspondent bien aux grands principes de protection des données (transparence, clarté, sécurité…) annoncés par le RGPD.

Après un an de RGPD, la protection des données s’est-elle améliorée ?

Au delà de l’augmentation du nombre de plaintes, et des amendes infligées à certaines entreprises, les changements induits par la mise en place du RGPD jouent sur plusieurs tableaux :

  • Sur le plan de l’information des citoyens, davantage de citoyens sont informés sur leurs droits.
  • Pour ce qui est de la mise en application de la loi, en mars dernier, la CNIL a créé une formation afin de continuer de sensibiliser les professionnels au RGPD et de faciliter l’adoption de la réglementation.
  • Sur le plan de la sensibilisation à la sécurité informatique, et de la montée en maturité de la protection informatique des entreprises européennes, le RGPD constitue une incitation positive, utile en des temps où les menaces informatiques ne cessent de progresser. Le RGPD oblige les entreprises à mettre en place des processus et des règles qui limitent le risque informatique.
  • Toujours sur le plan de la sécurité informatique, l’obligation pour les organisations de notifier les violations de données à la CNIL au plus tard 72 heures après les avoir découvertes a permis une plus grande transparence vis-à-vis des incidents informatiques et de leur nombre en Europe.
  • Sur le plan mondial, le RGPD a depuis eu une influence sur d’autres législations (au Mexique, Singapour ou encore en Chine) et le gouvernement américain travaille actuellement à l’élaboration d’une loi fédérale en concertation directe avec la Commission Européenne pour les accompagner dans leur processus de réflexion.

Bilan de la mise en conformité des entreprises 

Pour ce qui est de la mise en application de la loi, c’est peu dire que toutes les entreprises n’ont pas encore pris le virage de la conformité.

La mise en conformité RGPD est un travail de longue haleine qui nécessite de la préparation en amont. Or les organisations qui n’étaient pas prêtes au 25 mai 2018 ont dû rattraper leur retard, et une année n’est pas nécessairement suffisante, selon la taille et les ressources de l’entreprise. Les équipes ne savent pas toujours par quel bout prendre le projet, ce qui peut expliquer que certaines ne sont pas encore conformes.

Recruter un DPO 

Mettre en place le RGPD au sein des entreprises c’est avant tout mettre en place un certain nombre d’investissements.

Pour les grandes entreprises on peut s’attendre à des investissements en ressources humaines. Il s’agit pour ces structures d’acquérir des collaborateurs disposant des compétences pour appréhender des aspects à la fois technique et juridique du règlement. Près de 11 000 DPO (Data Privacy Officer) ont ainsi été recrutés dans l’optique de s’assurer de la protection des données et de la mise en œuvre du RGPD. Mais parce qu’il est très spécifique et que la demande est urgente, une pénurie de profil est vite apparue. La CNIL estime qu’il faudrait bien davantage de recrutement pour pouvoir répondre aux besoins actuels.

Pourquoi la mise en conformité est-elle si difficile pour les entreprises ?

  • La mise en conformité est un travail de longue haleine qui nécessite une préparation
  • les équipes ne savent pas par quel bout prendre le projet
  • Les entreprises ne disposent pas forcément des ressources nécessaires en interne
  • il ne suffit pas de mettre en oeuvre le RGPD, il faut également s’assurer de maintenir cette conformité, par une vigilance et des efforts constants, notamment au regard des avancées technologiques

Meilleure compréhension des avantages du RGPD

Un an après la mise en place du RGPD, il est plus facile de se rendre compte de la nécessité de mettre en place le dispositif, ou encore, de ses bénéfices.

Pour les entreprises, la mise en conformité avec le RGPD représente des investissements importants mais elle possède également des avantages :

  • sécuriser et pérenniser son activité, notamment au regard des sanctions qui peuvent être délivrées,
  • mieux connaître son système d’information et son fonctionnement : en effet la connaissance du système d’information est une condition sinequanone pour une mise en application du RGPD
  • optimiser la protection de son système d’information. Le volet sécurité des données et un aspect important du règlement RGPD. La mise en conformité est l’occasion de sécuriser ses données, un investissement non négligeable si l’on considère la progression des menaces informatiques et de leurs impacts sur les entreprises au cours des dernières années
  • améliorer l’image de marque de son entreprise en communiquant sur la bonne conformité de son système
  • enfin pour certaines entreprises qui opèrent dans des domaines où la gestion des données est sensible (par exemple, domaine de la santé, domaine financier…) le RGPD est plus qu’un avantage, il s’agit d’une nécessité.

Mise en place du RGPD : être accompagné 

Si vous n’êtes ni une grande entreprise, ni un groupe industriel, il y a peu de chance pour que mettiez en place au sein de votre personnel une équipe dédiée à la mise en place du RGPD. Cela ne veut pas dire qu’il n’est pas important pour vous de mettre en place votre conformité au dispositif. Ivision vous accompagne, découvrez notre offre dédiée à la mise en conformité RGPD ou  contactez-nous directement…