Le RGPD a également eu un impact organisationnel. Les entreprises ont dû créer la fonction de DPO, en charge de conseiller les métiers sur la protection des données et de garantir la conformité. L’organisation et le processus de gestion des projets ont été transformés pour faire collaborer le DPO et intégrer la sécurité dans les projets, dès la conception et par défaut. Cela a fait évoluer les relations avec les prestataires, tant sur le plan contractuel qu’opérationnel. La sous-traitance n’est plus considérée par les métiers comme un transfert de responsabilité. Le client reste responsable, il doit définir ses exigences, suivre les projets pendant tout le cycle de vie et contrôler ses sous-traitants.

Nos clients ont peu à peu fait évoluer leurs pratiques et leurs processus métier. C’est notamment le cas des processus liés à la prospection commerciale, pour distinguer les clients B2B et B2C, ou à la contractualisation avec les clients, pour informer les clients. Elles ont défini des bonnes pratiques et ont sensibilisé leurs collaborateurs pour qu’ils les respectent. Outre la conformité, les entreprises veulent protéger leur image de marque.

Elles ont réalisé que le RGPD peut être un outil marketing et commercial. La sécurisation des données et la transparence à l’égard des clients améliorent leur confiance. La suppression des données obsolètes ou inutiles permet aux équipes de travailler sur des bases de données plus saines et mieux exploitables.

Arrivent-elles à se conformer à ces nouvelles obligations ?

Les entreprises veulent se conformer au RGPD mais cela reste difficile, pour différentes raisons. La première est d’ordre juridique. Elles sont parfois confrontées à des réglementations propres à leur secteur d’activités qui sont contradictoires avec le RGPD. A titre d’exemples, le RGPD impose l’information et le recueil du consentement préalable, alors que le droit de la presse prévoit le secret des sources. Le RGPD restreint les droits pour les entreprises de collecter des données de santé, alors que le secteur de l’énergie a l’obligation de contrôler les taux de radiation de ses employés exposés. C’est d’autant plus significatif pour des entreprises d’envergure internationale qui doivent également se soumettre à des réglementations extraterritoriales.

Les entreprises sont également confrontées à des difficultés techniques. Les logiciels antérieurs à 2018 incluaient rarement une fonctionnalité de suppression des données. Des développements spécifiques complexes, risqués et onéreux sont alors nécessaires. A défaut, elles sont dans l’obligation de réaliser de longues opérations d’anonymisation des informations.

Les entreprises doivent aussi effectuer un changement de comportement. L’époque de la collecte massive de données, dans l’hypothèse d’un besoin ultérieur, est révolue. Mais les habitudes sont encrées. Il est difficile d’expliquer à un service marketing ou RH les principes de légitimité, de minimisation et de suppression des données. Nous constatons que les entreprises disposant d’une organisation en silo doivent également se réinventer pour améliorer la communication transverse. C’est un prérequis pour traiter une demande d’exercice de droit.

Nos retours d’expérience dans des entreprises de toutes tailles et de tous secteurs démontrent une prise de conscience de l’intérêt qu’elles peuvent tirer du RGPD (mise en qualité des données, amélioration des processus internes et surtout une meilleure capacité à répondre aux exigences des régulateurs et de leurs clients).

A quelles sanctions s’exposent-elles ?

Les sanctions les plus élevées prévues par le RGPD s’élèvent à 20M€ ou 4% du chiffre d’affaires annuel mondial. Les amendes effectivement appliquées sont de plus en plus nombreuses et dépendent de la taille des structures et de l’infraction commise. Cela peut aller de la mise en demeure de se conformer, assortie d’un délai, voire sous astreinte, jusqu’à la sanction pécuniaire et la publication.
Si les entreprises craignent évidemment la sanction administrative, elles redoutent également l’atteinte à leur image et leur réputation du fait d’une médiatisation de leur non-conformité.
Pour faire face à la quantité exponentielle de plainte, la CNIL a décidé d’externaliser l’analyse des plaintes pour se concentrer sur les contrôles. Il est donc à prévoir que les sanctions s’intensifieront encore.

Classement européen : la France, meilleur ou pire élève dans la transition vers le RGPD ?

Il est difficile de classer les pays européens. D’abord parce qu’ils n’ont pas tous la même appétence pour la protection des données et n’avaient pas le même niveau de prise en compte avant le RGPD. Si la France avait un texte historique ancien, la Loi Informatique et Libertés de 1978, les principes étaient peu déployés dans les entreprises. A contrario, l’Allemagne a toujours eu une culture de la protection des données.
De plus, les Etats ont été libres dans la transposition du règlement, ils n’ont pas tous adopté les mêmes méthodes de mise en œuvre, ni les mêmes priorités. Certains pays comme l’Espagne ont fait le choix de sanctionner dès la date d’application du RGPD avec un nombre important d’amendes. D’autres en revanche, ont fait le choix d’une politique d’accompagnement des entreprises avec certains compromis. La France, au travers de la CNIL, a fait le choix de la seconde option. Une position qui lui a d’ailleurs été reprochée, car jugée inefficace et complaisante. Entre 2018 et le début de l’année 2022, la CNIL n’a en effet délivré que 25 sanctions contre des entreprises ou administrations pour des montants allant de 3000 à 90 millions d’euros. D’autres pays comme le Luxembourg, l’Italie et l’Allemagne ont fait le choix dès l’entrée en vigueur du RGPD de sanctions financières très significatives.
Qui plus est, tous les membres de l’Union n’ont pas attribué des moyens équivalents pour accompagner et sanctionner les manquements au RGPD. A cet égard la France se situe dans la moyenne en termes de budget et de moyens alloués dans la transition RGPD. En effet, si le nouveau budget alloué au CNIL en 2022 prévoit d’atteindre 24 millions d’euros, il est loin derrière le budget allemand de 85 millions d’euros. Les effectifs de la CNIL sont aussi relativement réduit comparés à l’immensité de la tâche, puisqu’avec l’augmentation de budget pour 2022, le nombre d’agents devraient passer à 263.

La France est donc dans une bonne moyenne. Toutefois, entre une politique de transition qui a favorisé l’accompagnement des entreprises et des moyens limités face à l’ampleur de la tâche, la transition française vers le RGPD est loin d’être achevée.

Cloud : quelles solutions pour répondre à la protection des données ?

Avant d’investir dans des solutions Cloud, la priorité devrait être d’analyser son besoin, notamment en termes de protection des données. Les offres Cloud américaines inquiètent beaucoup d’entreprises qui voient la possibilité pour les organisations gouvernementales étrangères de s’immiscer dans les affaires et d’accéder à des secrets. De même, toutes les solutions Cloud ne proposent pas les mêmes garanties en matière de sécurité des systèmes d’information. Les entreprises doivent donc analyser ces solutions, définir leurs exigences techniques et organisationnelles et s’interroger sur les données qu’elles acceptent de stocker dans le Cloud. En fonction des solutions et des exigences, les entreprises devront éventuellement renforcer la sécurité, par la mise en place de solutions telles que l’authentification multi facteur, la classification des données, le chiffrement ou la détection des fuites de données.

Les acteurs français et européens travaillent actuellement sur le projet d’un Cloud souverain. Cela permettrait de stocker les données les plus sensibles, sur le territoire européen et hors de toute atteinte de puissances étrangères.

Quelle que soit la solution Cloud retenue, les entreprises doivent ensuite définir les règles d’usage interne et externe qu’elles souhaitent voir appliquées et sensibiliser périodiquement les utilisateurs. Quelles données peuvent-ils stockées dans le Cloud ? Avec qui peuvent-ils les partager ? Comment gérer les droits d’accès ? Quand supprimer un espace de partage ou un document ? Autant de sujets sur lesquels des consignes claires doivent être communiquées. L’entreprise doit ensuite contrôler les usages et corriger si besoin.

Les entreprises ont conscience de la valeur de leur patrimoine informationnel et veulent le préserver. Nous les aidons à définir leurs besoins, à choisir des solutions de sécurité adaptées et à les déployer auprès de leurs utilisateurs.

Quelle est la valeur de vos données personnelles sur le marché ?

La valeur des données personnelles est différente selon le détenteur de la donnée. Chaque personne apprécie individuellement la valeur de ses propres données et décide de ce qu’il accepte ou non de partager avec son entourage, son employeur, les commerçants ou sur les réseaux sociaux. Cette appréciation doit être faite non seulement au regard du bénéfice à tirer de sa communication (une mise en valeur de ses compétences ou de son profil, une réduction sur un achat grâce à la carte de fidélité…) mais également au regard des risques à divulguer l’information (démarchage commercial, discrimination, harcèlement…).

Pour les entreprises, la donnée est considérée comme le nouveau pétrole. Elle leur permet d’élargir son portefeuille client, d’approfondir sa connaissance clients et d’orienter ses stratégies commerciales et marketing. Les entreprises de e-commerce ont parfaitement compris l’intérêt de proposer des offres personnalisées et de pouvoir prédire un comportement futur.

La donnée personnelle est également la pierre angulaire de plusieurs modèles économiques, le premier étant évidemment celui des réseaux sociaux. Ils « se nourrissent » du volume des données personnelles. Ils peuvent ainsi cibler les utilisateurs, faire du placement de produits, voire orienter les opinions des citoyens. Les data brokers fondent également leur modèle économique sur la revente aux entreprises de listes et de bases de données exploitées dans le cadre de la prospection commerciale.

La donnée peut enfin avoir une grande valeur pour les hackers ou des personnes mal intentionnées. Aujourd’hui, l’exploitation de données acquises illégalement est exponentielle. L’actualité regorge de faits de vols de données bancaires, de phishing, de chantage ou de menace de divulgation d’informations intimes ou d’usurpation d’identité. En réaction, des entreprises spécialisées voient le jour pour aider les personnes à supprimer leurs données d’Internet.

Comment le RGPD a-t-il impacté la vie des Français ? des Européens ?

Le RGPD a marqué un tournant important pour la protection des données personnelles bien que les effets n’aient pas forcément été très visibles pour les citoyens français et européens.

Au-delà de la prise de conscience sur l’importance que leurs données personnelles peuvent représentées, le texte offre surtout davantage de contrôle aux utilisateurs sur l’accès à leur identité numérique. En outre, le texte a développé la notion de portabilité des données, qui permet le passage d’un service à un autre sans avoir à fournir de nouveau certaines informations, tout en profitant d’une traçabilité sur ses données. Les utilisateurs ont aussi gagné des droits supplémentaires, et notamment le droit à l’effacement de leurs données et le droit à l’oubli.

La notion de consentement est largement renforcée pour les utilisateurs dans le RGPD. Les plateformes internet ont en effet l’obligation d’informer leurs utilisateurs sur le traitement et l’utilisation de leurs données personnelles, et ainsi leur communiquer des informations sur les plateformes partenaires qui peuvent accéder à ses données. Qui plus est, les utilisateurs possèdent les moyens de demander des comptes, de déposer une plainte auprès de la CNIL ou de l’Autorité de contrôle de son choix en Europe, voire de demander réparation en cas de préjudice subi en lançant une action collective avec une association ou organisme ayant pour objectif la protection des données personnelles.

A partir d’octobre 2023, les plateformes en ligne auront l’obligation d’afficher sur le site un cyberscore. Elles devront faire auditer leurs sites et réseaux sociaux par des organismes agréés et afficher les scores en matière de sécurisation des données. Les internautes sauront ainsi la confiance qu’ils peuvent ou non accorder à ces plateformes. D’ici là, nous pouvons supposer que les plateformes renforceront leur sécurité, pour conserver la confiance de leurs utilisateurs.