Par Arnaud Gallut, directeur des ventes pour l’Europe du sud chez Ping identity
Le 28 mai prochain, on célébrait le premier anniversaire de la mise en vigueur du règlement européen RGPD sur la protection des données personnelles. C’est donc l’occasion de dresser un premier bilan d’étape sur son application par les entreprises françaises et sur l’évolution de leurs pratiques dans ce domaine.
En premier lieu, le RGPD a eu le grand mérite de provoquer une prise de conscience inédite, tant de la part des entreprises que des consommateurs sur les enjeux de la protection des données personnelles. Un récent baromètre Cnil/Ifop indique ainsi que 66 % de la population française se dit aujourd’hui plus sensible au sujet qu’avant la mise en vigueur du règlement.
Toutefois, assez logiquement, beaucoup reste encore à faire au bout d’un an, et les entreprises françaises ciblant les marchés grand public ont encore de grandes difficultés dans leur majorité à appliquer pleinement le nouveau règlement. Il suffit de mentionner les nombreux appels de prospection téléphonique que continue de recevoir tout un chacun sur son numéro personnel, qui n’a manifestement pas été divulgué avec le consentement de l’intéressé.
Certes, alors qu’avant le RGPD, très peu d’entreprises avaient mis en place une véritable gouvernance autour de la protection des données personnelles, les choses ont déjà évolué de façon significative sur ce plan. Dans le rapport IAPP-EY 2018, environ 50 % des entreprises interrogées ont désormais mis en place une organisation dédiée, et la Cnil dénombre déjà 51 000 DPO (Data Protection Officers) dans les entreprises françaises. Mais ces progrès restent clairement insuffisants. Dans son bilan 2018, la Cnil rapporte une augmentation de 32 % du nombre de plaintes déposées, dont plus d’un tiers porte sur la diffusion de données sur Internet. En outre en 2018, la Cnil a adressé 49 mises en demeure pour non-conformité au règlement, dont 5 dans le secteur des assurances, et 4 dans celui des entreprises spécialisées dans le ciblage publicitaire. L’autorité a prononcé 11 sanctions, dont 10 pécuniaires.
Il est plus que probable que le nombre de mises en demeure et de sanctions prononcées augmentera en 2019, la Cnil ayant clairement l’intention d’utiliser plus fortement ses pouvoirs répressifs à partir de cette année
CINQ DÉFIS PRINCIPAUX
Quelles sont donc les principales difficultés rencontrées par les entreprises pour se mettre en conformité? Celles-ci doivent relever cinq défis principaux.
Une demande de consentement inadéquate. Les messages implicites de consentement ne sont plus suffisants avec le règle- ment RGPD, et les consommateurs doivent désormais donner leur accord sans ambiguïté via une déclaration ou une action claire et concrète, telle que cocher une case sur un site ou remplir un formulaire. L’entreprise doit pouvoir démontrer que la demande de consentement a été présentée de façon claire et intelligible. De plus, le consentement est désormais requis dans un large éventail de scénarios. Par exemple, les données de navigation sont considérées comme des données personnelles, dont la capture nécessite un accord explicite du consommateur.