Le RGPD (Règlement général sur la protection des données) a connu des avancées marquantes depuis son entrée en vigueur en 2018. Cette loi européenne révolutionne encore la façon dont les entreprises traitent nos données personnelles. Mais sont-elles toutes en règle désormais ?
Le RGPD (Règlement général sur la protection des données) protège mieux les données personnelles des Européens trois ans après son entrée en vigueur. Toutefois, les experts constatent que les PME sans DSI ni Délégués à la protection des données (DPO) ont encore du mal à se mettre en conformité, même en 2021.
Sandrine Lagrange, ingénieure Solutions chez l’éditeur OneTrust, confirme : « Les TPE et PME, et surtout celles qui n’ont pas de DPO à plein temps, ont un peu souffert pour bien s’investir dans la mise en conformité RGPD car elle impacte aussi leurs revenus. A l’inverse, celles qui ont un service juridique et qui utilisent nos solutions savent davantage ce qu’elles doivent mettre en place que le garage du quartier ».
D’autant que l’inflation des réglementations en Europe depuis un an a encore changé la donne, voire complexifié le dispositif juridique mis en place pour le RGPD. Preuve que la situation réglementaire n’est pas encore stabilisée. « Il n’existe pas encore de mécanisme RGPD vraiment simple, pour l’instant, afin de gérer les transferts hors UE », explique Jennifer Godin, DPO de Roquette, un fournisseur français leader des ingrédients alimentaires qui pèse 3.7 Md€. « Cela reste compliqué même pour un groupe international comme Roquette, qui doit aussi respecter les législations d’autres pays en Asie, en Afrique, etc ».
1/3 des entreprises, dont des PME, n’ont pas recensé tous les traitements
Même 3 ans après, des études montrent que beaucoup d’entreprises ne respectent pas encore ce règlement européen en 2021. Un rapport de KPMG indique qu’un tiers des entreprises, des PME notamment, n’avait même pas encore finalisé l’étape, pourtant fondatrice, du recensement des traitements. Les analyses d’impact relatives à la protection des données et la mise en place des durées de conservation constituent aussi les deux points les moins aboutis du respect du RGPD. En revanche, la création d’un registre des traitements, l’obtention des informations préalables et des consentements, ainsi que la politique de gestion des données personnelles sont les chantiers de mise en conformité les plus avancés.
La Cnil, l’autorité de régulation française chargée de faire respecter le RGPD, a déclaré la guerre aux contrevenants fin 2020. Les rappels à l’ordre, voire les amendes ont commencé à pleuvoir sur les sociétés en infraction : 138,5 M€ en 2020, dont 100 M€ pour Google. Pourtant, la Cnil effectuait toujours encore assez peu de contrôles (247), malgré l’augmentation du nombre de plaintes (+ 62,5 %).
Fin de la tolérance pour mauvaise gestion des cookies
En 2021, la Cnil durcit le ton et se focalise davantage sur certains points, dont la gestion des cookies. Et tout particulièrement dans l’e-commerce et la santé, à cause des nombreux traitements de données associés à la Covid (StopCovid, Pass sanitaire, Health Data Hub, etc.) et des arnaques Covid constatées. Cet été, la Cnil a mis en demeure une soixantaine d’organismes ne permettant toujours pas aux internautes de refuser les cookies aussi simplement que de les accepter. S’ils persistent, les contrevenants s’exposent à leur tour à des amendes salées en 2021.
