RGPD 2 ans après : les leçons sur la protection des données personnelles pour le CA

Impulsée par la fameuse loi informatique et libertés de 1978, la protection des données personnelles est un sujet qui ne cesse de croître dans les préoccupations des consommateurs. L’avènement du digital et, plus globalement, l’expansion des usages des technologies ont durablement impacté cette thématique. Le RGPD (Règlement général sur la protection des données), mis en œuvre en 2018 au niveau européen, a conforté cette nouvelle exigence en harmonisant et en encadrant juridiquement l’utilisation qui peut être faite des données des utilisateurs. Alors que ce règlement européen fête ses deux ans, quelles sont les 2 leçons que les conseils d’administration peuvent en retenir ?

1. La protection des données personnelles est un sujet d’importance

La mise en place de ce règlement représente une véritable prise en compte des intérêts des citoyens à l’échelle européenne. Il s’inscrit pleinement dans notre époque numérique où le commerce en ligne, le big data et les réseaux sociaux connectent en permanence les individus.

Cette compréhension de la nécessité de la protection des données numériques des individus est également la conséquence de scandales médiatiques ayant touché les consommateurs. Les diffusions illicites de données et les piratages de comptes questionnent les citoyens qui alors manquent de confiance à l’égard les acteurs du web. Sans encadrement, ils deviennent inquiets et réticents à partager leurs données. Aussi, le règlement européen est un véritable vecteur de confiance et d’engagement.

C’est aussi un acte fort de la construction européenne qui vise à uniformiser le niveau de protection des consommateurs. De plus, les entreprises de l’Union européenne se sont, de cette manière, vues fournir un processus clair et homogène d’utilisation des données des individus. Elles évoluent ainsi dans un contexte concurrentiel plus juste avec des règles communes, connues de tous.

La réglementation européenne mise en vigueur le 25 mai 2018 pour la protection des données personnelles a fait la preuve de toute l’importance que ce sujet revêt à l’heure actuelle. D’ailleurs, cette thématique qui se développe à l’international doit être prise en compte par le conseil d’administration des divers organismes concernés.

La peur du gendarme a fait évoluer beaucoup d’entreprises qui se sont massivement mises en conformité. Certaines ont agi avec préparation et méthode, d’autres prises de panique ont rapidement et tardivement changé leur processus. Toujours est-il que les efforts fournis ont permis de répondre aux exigences du règlement.

Au sein des organisations, le Délégué à la Protection des Données Personnelles (DPO) a souvent permis d’impulser cette nécessaire mise en conformité avec le RGPD. Cependant, il faut noter que cette mise en application des exigences réglementaires tient beaucoup à l’implication des conseils d’administration.

En effet, nombre d’entre eux ont intégré l’importance du sujet de la protection des données personnelles et du respect des mesures définies. Ainsi, pour rester en contact avec les prospects et clients, maîtriser leur communication et éviter toutes poursuites judiciaires, les administrateurs ont su montrer la voie. En travaillant en relation avec les services concernés (juridique, informatique, marketing…), les différentes tâches ont pu être traitées de manière efficace afin que les procédures internes soient mises en œuvre.

Aujourd’hui, le RGPD permet de faire le point sur toutes ses données collectées, les trier, les traiter et les conserver un certain temps. Les lois vont être amenées à se renforcer dans les années à venir. Certaines entreprises disposent même d’un modèle d’affaires qui repose sur la protection des données personnelles.

2. Se conformer au RGPD est capital

Depuis 2018, 114 millions d’euros d’amendes ont été infligées et pas moins de 160.000 notifications pour violation du Règlement ont été transmises, selon l’étude du cabinet DLA Piper. Le nombre de plaintes a augmenté de 12 % en 2019, du fait au moins en partie, du nombre important de sites web ne respectant toujours pas ce règlement. La France se place en 9^e position avec 3.459 plaintes déposées. Il y a fort à parier que ce nombre soit amené à croître encore en 2020.

Selon les données de la CNIL, organisme chargé de faire respecter cette réglementation dans l’Hexagone, 14.137 plaintes ont été reçues en France de la part de particuliers et d’associations en 2019, contre 11.077 en 2018 et 8.360 en 2017. Cette forte croissance de ces dernières années est amplement imputable au règlement de 2018 sur la protection des données personnelles. Les plaintes déposées auprès de la CNIL portent majoritairement sur :

• la publication de données personnelles (identité, photographies, vidéos…) sur internet
• la surveillance des employés sur leur lieu de travail ou pendant leur temps de travail.

Le risque d’amende d’un montant de 4 % du chiffre d’affaires pèse lourd sur les entreprises. Les sanctions représentent en 2019 51,37 millions d’euros, dont 50 millions infligés à Google, contre un montant total de 1,196 million en 2018. Il y a eu en 2019 42 mises en demeure (49 en 2018) et 8 sanctions (11 en 2018).

Mais au-delà du seul règlement européen sur la protection des données personnelles, il est important que les entreprises disposent d’outils qui facilitent la conformité. Cela permet d’éviter des scandales qui seront néfastes pour la trésorerie, mais également l’image de marque, en Europe comme à l’international.

Ainsi, pour se mettre en conformité, les DPO ont été largement sollicités au sein des organismes, et le sont toujours. Des difficultés persistent pour mettre en application des mesures pour protection des données personnelles et sécuriser les données informatiques. Environ 90 % des sites web ne seraient pas conformes à la réglementation.

Loin d’être un remède miracle à tous les problèmes de confidentialité des données, le RGPD n’est qu’un élément et une étape vers un plus grand respect de la protection des données personnelles. Il a eu pour principal retentissement de poser publiquement la question du contrôle de la manière dont les informations des individus sont stockées et communiquées. Néanmoins, beaucoup d’efforts restent à accomplir pour garantir la confidentialité totale des informations des consommateurs.