Le 25 mai 2018, est la date de la mise en application du nouveau règlement sur la protection des données (RGPD). Un an après son entrée en vigueur, on constate une augmentation importante du nombre de plaintes et de sanctions. Quant aux nombreuses négligences des entreprises, qui sont désormais considérées comme des écarts à la loi, elles ne semblent pas diminuer.

Bref, le bilan est décevant, d’autant plus qu’un temps de préparation avait été accordé aux entreprises pour faire le nécessaire. Il reste donc des progrès à faire.

Le RGPD est peu appliqué

Des données sensibles plus exposées

Reconnaissons que le RGPD est très strict. Malgré tout, une étude menée par Varonis (Rapport Global Data Risk Report) montre que la sécurité des données en entreprise ne progresse pas, même un an après la mise en application du nouveau règlement. Ce rapport met en évidence que les entreprises sont en réalité de plus en plus nombreuses à exposer les données sensibles qu’elles manipulent (données de géolocalisation, informations de santé…). Et pour cause :

  • 22 % des fichiers traités par une entreprise sont accessibles à tous les collaborateurs de cette dernière ;
  • Avant la mise en application du RGPD, 41 % des entreprises laissaient environ 1000 fichiers en accès libre à tous les employés. Aujourd’hui, ce chiffre est passé à 53 % ;

Non-respect des obligations du RGPD

Les obligations imposées par le RGPD sont encore peu appliquées. L’obligation d’information en est une bonne illustration. Pour rappel, le RGPD impose à tout responsable du traitement de communiquer le sort réservé aux données des personnes concernées : finalités du traitement, durée de conservation… Laisser l’internaute sélectionner les informations qu’il accepte de partager reste un moyen encore bancal d’appliquer cet impératif réglementaire. Généralement noyé dans les longs textes des formulaires de collecte de données, la première réaction de bon nombre d’internautes sera de ne pas les lire.

L’apparition de nouveaux risques

Selon le Vulnerability and Threat Trends Report, le nombre de sites vulnérables a connu une augmentation relativement conséquente. Cela s’explique par l’évolution constante des techniques d’attaques utilisées par les cybercriminels et le retard d’application par les entreprises des dispositions du RGPD. Une autre raison qu’il ne faut pas oublier est que le processus de mise en conformité s’accompagne forcément d’une période de vulnérabilité car il implique une refonte intégrale de la politique de sécurité. On se retrouve alors face à une incertitude temporaire.

Le RGPD sur la bonne voie

Une meilleure sensibilisation aux enjeux de la protection des données personnelles

Avant le RGPD, le citoyen lambda n’avait qu’une vague idée des enjeux liés aux traitements de ses données personnelles. Cela malgré les nombreux exemples de scandales liés aux fuites de certaines données personnelles (photo dénudées, atteinte à la vie privée, etc.). La mise en application du nouveau règlement a néanmoins changé la donne. Et pour cause, si dans les années 2000, la CNIL ne recevait que 3000 plaintes par an, ce nombre est passé à plus de 100 000 en 2018.

Déjà des sanctions

Au cours de cette première année d’application du RGPD, les instances de régulation ont déjà prononcé des sanctions à l’encontre des entreprises contrevenantes. Google est l’entreprise qui a reçu la plus grosse amende : 1,49 milliard d’euros. Il reste que cette sanction peut être vue comme une sorte d’avertissement puisque l’amende peut, selon les textes de loi, atteindre jusqu’à 4% du chiffre d’affaire mondial en cas de non-respect de l’obligation de consentement.

En somme, cette première année peut être considérée comme une année d’indulgence, face aux nombreux écarts à la loi. Malgré les nombreux écarts et l’inertie des entreprises envers les obligations imposées par le RGPD, il y a eu peu de sanctions. Toutefois, si l’on en croit les dires de la CNIL, la tolérance touche à sa fin. L’institution va se montrer de plus en plus stricte vis-à-vis des entreprises contrevenantes.