Archive d’étiquettes pour : RGPD

Google désormais hors la loi à cause de son système publicitaire ?

Récemment, la commission irlandaise de la protection des données (DPC) a annoncé l’ouverture d’une enquête à l’encontre de Google. La raison ? Le géant du web ignorait les limites fixées par le RGPD dans le cadre de ses mécanismes de publicité ciblée. Si la probabilité d’une sanction est grande, l’issue de l’enquête est toujours incertaine puisque cette dernière n’en est qu’à ses débuts.

Pour rappel, en début d’année, la CNIL a déjà prononcé une sanction administrative de 50 millions d’euros à l’encontre de Google. Le cas du géant servira certainement d’exemple aux organisations réticentes à l’idée de se conformer au nouveau règlement.

Le système publicitaire de Google, non conforme au RGPD ?

Google Irlande fait depuis peu l’objet d’une enquête de la DPC, l’équivalent local de la CNIL. L’objet de l’enquête ne porte pas sur un simple détail. Si l’on en croit les dires de l’autorité de régulation, « l’objectif de l’enquête est d’établir si le traitement des données à caractère personnel effectué à chaque étape d’une opération publicitaire est conforme aux dispositions du RGPD. Les principes de transparence, ainsi que les pratiques de conservation des données de Google, seront examinés.

Il faut noter que dans cette affaire, la DPC ne s’est pas saisie d’elle-même. L’ouverture de cette enquête fait suite à un nombre relativement important de plaintes dont une en particulier a fait parler d’elle. Il s’agit de celle déposée par Johnny Ryan, du navigateur Brave.

Quel est l’objet de la plainte ?

C’est donc la plainte de Brave, le navigateur qui se veut être une alternative plus respectueuse de la vie privée que Google, qui a tout déclenché. Brave explique notamment qu’à chaque fois qu’un internaute visite un site et voit s’afficher dessus une publicité comportementale, c’est qu’ailleurs, ses données personnelles ont été diffusées à des entreprises spécialisées dans la technologie publicitaire. Outre le contenu consulté, des données personnelles peuvent être concernées : la géolocalisation, la description de l’appareil, l’adresse IP… Des données sensibles peuvent même être exposées : origine ethnique, courant politique, orientation sexuelle…

Quelle est la sanction possible ?

Puisque l’enquête de la DPC n’en est qu’à ses débuts, il est difficile de dire si Google sera sanctionné ou non. Il reste qu’en cas de condamnation, le RGPD donne la possibilité au DPC de prononcer des sanctions financières pouvant représenter 4 % du chiffre d’affaires mondial de l’entreprise incriminée. Une telle sanction ne serait pas minime, même pour Google dont le chiffre d’affaires annuel avoisine la centaine de milliards de dollars.

Que tirer de toute cette histoire ? Et bien, le cas de Google devrait inciter les entreprises non conformes à se mettre en conformité avec le RGPD. D’autant plus que depuis le début de l’année, les sanctions commencent à pleuvoir. Pour le cas de la France, la CNIL se montre de plus en plus sévère avec les contrevenants. Un choix compréhensible si l’on pense à l’augmentation du nombre de plaintes qu’elle a récemment reçues (plus de 11 000 plaintes en 2018, soit une augmentation de plus de 30 % par rapport à 2017).

 

RGPD : après la tolérance, les sanctions commencent à tomber

Le RGPD est entré pleinement en vigueur le 25 mai 2018. Après cette première année de mise en application, le constat est que beaucoup d’entreprises ne respectent pas encore les dispositions du nouveau règlement sur la protection des données. Cette première année a également été marquée par la tolérance des organes de contrôles.

Mais depuis le mois de mai, les sanctions commencent à tomber et elles sont de plus en plus importantes. La situation est la même dans tous les pays d’Europe, quoique certains, dont la France, sont plus sévères que d’autres.

Sanctions pour manquement au RGPD : une tendance généralisée

Un an après la mise en vigueur du RGPD, on constate qu’un peu partout en Europe, les sanctions pour manquement aux dispositions de la nouvelle réglementation commencent à tomber. Malgré tout, il y a des différences flagrantes quant à la sévérité des sanctions prononcées. Dans certains pays comme l’Autriche, le Portugal, la Pologne et les Pays-Bas, les amendes imposées au titre du RGPD ont été limitées.

Mais, à l’instar de l’Allemagne, la France a été plus sévère. Et pour cause, sur la dernière année, la CNIL a infligé d’importantes amendes notamment à l’encontre de grandes sociétés. Parmi ces dernières Bouygues Telecom qui a écopé d’une amende de 250 000 euros pour « manque de mesures techniques sécurisant les données des clients ». D’autres entreprises comme Uber, Optical Center ou encore Dailymotion ont été également sanctionnées. Mais, l’amende la plus conséquente a été prononcée à l’encontre de Google. Le géant du web a écopé d’une amende de 50 millions d’euros pour non-respects des obligations imposées par le RGPD liées à la confidentialité des données. Notons que les sanctions touchent également les petites et moyennes entreprises.  En outre une amende de 20K€ a été dernièrement infligée à une TPE de 9 salariés.

Quelles sanctions pour manquement au RGPD ?

Au niveau européen, malgré l’abondance des sanctions, leur montant reste souvent modeste. Mais cette situation est amenée à changer dans un avenir proche puisque le nombre d’incidents liés au non-respect du RGPD a grandement augmenté. Si l’on en croit une étude de Decideo, plus de 95 000 plaintes ont été déposées depuis mai 2018 auprès des autorités de contrôle.

Ces éléments nous permettent de dire que c’est le moment de se pencher sérieusement sur la mise conformité de son organisation. Cela vous évitera les sanctions. Pour rappel, le RGPD a instauré 2 niveaux de sanctions administratives :

  • Une amende correspondant à 2 % du chiffre d’affaires, ou 10 millions d’euros d’amende peuvent être appliqués dans les cas suivants :
    • manquement aux obligations incombant au responsable du traitement et au sous-traitant
    • manquement aux obligations incombant à l’organisme de certification
    • manquement aux obligations incombant à l’organisme chargé du suivi des codes de conduite
  • Une amende correspondant à 4 % du chiffre d’affaires pour les entreprises ou 20 millions d’euros d’amende en cas de :
    • manquements liés au principe du consentement de la personne concernée;
    • manquement aux droits des personnes concernées;
    • manquement concernant le transfert des données
    • non-respect d’une injonction… ;
  • Outre les amendes, on oublie souvent que le non-respect des dispositions du RGPD est souvent nuisible pour la réputation d’une entreprise. Une situation qui peut facilement entraîner une perte de confiance des clients et un manque de compétitivité face à la concurrence.

Mise en demeure par la CNIL dans le cadre du RGPD : signification et suites possibles

En France, c’est la CNIL qui est chargée de protéger le consommateur contre tout usage abusif des données informatiques le concernant. Dans le cadre du RGPD, elle dispose d’une chaîne répressive complète qui lui permet de contrôler et de sanctionner les organismes ne respectant pas les lois et règlements en vigueur sur la protection des données personnelles. Les sanctions qu’elle peut prendre varient en fonction de la gravité de l’infraction. Mais dans tous les cas, avant de prononcer une sanction, la CNIL adresse une mise en demeure à l’organisme contrevenant. La suite dépend de la réponse de cette dernière. Lire la suite

Registre RGPD : La tenue d’un registre des traitements des données personnelles

Le RGPD, applicable à partir du 25 mai 2018, vient modifier en profondeur les pratiques des entreprises en matière de protection des données personnelles. Parmi l’un des principes les plus importants à la base du RGPD, il y a le principe d’accountability. Ce n’est pas une nouveauté puisqu’on le retrouve déjà dans des textes antérieurs : ISO 29100, Standard de la conférence internationale de Madrir… La différence c’est que le nouveau règlement sur la protection des données entend y donner des applications plus larges.
Parmi ces applications, il y a l’obligation généralisée de tenir un registre  RGPD de toutes les activités de traitements. Dorénavant, l’obligation de tenir un registre des traitements ne se limitera donc plus aux responsables des traitements, mais sera étendue aux sous-traitants.

Généralisation de l’obligation de tenir un registre RGPD

Contexte

L’existence d’un registre de traitement n’est pas une nouveauté. Déjà au temps de la loi informatique et liberté, il fallait tenir un registre pour les traitements exonérés de déclaration auprès de la CNIL. La tenue du registre était à la charge du correspondant informatique et libertés. Ce dernier se basait sur les informations données par le responsable du traitement pour tenir son registre .

Le RGPD oblige les responsables du traitement et les sous-traitants de tenir un registre des traitements. Avant, les sous-traitants n’étaient pas soumis à cette obligation. Cette généralisation de l’obligation de tenir un registre des traitements est l’une des applications majeures du principe d’accountability. Pour rappel, ce dernier impose de prendre les mesures internes nécessaires pour optimiser la protection des données et faciliter l’apport de preuve en cas de contrôle ou en cas de litige devant un tribunal.

Avantages

Contrairement à ce que l’on pourrait penser, la généralisation de l’obligation de tenir un registre des traitements ne va pas rendre la vie difficile aux organismes qui y sont soumis. Certes, cela va grandement faciliter les contrôles effectués par la CNIL. Mais cette généralisation va également profiter aux responsables et aux sous-traitants puisqu’ils pourront appliquer de manière plus efficace et plus éclairée les règles contenues dans le RGPD.

Et pour cause, avec un registre bien tenu, il sera plus aisé d’avoir une vue d’ensemble des activités de traitements menées. Il sera d’autant plus facile de découvrir les éventuels écarts à la loi : destination des données, catégories des données, caractères, finalités…

Mais l’acteur qui profite le plus de cette généralisation de l’obligation de tenir un registre est sans aucun doute les personnes concernées par les traitements. Dans une large mesure, l’extension de l’obligation de tenir un registre des traitements offre une garantie plus importante que leurs données seront manipulées dans le respect de leurs droits et bénéficieront d’une protection encore plus accrue.

Les organismes qui doivent tenir un registre des traitements

Toutes entreprises et les administrations qui emploient plus de 250 personnes sont concernées par cette obligation.
Mais celles qui emploient moins de 250 personnes ne sont pas totalement étrangères à cette obligation. Elles devront également tenir un registre des traitements si leurs traitements portent sur des données sensibles (informations relatives à des condamnations ou à des infractions) ou sont susceptibles de présenter un grand risque pour les droits et libertés individuelles.
Notez que l’absence de désignation d’un délégué à la protection des données ne dispense pas de l’obligation de tenir un registre.

Peut-on communiquer un registre aux tiers ?

Jusqu’à ce jour, la loi n’est pas encore claire sur ce point. En temps normal, le registre doit être présenté à la CNIL quand cette dernière en fait la demande. Et si l’on se réfère à l’esprit du RGPD (principe de transparence), il n’y a, à première vue, aucune raison qui pourrait justifier le refus de communiquer un registre aux tiers. Il pourra donc être communiqué à tout moment à toute personne qui en fait la demande.

Contenu d’un registre

Le RPGD ne dresse pas une liste exhaustive des informations qui devraient figurer sur un registre. Mais au minimum, ce dernier devrait contenir les informations suivantes :

  • Le nom du responsable du traitement ou de son représentant, le cas échéant, le nom du DPO ;
  • Les finalités du traitement ;
  • Les différentes catégories de données traitées ;
  • Les personnes concernées par le traitement ;
  • Les destinataires des données ;
  • Les délais prévus de destruction des données,
  • La description des mesures de sécurité à mettre en place pour protéger les données ;
  • Les garanties de sécurité supplémentaires pour les cas de transfert de données à l’international ;

Tenir un registre complet suffit-il pour être en conformité avec le RGPD ?

Il faut le dire, la seule tenue du registre ne suffit pas pour satisfaire aux nouvelles normes imposées par le RGPD. En plus, il faut mener des analyses d’impact sur les traitements portant sur les données sensibles, offrir des garanties d’encadrement pour les transferts de données hors de l’UE et mettre en place une procédure garantissant une meilleure protection des données des personnes fichées. Enfin, les contrats avec les fournisseurs doivent être actualisés et prendre en considération les nouvelles règles sur la protection des données.

Quelques conseils pour tenir un registre

Pour maintenir la conformité d’un registre, il faut être méthodique. Voici quelques points à revoir pour se faciliter la tenue d’un registre en conformité dans le temps :

  • Faire le point sur toutes les procédures liées à la protection des données personnelles ;
  • Désigner la personne chargée de la tenue et affecter des moyens financiers et humains adaptés ;
  • Informer tout le personnel dont l’activité pourrait impacter sur la tenue du registre des nouvelles règlementations en vigueur ;
  • Définir et catégoriser chaque type de traitement ;
  • Désigner un responsable du traitement ;
  • Identifier les données qui ont été transférées hors de l’UE ;
  • Faire une remontée régulière des informations ;
  • Élaborer une trame de registre pour indiquer la finalité des traitements (un modèle élaboré par la CNIL est disponible) ;
  • Revoir régulièrement le système de protection (opération effectuée conjointement par la direction des systèmes d’information et le responsable du traitement).

Droit à l’oubli numérique : définition et fonctionnement

Et si les publications sur Facebook pouvaient nous nuire dans la vie réelle ? La question mérite qu’on s’y intéresse car les exemples de personnes ayant été démises de leurs fonctions en raison d’anciennes publications controversées sont nombreux. Même chose pour les personnes à la recherche d’un emploi : un postulant qui perd sa chance d’être embauché parce que son futur employeur a trouvé une vidéo de lui sur internet où ledit postulant tient des propos critiquables et politiquement incorrects. Telle est la réalité des profils de réseaux sociaux en ligne.

C’est pour éviter ce genre de situation et afin de mieux protéger la vie privée que le droit à l’oubli numérique a été instauré. Et son renforcement constitue aujourd’hui l’un des plus grands axes du nouveau règlement sur la protection des données (RGPD). Ce dernier oblige notamment tout responsable du traitement à mettre en place un système facile à appréhender permettant aux personnes concernées d’exercer le droit à l’oubli en toute liberté. Force est de constater que malgré l’existence de cette disposition légale, beaucoup ignorent encore la portée du droit à l’oubli et ses modalités d’exercice.

Qu’est-ce que le droit à l’oubli numérique ?

Avant le RGPD, le droit à l’oubli numérique ou droit à l’oubli en ligne était un concept qui permettait à tout internaute de demander le déréférencement d’une ou de plusieurs pages contenant des informations sur lui. Il a été instauré par le fameux arrêt Google Spain c/AEPD et Costeja Gonzales de la CJUE daté du 13 mai 2014. Cet arrêt affirmait qu’en respectant certaines conditions, une personne physique a le droit de demander à un moteur de recherche de supprimer de la liste des résultats des liens pointant vers des pages contenant ses données personnelles une fois que l’on saisit son nom dans la barre de recherche.

Depuis la mise en application du RGPD, le droit à l’oubli a été en quelque sorte renforcé par la consécration d’un droit à l’effacement. Dans son article 17, le nouveau règlement sur la protection des données hisse le droit à l’oubli numérique à un droit à l’effacement. Dorénavant donc, la personne qui exerce son droit à l’oubli peut demander l’effacement de ses données personnelles, et ce à partir du moment où il n’existe plus de raison légitime pour les conserver. On ne parle donc plus de déréférencement, c’est-à-dire une simple exclusion des moteurs de recherche, mais d’effacement total d’un contenu qui pourrait nuire (article de presse, photo…).

Mise en œuvre du droit à l’oubli

Pour exercer son droit à l’oubli, la personne concernée doit en faire la demande auprès du responsable du traitement, l’organisation qui traite ses données. Une fois saisi, le responsable du traitement doit traiter la demande dans les meilleurs délais. Si la personne concernée ne reçoit pas de nouvelles ou si elle essuie un refus, elle peut saisir la CNIL qui mènera une enquête. Si la demande est bien fondée, la CNIL a le pouvoir de forcer le responsable du traitement à s’exécuter.

Il est toutefois important de préciser que le droit à l’oubli s’exerce sous certaines conditions.

Il ne concerne pas les traitements réalisés pour des motifs d’intérêt public (santé publique, statistique, scientifique, archivage et historique). Il est également limité si le traitement concerne les intérêts légitimes du responsable du traitement. C’est une disposition prévue par l’article 6 du RGPD, un article vu par beaucoup comme une disposition fourre-tout parce qu’il prête à interprétation. Les intérêts légitimes du responsable du traitement peuvent consister en sa sécurité, la lutte contre la fraude… Une disposition qui permettrait dans une certaine mesure d’éviter l’application de la loi. Enfin, le droit à l’oubli ne peut être exercé si le traitement est réalisé pour la constatation, l’exercice ou la défense des droits en justice ou encore pour l’exercice du droit à la liberté d’expression et d’information.

1 an du RGPD : le bilan est-il positif ?

Le 25 mai 2018, est la date de la mise en application du nouveau règlement sur la protection des données (RGPD). Un an après son entrée en vigueur, on constate une augmentation importante du nombre de plaintes et de sanctions. Quant aux nombreuses négligences des entreprises, qui sont désormais considérées comme des écarts à la loi, elles ne semblent pas diminuer.

Bref, le bilan est décevant, d’autant plus qu’un temps de préparation avait été accordé aux entreprises pour faire le nécessaire. Il reste donc des progrès à faire.

Le RGPD est peu appliqué

Des données sensibles plus exposées

Reconnaissons que le RGPD est très strict. Malgré tout, une étude menée par Varonis (Rapport Global Data Risk Report) montre que la sécurité des données en entreprise ne progresse pas, même un an après la mise en application du nouveau règlement. Ce rapport met en évidence que les entreprises sont en réalité de plus en plus nombreuses à exposer les données sensibles qu’elles manipulent (données de géolocalisation, informations de santé…). Et pour cause :

  • 22 % des fichiers traités par une entreprise sont accessibles à tous les collaborateurs de cette dernière ;
  • Avant la mise en application du RGPD, 41 % des entreprises laissaient environ 1000 fichiers en accès libre à tous les employés. Aujourd’hui, ce chiffre est passé à 53 % ;

Non-respect des obligations du RGPD

Les obligations imposées par le RGPD sont encore peu appliquées. L’obligation d’information en est une bonne illustration. Pour rappel, le RGPD impose à tout responsable du traitement de communiquer le sort réservé aux données des personnes concernées : finalités du traitement, durée de conservation… Laisser l’internaute sélectionner les informations qu’il accepte de partager reste un moyen encore bancal d’appliquer cet impératif réglementaire. Généralement noyé dans les longs textes des formulaires de collecte de données, la première réaction de bon nombre d’internautes sera de ne pas les lire.

L’apparition de nouveaux risques

Selon le Vulnerability and Threat Trends Report, le nombre de sites vulnérables a connu une augmentation relativement conséquente. Cela s’explique par l’évolution constante des techniques d’attaques utilisées par les cybercriminels et le retard d’application par les entreprises des dispositions du RGPD. Une autre raison qu’il ne faut pas oublier est que le processus de mise en conformité s’accompagne forcément d’une période de vulnérabilité car il implique une refonte intégrale de la politique de sécurité. On se retrouve alors face à une incertitude temporaire.

Le RGPD sur la bonne voie

Une meilleure sensibilisation aux enjeux de la protection des données personnelles

Avant le RGPD, le citoyen lambda n’avait qu’une vague idée des enjeux liés aux traitements de ses données personnelles. Cela malgré les nombreux exemples de scandales liés aux fuites de certaines données personnelles (photo dénudées, atteinte à la vie privée, etc.). La mise en application du nouveau règlement a néanmoins changé la donne. Et pour cause, si dans les années 2000, la CNIL ne recevait que 3000 plaintes par an, ce nombre est passé à plus de 100 000 en 2018.

Déjà des sanctions

Au cours de cette première année d’application du RGPD, les instances de régulation ont déjà prononcé des sanctions à l’encontre des entreprises contrevenantes. Google est l’entreprise qui a reçu la plus grosse amende : 1,49 milliard d’euros. Il reste que cette sanction peut être vue comme une sorte d’avertissement puisque l’amende peut, selon les textes de loi, atteindre jusqu’à 4% du chiffre d’affaire mondial en cas de non-respect de l’obligation de consentement.

En somme, cette première année peut être considérée comme une année d’indulgence, face aux nombreux écarts à la loi. Malgré les nombreux écarts et l’inertie des entreprises envers les obligations imposées par le RGPD, il y a eu peu de sanctions. Toutefois, si l’on en croit les dires de la CNIL, la tolérance touche à sa fin. L’institution va se montrer de plus en plus stricte vis-à-vis des entreprises contrevenantes.

Comment associer le Big data au RGPD ?

La constitution d’un Data Lake est inconciliable avec les principes prônés par le RGDP. Et pour cause, si le nouveau règlement introduit la notion de minimisation et de limitation de la durée de conservation des données, la pratique du Big Data amène l’entreprise à amasser toujours plus de données sans déterminer à l’avance l’utilisation qui en sera faite. Et pourtant, malgré ses contradictions intrinsèques, il est impératif pour l’entreprise d’associer le Big Data au RGPD sans quoi, elle s’exposerait à des sanctions plus ou moins lourdes. Mais alors, comment s’y prendre ?

Répertorier les données

La première étape pour mettre en conformité le Data Lake consiste à faire l’inventaire des lieux de stockage des données. Ce travail doit porter sur l’infrastructure Big Data, mais également sur tout le Système Informatique. Le but est de déterminer les exports de base de données effectués pour les besoins des différents pôles de l’entreprise : marketing, RH, commercial… Vous l’aurez sans doute deviné, répertorier les données du Big Data est une entreprise fastidieuse. Il existe néanmoins des outils de Data Discovery performants qui rendent la tâche relativement simple.

Anonymisation des données

Une fois qu’on dispose d’une cartographie détaillée du Data Lake, il s’agira par la suite de limiter les risques de fuite ainsi que les usages illégaux des données personnelles. Pour ce faire, une anonymisation maximum des données s’impose. Ici encore, diverses solutions logicielles peuvent être choisies (proxy d’anonymisation, hashage…).

Attention, un faible niveau d’anonymisation ne suffit pas pour écarter l’application du RGPD. Pour ne pas tomber dans l’illégalité, il est important de vérifier l’impossibilité de remonter à un individu après de multiples analyses ou après une corrélation des données. L’une des solutions pour limiter les chances d’identification consisterait à effacer le plus de données possible, ce qui rendrait les résultats d’analyse peu pertinents. L’anonymisation impliquerait alors une analyse poussée des données afin de déterminer celles qui seront les plus pertinentes aux Data Scientists et celles qui peuvent être effacées. Attention, une véritable anonymisation ne doit pas permettre à une identification de personne, un procédé intermédiaire, la pseudonimisation, consistant à conserver la clé de déchiffrage peut être une solution mais ne permet pas de s’exonérer du RGPD comme une véritable anonymisation.

Optimiser la sécurité du Data Lake

Outre l’anonymisation, l’entreprise doit recourir à d’autres mesures pour optimiser la protection de son Data Lake. Si elle en a les moyens, elle peut réaliser un chiffrement de son Data Lake. Mais surtout, l’entreprise doit penser à protéger son Data Lake contre « l’humain ». En fait, ce dernier reste le maillon le plus faible du système de sécurité d’un Système Informatique.

La mise en place d’un système de contrôle performant des accès est donc indispensable. L’idée est de s’assurer que ceux qui peuvent accéder aux Data Lake sont bien ceux qui possèdent les droits (Data scientist, Administrateur…). Il existe de nombreux logiciels de sécurité spécialement conçus pour la gestion des comptes. Le choix dépendra des impératifs et des préférences de l’entreprise.

Se conformer au RGPD : un combat de tous les jours

La mise en conformité avec le RGPD nécessite un travail de longue haleine. Et il faut garder à l’esprit que ce n’est pas un travail ponctuel. Pour se conformer au RGPD, l’entreprise doit adapter ses mesures de sécurité aux nouvelles technologies, et surtout aux nouvelles techniques des cybercriminels. Pour ce faire, des audits de conformité portant sur le Système Informatique de l’entreprise doivent être effectués régulièrement.

 

Compliance & technologie – congrès européen 16 & 17 mais 2019

,

Conférence au CHATEAUFORM’ CITY GEORGE V – PARIS – 16 & 17 MAI 2019

Aujourd’hui, dans l’univers de la conformité, trois piliers peuvent être identifiés : loi & règlements, éthique et technologie. La technologie joue un rôle de plus en plus important en lançant des challenges majeurs aux deux autres piliers tout en proposant des solutions en mesure de faciliter les processus de mise en conformité.

Les principaux thèmes de ce congrès sont :
• La conformité du concept à la pratique dans un environnement en constant changement
• Cloud & Conformité
• RGPD, Privacy by design
• Technologie et conformité : IA, Blockchain, IAAS
• Management des risques internes
• Retour d’expériences : la conformité expliquée par le secteur de la Finance

Le but de ce congrès est de mettre en évidence la meilleure façon d’utiliser la technologie pour atteindre une conformité réaliste, raisonnable et efficace.

Les places étant limitées,
nous vous prions de vous inscrire au plus vite.

>>Télécharger le pdf de présentation de la conférence

RGPD : plus de la moitié des start-up françaises ne sont pas aux normes

Le RGPD a été voté le 27 avril 2016 et est pleinement entré en vigueur le 25 mai 2018. Ce règlement s’applique à toutes les start-up qui gèrent des données personnelles de résidents européens. Ne pas s’y conformer expose la contrevenante à des sanctions pécuniaires et pénales relativement importantes. Force est toutefois de constater que presqu’un an après la mise en application du RGPD, plus de la moitié des start-up françaises ne sont pas encore aux normes. Une chose compréhensible étant donné l’effort qu’il faut déployer pour se conformer au RGPD.

Application du RGPD : les start-up françaises à la traîne

Une étude menée récemment par un cabinet spécialisé met en relief un fait déplorable : ¾ des start-up ne sont pas en conformité avec le RGPD. Les illégalités concernent surtout le non-respect de l’obligation d’informer. Pour rappel, depuis le 25 mai 2018, les entreprises doivent doter leurs sites internet d’un onglet renvoyant à la nouvelle réglementation. Or, plus de la majorité des start-up n’offrent aucun contenu RGPD.

Pire : sur les 23 % des entreprises qui font apparaître la réglementation sur leurs sites, une bonne partie oblige les internautes à faire des recherches poussées avant de trouver les informations sur le RGPD. À part cela, un bon nombre de sites internet ne mettent pas à disposition des utilisateurs de leur site des CGU et CGV. Enfin, 2/3 des start-up ne mentionnent pas la clause de compétence juridictionnelle. Cette clause est pourtant celle qui permet aux personnes lésées de déterminer le tribunal vers lequel elle devra se tourner.

Se mettre en conformité sans paniquer

Si la mise en conformité revêt un caractère urgent et impératif, il ne faut pas perdre de vue qu’elle représente également un travail ardu. C’est pourquoi les organismes chargés de faire respecter le RGPD sont cléments. Cela ne veut pas dire qu’une entreprise peut se permettre de retarder son application du nouveau règlement. Au contraire, il est temps d’enclencher le long processus de la mise en conformité, afin d’éviter les sanctions futures. Pour ce faire, voici un petit rappel des tâches à accomplir :

  • Relativiser l’ampleur de la tâche : la difficulté de la mise en conformité dépendra en grande partie de la taille de la base de données utilisée par l’entreprise. Mais même ainsi, il faut rappeler que seules les données personnelles entrent dans le champ d’application du RGPD ;
  • Se faire accompagner : pour se mettre en conformité rapidement, l’idéal reste de se faire accompagner par un expert en protection des données. Attention, tous les prestataires ne sont pas dignes de confiance ;
  • Désigner un responsable pour gérer le processus de mise en conformité : il ne s’agira pas forcément d’un DPO. Pour rappel, la désignation d’un DPO n’est obligatoire que lorsque l’entreprise traite des données à grande échelle, des données sensibles, réalise du profilage ou du contrôle ;
  • Inventorier les traitements de données : il s’agira de déterminer les différents traitements mis en oeuvre, leurs lieux de stockage et leurs finalités et de tenir les registre de ces activités de traitements ;
  • Classer les actions à mener par priorité : celles qui touchent à la protection des droits des personnes concernées doivent toujours passer avant toute chose ;
  • Déceler les risques : analysez le parcours de vos données pour déterminer s’il y a des risques éventuels (risques de fuite) ;
  • Revoir les processus internes : les principes prônés par le RGPD doivent être intégrés dans les habitudes de l’entreprise. Il faut donc sensibiliser l’ensemble des collaborateurs ;
  • Dresser une documentation retraçant les actions à mener pour rester toujours en conformité. Pour ce faire il existe des outils de gouvernance RGPD. (citer Privacil de DPMS ?)
  • Sensibiliser les acteurs (citer la solution RGPD puissance 4 digitale de DPMS ?)

RGPD appliqué aux PME : quels sont les avantages que vous pouvez-vous en tirer ?

Entré en vigueur en mai 2018, le RGPD est le nouveau texte de référence européen en matière de traitement des données à caractère personnel. À appliquer à toutes les entreprises, il est également valable pour les PME, et leur offre même un certain nombre d’avantages.

Une meilleure efficacité commerciale

L’application du RGPD au sein d’une PME offre avant tout le privilège d’améliorer l’efficacité commerciale de la structure. En effet, avant de vendre un produit ou de proposer des services, l’entreprise doit passer par l’étape de la prospection, afin de mieux connaître les éventuels clients d’une part, et de gérer plus facilement le processus de facturation d’autre part. En respectant les principes du RGPD et du traitement des données, vous avez ainsi à votre disposition des fichiers fiables qui concernent vos clients et vos prospects. Grâce à une base de données mise à jour et une gestion rigoureuse de vos données, vous pourrez ainsi optimiser le développement de votre chiffre d’affaires et gagner en productivité et en efficacité par la même occasion.

Une question de confiance

Contrairement à ce que l’on pense, l’application des dispositions du RGPD au sein d’une PME joue un rôle essentiel dans la mise en place d’un climat de confiance entre l’entreprise en question et ses clients. En effet, il faut savoir qu’en confiant ses données personnelles à une entreprise, un client ou un prospect tisse avec cette dernière une relation basée sur la confiance, tout en estimant que ses droits ainsi que sa vie privée seront respectés. En appliquant les droits fondamentaux relatifs au traitement des données, pour ne citer que le droit d’accès, le droit de rectification ou le droit à l’oubli numérique, l’entreprise concernée améliore son image de marque, et s’établit comme une entité à la fois sérieuse et responsable.

Créer de nouveaux services

En plus d’encadrer le traitement des données à caractère personnel, le RGPD offre également aux PME la possibilité de créer et de gérer de nouveaux services. En d’autres termes, les nouveaux concepts tels que la portabilité des données peuvent se traduire en de nouveaux services que l’entreprise peut proposer à ses clients et prendre en charge en toute sécurité. L’organisation ainsi que le développement de ces nouveaux outils (Privacy by design) s’établit non seulement comme un nouveau défi pour l’entreprise, mais lui offre également de nouvelles opportunités économiques qui influenceront à coup sûr la décision d’achat du consommateur.

Sécuriser les données de l’entreprise

Il faut savoir que depuis un certain temps, les failles de sécurité ainsi que les attaques informatiques n’ont cessé de se multiplier. Néfastes, celles-ci peuvent ensuite être désastreuses pour toutes les catégories d’entreprise, dont les PME, et tout particulièrement sur leurs activités. C’est pourquoi, en plus d’améliorer le niveau de sécurité générale de la structure, il est également important de sécuriser ses propres données. À l’instar du nom de la PME et/ou de son logo qui jouent un rôle essentiel dans le bon fonctionnement de l’entreprise, les données à caractère personnel doivent également faire l’objet d’une ou de plusieurs mesures de sécurité physiques et informatiques. La mise en œuvre et le respect des dispositions du RGPD contribuent ainsi à la sécurisation des données des PME.