Bientôt le premier anniversaire ! Qu’est-ce qui a changé depuis l’arrivée du RGPD ?

EXTIA
EXTIA
Apr 24 · 7 min read

Pour rappel, le RGPD — Règlement Général sur la Protection des Données — est un cadre légal en vigueur depuis 25 mai 2018 qui a pour objectif d’harmoniser la protection des données personnelles dans l’ensemble des pays de l’Union Européenne.

Qui n’a pas entendu parler du RGPD en mai 2018 ? Nos boîtes mail ont bien ressenti ce passage : mise à jour de politique des données personnelles, demande de consentement pour recevoir des newsletters par mail, demande d’acceptation des CGV… personne ou presque n’a été épargné par la vague de mise en conformité au nouveau règlement. Mais que se cache réellement derrière ce mouvement ? Est-ce que l’on peut espérer un vrai changement de paradigme ? Les changements dans les organisations sont-elles durables ou superficielles ?

Quelques chiffres peuvent nous aider à mieux comprendre le paysage post-RGPD. Un des points les plus marquants est la crédibilisation de la réglementation par des sanctions qui peuvent être bien sévères. Une autorité de contrôle peut décider d’une amende allant jusqu’à 4% du CA mondial ou 20 million d’euros. Mais le 25 mai 2018 arrivé, nous n’avons pas vu la pluie des amendes tomber, malgré les attentes de certains. Pourtant, les autorités de contrôle ne chôment pas depuis.

Le RGPD a obligé des organismes à remonter des failles de sécurité qui mettaient en danger les données personnelles dans les 72 heures après la découverte de problème. En janvier 2019, la CNIL confirme avoir reçu entre 1200 et 1300 notifications en l’espace de 8 mois. La majorité de ces incidents serait liée aux actes malveillants en provenance de l’extérieur de l’entreprise.

<infographie source CNIL>

Le nombre de plaintes remontées aux autorités est en hausse également. ICO, une autorité de contrôle du Royaume-Uni, signale une hausse des réclamations de 160% pendant l’été qui a suivi l’introduction de la nouvelle réglementation. En parallèle, JDSupra signale que depuis mai 2018, 31 autorités de l’espace économique européen ont pris note de 206,326 remontées concernant des données personnelles (plaintes individuelles et signalements des failles de sécurité par des entreprises,chiffre à fin février 2019). Parmi ces cas, 48% des dossiers restent encore à adresser. Les trois grands thèmes récurrents sont :

  • exercice du droit des personnes
  • droits des consommateurs
  • faille des données personnelles

Cela signifie qu’il y a une prise de conscience par les particuliers et entreprises au sujet de la protection des données. Ce n’est donc pas surprenant que les autorités mettent du temps pour analyser le contenu remonté. Elles doivent également bien définir les priorités pour traiter les points les plus impactants pour la protection des données des individus.

L’année 2018 peut être considérée comme l’année transitoire où la CNIL mettait l’accent sur l’éducation et l’accompagnement des entreprises. En revanche, 2019 a commencé par un point marquant dans l’univers de la protection de données. Fin janvier, la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de la société Google LLC en application du règlement RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. A date, c’est la plus importante amende prononcée par une autorité de contrôle européenne suite à la violation du RGPD. En effet, dès l’entrée en vigueur du nouveau règlement, la CNIL a reçu des plaintes collectives des associations None Of Your Business (« NOYB ») et La Quadrature du Net (« LQDN »). Ces organismes reprochent à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité. Le montant de la sanction se justifie par la gravité des manquements constatés qui concernent des principes essentiels du RGPD : la transparence, l’information et le consentement. Ces éléments peuvent être très impactants sur la vie privée des utilisateurs, vu le grand volume de données traitées et la variété des services proposés par Google, avec son système d’exploitation Android qui domine le marché. La CNIL, dans le communiqué officiel, souligne également qu’il ne s’agit pas d’une violation ponctuelle et que les manquements perdurent dans le temps. Selon l’autorité de contrôle, une société qui fonde son modèle économique sur la personnalisation de la publicité porte une responsabilité toute particulière en matière de la protection de vie privée de ses clients.

Cette décision de la CNIL envoie un message fort aux sociétés qui traitent des données personnelles. Les autres acteurs du web ne sont pas à l’abri des sanctions puisque les associations NYOB et LQDN ont déjà déposé les autres plaintes collectives.

L’amende pour Google est un exemple extrême du prix de la non conformité, même si l’effort de régularisation peut représenter également un coût important. Sans parler de la confiance des utilisateurs qui a une valeur inestimable pour les sociétés qui basent leur business model sur la valorisation des données personnelles. Il faut noter également que la CNIL n’est pas forcément dans la posture de sanctions immédiates. L’autorité de contrôle préfère, de manière générale, rappeler à l’ordre dans un premier temps et donner l’opportunité de rectifier la non conformité avant d’avoir recours aux sanctions financières. Le jugement de la CNIL est influencé par la posture de l’entité contrôlée. Les entreprises qui se montrent de bonne foi et coopèrent seront vue d’un bon oeil.

Cette approche est bien illustrée par le cas de Teemo, un spécialiste en drive to store basé sur la géolocalisation. Dans le modèle développé par l’entreprise, l’information sur les déplacements des utilisateurs a été collectée via des smartphones. La donnée de géolocalisation donne des nombreuses opportunités de valorisation, par exemple la personnalisation de l’offre commerciale : l’annonceur peut pousser une publicité au moment où l’utilisateur s’approche de la boutique. Petit à petit, Teemo a capté des données d’environ 10 millions d’utilisateurs dans ses bases. Mais, en juillet 2018, la CNIL a estimé que la collecte n’était pas légale car les utilisateurs n’avaient pas donné leur consentement. Selon la réglementation, l’accord de l’utilisateur doit être donné de manière “libre, spécifique, éclairé et univoque”. Cela veut dire qu’il doit comprendre le traitement qui sera fait sur ses données, qu’il doit pouvoir choisir sans contrainte d’accepter ou non ce traitement et qu’il peut changer d’avis librement. Ce n’était pas le cas pour les services proposés par Teemo. La CNIL a donc décidé de mettre la société en demeure et de rendre cette décision publique. Le régulateur n’a pas exigé d’amende mais a donné 90 jours pour rendre le processus conforme. Suite à cette décision, Teemo a accepté de changer ses pratiques et a suspendu ses services le temps de la mise en conformité. Le régulateur et l’entreprise ont travaillé conjointement afin de développer un langage spécifique concernant l’utilisation des données de géolocalisation par des sociétés tierces. Aujourd’hui, la collecte de consentement est effectuée grâce à une bannière affichée dans les applications partenaires, points de collecte de la géolocalisation. Le texte de la bannière explique précisément l’usage qui sera fait avec la donnée de géolocalisation et donne l’accès à la liste des partenaires concernés. L’utilisateur a donc toute l’information nécessaire pour accepter ou refuser le traitement.

<La bannière d’après MarTech Today>

Il y a une grande chance que ce mode opératoire devienne un standard du marché. En tout cas, les utilisateurs semblent apprécier cette communication car le taux des opt-in approche de 70%. Les mobinautes ont besoin de sentir qu’ils ont le contrôle sur leur données. Cela prouve également que si la demande est faite dans un contexte approprié et avec un langage compréhensible, il y a plus de chances d’obtenir un consentement. Et Teemo démontre que la conformité légale peut constituer un vrai avantage concurrentiel.

Quels sont les autres bénéfices de la conformité au RGPD ?

Un rapport de Cisco (Cisco 2019 Data Privacy Benchmark Study), basé sur une enquête menée parmis des professionnels de la sécurité informatique et protection des données, nous donne un aperçu intéressant. Selon cette étude, 59% des entreprises annoncent être conformes au RGPD, et 29% de personnes interrogées estiment que leurs sociétés seront conformes d’ici un an. Le délai de la régularisation sera un peu plus long pour 9% des entreprises, et les 3% restants estiment que le RGPD ne s’applique pas dans le cadre de leur organisation.

Les entreprises reconnaissent qu’après avoir investi dans la mise en conformité, les violations de données personnelles sont plus rares et moins coûteuses. Seulement 37% des entreprises conformes au RGPD ont noté des violations de données qui ont provoqué une perte d’au moins 500 000 $, contre 64% des entreprises non conformes. Le temps d’indisponibilité de service était également inférieur.

Une grande majorité des entreprises note également des bénéfices supplémentaires qui dépassent le simple fait d’être conforme à la loi. Les organisations deviennent plus agiles et ouvertes à l’innovation et remarquent du progrès dans l’efficacité opérationnelle. La conformité au RGPD permet de se différencier par rapport aux concurrents sur le marché. La maîtrise de la protection des données permet également de maximiser la valeur des données grâce au renforcement de la confiance et la satisfaction des clients, et cela se reflète dans les résultats de l’entreprise.

Malgorzata LEWANDOWSKA, Consultante Experte RGDP, EXTIA.

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade