Le quatrième anniversaire du RGPD pose de nombreuses questions. Alors que des amendes record ont été infligées ces derniers mois, pour plus d’un milliard d’euros, les entreprises peinent encore à considérer la mise en conformité comme un projet stratégique.
Lancé le 25 mai 2018, le RGPD (Règlement général sur la protection des données) vient de fêter ses quatre premières années d’existence. En tant que règlement européen, le texte adopté il y a quatre ans a été directement applicable dans l’ensemble de l’Union, sans nécessiter de transposition dans les différents États membres (contrairement à une directive).
Le concept de guichet unique, qui a constitué une véritable nouveauté pour le RGPD, a vocation à harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers. Il s’agit d’un mécanisme inédit permettant d’assurer la coopération et la cohérence entre ces autorités.
Si sa mise en place depuis 2018 s’est accompagnée d’une certaine « courbe d’apprentissage » pour les autorités, le système est aujourd’hui opérationnel. Plus de 809 procédures de coopération ont été mises en œuvre entre 2018 et 2021, à l’issue desquelles près de 300 décisions finales ont été adoptées. La CNIL a été désignée « autorité chef de file » pour 94 de ces dossiers et « autorité concernée » pour 400 dossiers (un dossier correspond généralement à une typologie de manquement pour un organisme donné, il peut comporter plusieurs plaintes).
79 % de notifications de violations supplémentaires reçues par la CNIL en 2021
En France, la CNIL recense 5 037 notifications de violations reçues en 2021 (en ne comptant que les notifications complètes et les initiales), contre 2 821 notifications en 2020, soit une augmentation significative de 79 %.
Plusieurs raisons expliquent cette forte hausse. Tout d’abord, la très forte croissance des attaques informatiques, notamment par rançongiciels, qui constituent la première menace de cybersécurité pour les entreprises, les collectivités locales et les organismes publics.
Ensuite, une meilleure appropriation de l’obligation de notification, résultant d’une meilleure prise en compte des enjeux de cybersécurité au sein des organismes, ainsi que la définition et la mise en œuvre de processus internes permettant de détecter et de réagir face aux violations de données personnelles. Enfin, des notifications par vague, lorsqu’un sous-traitant est concerné par un incident de sécurité et informe ses nombreux clients qui procèdent ensuite eux-mêmes à la notification.
1,6 milliard d’euros d’amendes infligées depuis quatre ans
Au niveau européen, le rythme des amendes infligées par l’Europe à certaines entreprises ne respectant pas le RGPD a connu une forte accélération ces 12 derniers mois. Alors que le montant des amendes n’était « que » de 300 millions d’euros il y a encore un an, il a bondi à plus de 1,6 milliard d’euros avec les amendes record infligées par le Luxembourg à Amazon (746 millions d’euros) et par l’Irlande à WhatsApp (225 millions d’euros).
En France, la CNIL a prononcé l’année dernière 18 sanctions, dont 15 amendes, pour un montant de 214 millions d’euros (138 millions d’euros en 2020), soit une progression non négligeable de 55 %. Sur les 18 sanctions, la moitié comporte un manquement en lien avec la sécurité des données personnelles. Quatre sanctions concernent une mauvaise gestion des cookies et autres traceurs. Des entreprises de renom ont été prises dans les filets de la CNIL : Carrefour France (amende de 2,25 millions d’euros), Carrefour Banque (800 000 euros), AG2R La Mondiale (1,75 million d’euros) et Free Mobile (300 000 euros).
Dépasser la peur de la sanction
Ces amendes sont nécessaires. Elles servent d’exemples aux autres entreprises et groupes, qu’ils soient français ou européens, incitant leurs dirigeants à prendre les mesures nécessaires afin de ne pas être concernés par ces sanctions. Mais il est dommage de constater que cette peur de l’amende reste encore aujourd’hui une des principales motivations pour se mettre en conformité.
Selon de nombreux DPO, les efforts de sensibilisation devraient être beaucoup plus perceptibles et devenir les véritables catalyseurs de la transformation attendue de la part des entreprises et organisations européennes. Il est en effet primordial que les dirigeants comprennent les enjeux liés au RGPD dans leur globalité. La mise en conformité RGPD est un projet d’entreprise à part entière. Il s’agit d’un enjeu systémique, qui ne dépend pas que de la seule Direction des Systèmes d’Information, ni du seul département Conformité et encore moins du seul DPO. C’est tout le comité de direction qui doit s’en saisir, afin d’aider le DPO dans ses tâches, nombreuses et complexes.
DPO : un travail complexe qu’il faut accompagner
Le DPO doit en effet veiller à ce que l’ensemble des applications historiques de l’entreprise (les applications « legacy »), soient en conformité avec le RGPD, que ces dernières aient été développées en interne ou qu’elles soient fournies par des éditeurs tiers, en mode SaaS ou « on-premise » (sur site). Le cas « Google Analytics » est emblématique de cette épineuse question : l’utilisation de ce logiciel, un des plus largement répandus dans les entreprises pour la mesure d’audience, pose aujourd’hui problème d’un point de vue protection des données.
Suite à la décision de l’autorité autrichienne de la protection des données (APD) relative au défaut de conformité de l’outil Google Analytics au RGPD, la CNIL a été saisie de la question suite à plusieurs plaintes de l’association NOYB. Dans ce cadre, la CNIL estime que ces transferts de données en dehors de l’Union Européenne induits par la solution interviennent en violation du RGPD et que, en conséquence, il apparait nécessaire de suspendre l’utilisation de Google Analytics dans les conditions actuelles. Le 10 février 2022, la CNIL a donc mis en demeure un gestionnaire de site internet français ayant recours à Google Analytics d’en cesser l’utilisation sous un mois.
Au-delà de Google Analytics, ce sont toutes les applications – officielles ou faisant partie du « shadow IT » -, ainsi que tous les fichiers Excel, bases de données et autres espaces de stockage proposés par la plupart des solutions de travail collaboratif dont il faut vérifier la conformité. Une tâche titanesque que de nombreux DPO ne parviennent pas à accomplir faute de soutien de leur direction générale, de moyens, de temps, de budget. Un constat aggravé par la montée en puissance du travail hybride qui a multiplié le nombre des supports sur lesquels les données sont stockées, de manière plus ou moins officielle.
La mise en conformité : un enjeu stratégique
Les directions générales se doivent aujourd’hui de prendre le sujet de la conformité RGPD au sérieux et de considérer le principe de « privacy by design » comme inaliénable. La cartographie des applications existantes doit être réalisée, des études d’impact (privacy impact assessment) doivent être menées, afin de savoir précisément ce que l’entreprise recueille comme données personnelles et de connaître leur parcours et leur cycle de vie.
La question de la mise en conformité RGPD n’est cependant pas qu’une affaire de technologie. La gouvernance, comme évoquée précédemment, est importante : un leadership assumé de la part de la direction de l’entreprise est indispensable. Qui plus est, la conformité RGPD peut également être vue comme une formidable opportunité de créer de la valeur pour toute l’organisation. Les dirigeants devraient en prendre, rapidement, conscience afin de donner à leur structure un temps d’avance par rapport à la concurrence.