Le RGPD est entré en application le 25 mai 2018 provoquant chez certains une vague de panique, chez d’autres une phase d’observation pour comprendre de quoi il en retournait exactement.

Quoiqu’il en soit, cette année écoulée, marque aux yeux de la CNIL l’achèvement de la période de transition  pour rentrer désormais dans une ère où le RGPD doit s’intégrer de manière « naturelle » à l’activité normale de l’entreprise.

Cette année de transition a permis à chaque entreprise de :

  • Recenser les données personnelles qu’elle détenait
  • Analyser la pertinence de la détention de ces données
  • Fixer un temps de conservation de celles-ci
  • Sensibiliser, former, relayer l’information auprès des différents tiers (clients, fournisseurs, personnel)
  • S’assurer et/ou renforcer la sécurisation du stockage de ces données et de leur accès

Les process et responsabilités de chacun ont ainsi été cartographiés.

Si à ce stade de lecture, un « oups ! » vous effleure les lèvres, sachez que la CNIL multiplie les outils pour vous accompagner dans la mise en conformité avec le RGPD comme :

  • La mise à disposition d’un kit développeur pour les start-up
  • L’élaboration de nouveaux cadres de référence sous forme de règlements type (exemple : gestion des ressources humaines ou encore gestion de la relation client)
  • La formation sous forme de MOOC directement sur le site de la CNIL.fr
  • La mise à disposition d’un registre des activités de traitement

L’ année 2 du RGPD, quant à elle, pourrait bien être un peu plus répressive.

Quand on croise une augmentation de +32% selon F-secure des cyberattaques en France en 2018 avec une augmentation des plaintes à la CNIL de +30% en France sur l’année écoulée chez les particuliers et  2044 notifications de violation de données chez les pros, la vigilance ne peut être qu’accrue.

Les réglementations, également internationales, vont se durcir face au risque : prenons pour exemple la proposition de réglementation émise sur la cybersécurité par la Securities and Exchange Commission qui placera la responsabilité personnelle sur la direction et les membres de conseil d’administration.

En attendant, des premières sanctions pécuniaires ont déjà été prononcées et pas forcément uniquement pour de très grandes entreprises.

Bien entendu, nous avons en tête la sanction de 50 millions d’euros à l’encontre de Google en janvier 2019 pour son manque de transparence et d’information et son absence de recueil de consentement.

Mais citons, la sanction, moins médiatisée, appliquée à une entreprise d’ achat, vente, location et gestion immobilière au printemps 2019 comptant 486 salariés – 43 millions d’€ de C.A.. Le motif : atteinte à la sécurité des données et non- respect des durées de conservation.

Les internautes déposaient sur le site internet les différentes pièces justificatives de leur dossier. Or, il s’avère que ces données étaient « facilement » accessibles via une simple modification dans l’adresse URL. L’internaute pouvait non seulement retrouver ses propres données mais également celles d’autres clients.

900 000 € d’amende initialement requis, 400 000 € au final prononcée.

Autre cas, tout récent (18 juin 2019) : une TPE de 9 salariés spécialisée dans la traduction, a été condamnée à une amende de 20 000 € pour vidéosurveillance excessive de ses salariés et a reçu une injonction pour prendre des mesures pour assurer la traçabilité des accès à la messagerie professionnelle partagée.

Pas de panique pour autant (sauf si vous êtes de manière flagrante en infraction entraînant des risques majeurs pour la sécurité des données…), tout un processus de contrôle est mis en place par la CNIL précédant une telle sanction. Pour mieux le comprendre, nous vous invitons à consulter le schéma en cliquant sur le lien ci-dessous.

procédure contrôle CNIL

Enfin, au-delà de la vision répressive du RGPD, il est intéressant de l’aborder sous son angle commercial. La réassurance de vos clients concernant la confidentialité de leurs données peut être également un véritable facteur de différenciation.

Confidentialité, qui passera d’une part par un système sécurisé (et nous sommes là pour çà 😉), et d’autre part par une sensibilisation et formation accrues des salariés à la protection des données.

 

Sources: www.cnil.fr