Publié le 04/08/2023
Nul n'est censé ignorer la loi et le non-respect du règlement général sur la protection des données (RGPD) peut coûter très cher : en décembre 2020, la CNIL infligeait 100 millions d'euros d'amende à l'encontre de Google pour non-respect du RGPD dans la gestion de ses cookies publicitaires. Quelques jours plus tard, Amazon écopait de 35 millions d’euros d’amende pour la même raison. Au-delà de ces peines records, des PME et TPE tombent elles aussi sous le coup de la loi et plusieurs ont fait l'objet d'amendes ces derniers mois.
Adopté par le parlement européen en avril 2016, le règlement général sur la protection des données (RGPD) est entré en vigueur depuis le 30 mai 2018. Conçu pour protéger les données personnelles des citoyens européens tant des abus commerciaux que des attaques informatiques, le texte définit 5 concepts de base que toute entreprise doit aujourd’hui observer.
Le RGPD est désormais un texte mature, bien connu des juristes et la CNIL a réalisé un gros travail d'évangélisation avec de très nombreux contenus en ligne pour aider les entreprises à se mettre en conformité. Néanmoins, le 1er octobre 2020, la CNIL a adopté une série de lignes directives modificatrices vis-à-vis de l'usage des cookies, ces petits traceurs très largement utilisés sur le Web notamment pour effectuer un ciblage publicitaire précis des internautes.
Par ces nouvelles lignes directrices, la CNIL précise :
Pour les PME, la problématique est toute différente. Celles dont la donnée constitue la base de leur activité ont nommé des DPO et mené des actions de mise en conformité, mais beaucoup de PME et de TPE n’ont pas réellement pris conscience de l’importance du règlement européen. Même l’entreprise la plus traditionnelle a des fichiers clients, des bases de prospects et doit se plier aux règlements européens.
Les entreprises les moins matures sur la question doivent se former au plus vite à ces enjeux. Là encore, la CNIL propose outils et contenus pour accompagner les chefs d’entreprises.
La mise en place du RGPD demande un gros travail d’analyse de l’existant pour identifier toutes les applications et toutes les bases de données exploitées par l’entreprise susceptible de contenir des données personnelles.
L’entreprise doit constituer ce que l’on appelle un registre des traitements où toutes les applications sont clairement référencées. En parallèle, il faut mettre en place les procédures pour traiter toutes les demandes issues des personnes qui veulent consulter, modifier ou supprimer leurs données personnelles. Ces procédures peuvent s’avérer complexes dans les grandes entreprises où la donnée personnelle peut être extrêmement morcelée entre de multiples silos de données. Dans ce type de projet, de nombreux services de l’entreprise vont être sollicités et il peut être judicieux de se faire aider par des sociétés de services qui maîtrisent bien les processus à mettre en place et qui auront un rôle neutre vis-à-vis des services internes. Un sponsorship du projet à un niveau hiérarchique élevé peut accélérer notablement ce type de projet très transversal. L’entreprise peut se tourner vers des sociétés de consulting, certaines ESN (Entreprises de services du numérique) ou encore leur cabinet d’avocats. Une PME a aussi la possibilité de se tourner vers son expert-comptable. Ainsi, en septembre 2020 le Conseil supérieur de l’ordre des experts-comptables et la CNIL ont signé une convention de partenariat afin d’aider les TPE et PME à s’approprier le RGPD.
Une fois les processus en place, l’effort de mise en conformité RGPD ne doit pas s’arrêter net. En effet, le DPO doit être en capacité de suivre dans la durée le bon fonctionnement des processus mis en place. Un monitoring constant est nécessaire, notamment afin de veiller à ce que les demandes sont bien traitées dans les délais imposés par la loi. Ce qui peut sembler évident à tous au lancement du projet RGPD ne le sera plus nécessairement dans 1 an ou dans 5. De même, le DPO peut travailler avec la DPI (Direction de la Production Informatique) pour améliorer le fonctionnement des procédures mises en place, éventuellement les automatiser pour réduire encore les délais de réponse et soulager les collaborateurs qui doivent souvent faire face à cette charge de travail en plus de leur travail quotidien. De même pour le volet cybersécurité, la protection des données peut toujours être améliorée et le responsable de la sécurité du système d’information (RSSI ou DSSI) doit être dans une logique d’amélioration continue de la sécurité s’il veut être sûr de ne jamais avoir faire face aux conséquences d’une fuite de données qui pourraient être terribles pour son entreprise.
La protection des données personnelles doit être le souci permanent de toute entreprise. La conformité RGPD est le moyen de s’en assurer pour la CNIL comme pour le chef d’entreprise.
Generali se reconnaît pleinement dans les valeurs et les objectifs du RPGD : pour en savoir plus sur nos engagements, découvrez notre page dédiée.
1 Cours d'enseignement diffusé sur Internet.