Temps de lecture estimé : 3 minutes
L’effet RGPD se fait sentir. Une forte majorité (66 %) de Français/es se disent plus sensibles qu’avant à la protection des données, à force qu’on leur répète que leurs données valent de l’or et que les scandales ancrent l’idée qu’on les détourne (sondage Ifop réalisé en octobre 2018 pour la Cnil). Lorsqu’elle a établi un premier bilan six mois après l’entrée en vigueur de ce règlement européen, l’instance Informatique et liberté avait reçu… 6 000 plaintes. Pas vraiment énorme. Un prochain point sera sous peu dévoilé à l’occasion de ce premier anniversaire du RGPD.
Logiquement, peu d’entreprises devraient prétendre être en conformité à 100 %. Complexe à comprendre, riche d’adaptations particulières, ce règlement exige bel et bien une profonde évolution des mentalités à travers tous les services d’une entreprise.
Raison pour laquelle beaucoup de sociétés ont entamé leur mise en conformité par la révision de leur site. C’est le plus visible, c’est le plus critique. Sage précaution ! La Cnil est alors en mesure de vérifier (de façon anonyme) la conformité de cette « vitrine ». Or, selon le récent Baromètre RGPD de Converteo (cabinet de conseil numérique et data) qui s’appuie sur une analyse de 100 sites (réseaux sociaux, e-commerce, retails, institutionnels…), le bilan se montre mitigé.
Le consentement doit être explicite et éclairé…
Côté positif, une meilleure information des utilisateurs sur l’exercice de leurs droits. Une forte majorité des sites étudiés (88 %) indiquent le contact du DPO (Data Protection Officer ou Délégué à la protection des données). 86 % affichent aussi le fameux bandeau un rien irritant lors de la première connexion qui propose d’accepter ou non leurs cookies* : accepter tout, ou accepter au cas par cas. La ruse est grossière. La plupart d’entre nous préfèrent tout accepter avec un petit regret, mais pas de temps à perdre à explorer les données autorisées et les autres. Rassurons-nous, ce tour de passe-passe ne saurait constituer une réelle conformité : c’est à l’internaute d’accepter ou non chacun des cookies et non de façon globale ! Mais pour l’heure…
Au négatif, le faible pourcentage de sites (18 %) qui disposent justement d’un cookie center via lequel les internautes gèrent eux-mêmes les cookies. Le principal point noir reste le consentement. Le baromètre indique qu’un tiers seulement des sites demandent le consentement à des fins de prospection commerciale. Il y a progrès : en 2017, ils n’étaient que 16 % à le demander…
La mise en conformité ne s’arrête pas au site. Loin de là ! Elle doit se penser « globale » et concerne tous les métiers de l’entreprise (du marketing aux RH en passant par le commercial) et les sous-traitants. Ce règlement de 99 articles a été rédigé afin de limiter les informations personnelles recueillies à l’insu des individus ou sans réelle justification par toutes les entreprises. Le contrat n’est pas tenu.
Les sites demandent d’accepter tout, ou accepter au cas par cas. La ruse est grossière. Rassurons-nous, ce tour de passe-passe ne saurait constituer une réelle conformité.
La mise en conformité implique de renforcer sa sécurité
Pour rappel, une donnée personnelle se définit comme toute information par laquelle il devient possible d’identifier directement ou indirectement une personne physique (salarié, client, prospect) : nom, numéro de téléphone, n° de Sécurité sociale, adresse IP… En outre, le RGPD prend en compte le traitement. Il s’agit d’une opération (ou ensemble d’opérations) portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, conservation, adaptation, modification, extraction, consultation, utilisation, etc.).
Du coup, qu’est-ce que la conformité ? Le RGPD oblige les entreprises à prendre des « mesures techniques et organisationnelles appropriées ». Il consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles. Ce qui concerne donc les prestataires.
Les entreprises ne doivent pas négliger ce point. L’article 28-1 du RGPD précise que lorsqu’un « traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ». Débrouille-toi avec ça ! Les entreprises doivent absolument revoir les contrats de leurs sous-traitants afin d’ajouter des clauses spécifiques aux RGPD. Or, les prestataires à même de traiter des données à caractère personnel sont nombreux : logiciels RH et CRM, hébergeurs de données, emailing, cloud…
Une énumération non exhaustive qui montre à quel point le RGPD d’un an n’est que le début d’un vaste chantier. C’est la raison pour laquelle les entreprises nomment un DPO en interne ou externalisent cette prestation. Même si elle n’est obligatoire que dans certains cas, cette nomination instaure un chef d’orchestre capable de mener à bien ce programme en profondeur et de limiter les risques de sanctions administratives et pénales… à venir.
Philippe Richard
*Cookie : fichier de faible poids enregistré sur le disque dur, le plus souvent à l’insu de l’internaute, lors de la consultation de certains sites. Il conserve des informations en vue d’une connexion ultérieure. Les Québécois parlent de « témoin ».
