RGPD : où en est-on ?

Google+ Pinterest LinkedIn Tumblr +

Un an après son entrée en vigueur, le Règlement général sur la protection des données (RGPD) continue d’être un sujet d’actualité pour nombre d’entreprises.

L’annonce de la mise en application du RGPD le 25 mai 2018 a fait du bruit. Une médiatisation qui aura eu le mérite de faire prendre conscience des enjeux autour de la protection des données, pour les professionnels comme pour les particuliers. Il n’y a qu’à noter l’augmentation de 30%, sur la dernière année, du nombre de plaintes par les citoyens pour s’en rendre compte. Les Français se sentent en grande majorité (70% selon une étude Ifop publiée en avril 2019) concernés par les problématiques liées à la protection des données.

Les entreprises ont, quant à elles, pris conscience des enjeux à des degrés variés. Malgré tout, la mise en œuvre du respect des exigences s’avère complexe, soit à cause du volume et du type de données gérées, soit par manque de compréhension du sujet.

 Le rôle de la CNIL

Le RGPD est placé en France sous l’autorité de la Commission nationale de l’informatique et des libertés. La CNIL a souhaité dans un premier temps accompagner les entreprises afin de les sensibiliser tout en implémentant des cadres de référence tels qu’une formation en ligne ouverte à tous, un modèle de registre des activités de traitement et la mise à disposition d’un logiciel permettant de réaliser une analyse d’impact.

Néanmoins, la CNIL peut aussi effectuer des contrôles et appliquer des sanctions. Et pour cela, les amendes administratives peuvent atteindre entre 10 et 20 M€ pour les entreprises et jusqu’à 4% du CA annuel mondial. « La CNIL sera plus ferme envers les entreprises » : un an après l’entrée en vigueur du texte, le discours de la nouvelle présidente de la CNIL en avril dernier annonce bien un changement de position pour l’autorité, qui s’était jusqu’à présent montrée « patiente ».

Néanmoins, les premières sanctions sont déjà intervenues. Ainsi, en 2018, 310 contrôles ont été effectués débouchant sur 48 mises en demeure. Depuis, certaines sociétés ont écopé d’une amende conséquente, comme Google LLC (50 M€), Uber (400 k€) ou encore Bouygues Télécom et Optical Center (250 k€).

Les grandes entreprises comme les petites

Un grand nombre d’entreprises ne sont pas encore conformes au RGPD. Or, il est important d’avancer sur la mise en œuvre de la réglementation car la CNIL est susceptible d’appliquer les mêmes règles de sanctions pour l’ensemble des structures. Nous rencontrons encore trop d’entreprises ne se sentant pas concernées par le RGPD ou pensant ne pas pouvoir être contrôlées au regard de leur taille. Il est vrai que la mise en œuvre peut paraître complexe pour certaines organisations manquant de temps et de moyens. Elles n’en font pas une priorité. Toutefois, ce projet de mise en œuvre est aussi l’occasion de remettre à plat l’efficacité de son  fonctionnement informatique et la gestion des données personnelles utilisées.

Nicolas Jolivet et David Faucon sont respectivement directeur du bureau de Nantes et manager spécialiste des sujets Data et système d’information.
Grant Thornton,
groupe d’audit, d’expertise-conseil et de conseil financier, accompagne les dirigeants et les entreprises, en France et à l’international, pour leur permettre de libérer leur potentiel de croissance.

Partager