15 octobre 2018

4 mois après… rien de nouveau sur la planète RGPD

BSSI_GDPR

Le RGPD c’est quoi ?

Voilà 4 mois que le RGPD est entrée en vigueur. Voici le moment pour nous de faire un bilan sur ces 4 mois et les différentes répercussions. Mais avant tout le RGPD c’est quoi ?

Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur depuis le 25 mai 2018. Comme son nom l’indique, il s’agit d’un règlement mis en place pour assurer la protection des données personnelles. Une donnée personnelle représente une donnée pouvant identifier une personne (Adresse mail, numéro de téléphone, religion, etc.).

Ce règlement étant Européen il affecte principalement les états membres, mais pas seulement. Toute entreprise traitant les données de ressortissants européens se doit d’être en conformité avec le règlement.

Qui dit règlement dit sanction, les plus lourdes peuvent alors atteindre 4% du Chiffre d’Affaire mondial ou 20 millions d’euros. La plus haute des deux étant conservée.

Parlons chiffres

Le RGPD fait peu à peu ses preuves et commence à être intégré par les utilisateurs. Selon la CNIL et en comparaison à l’année dernière, une hausse de 60% des plaintes a été constatée (3767 plaintes depuis mai contre 2294 l’année dernière). L’utilisateur final prend conscience que ses données lui appartiennent et qu’il peut en reprendre le contrôle.

Côté entreprises, 13 000 DPO (Data Protection Officer) ont été désignés par 24 500 organismes contre 5000 CIL (Correspondant Informatique et Libertés) avant le RGPD.

La CNIL semble par ailleurs bien remplir son rôle d’accompagnement. En effet, trois millions de visites sur le site depuis mai 2018 ainsi 150 000 téléchargements du règlement simplifié ont été enregistré.

Le consentement un aspect central

Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Ce fondement du RGPD n’est pas nouveau et était déjà présent dans la Loi Informatique et Libertés (1978).

Cependant avec l’arrivée du RGPD il permet un contrôle aux personnes concernées sur le traitement de leurs données.

Pour l’utilisateur quotidien d’internet, un changement radical s’est alors opéré :

On constate notamment que de nombreuses entreprises optent désormais pour l’OPT-IN. Celui-ci permet le recueil du consentement par une « action positive » de l’utilisateur quand auparavant l’OPT-OUT était bien plus répandu. Cela se matérialise par un « bandeau » lors de la première connexion au site invitant l’utilisateur à « accepter les conditions générales » pour poursuivre sa navigation.

FidzUp et Teemo

Lors de la mise en application du RGPD, la CNIL avait été claire. Les entreprises dans une dynamique de conformité (et pouvant en apporter des preuves) ne seraient pas nécessairement sanctionnées.

Cependant, la CNIL a déjà commencé à sévir et ce sont par exemple FidzUp et Teemo deux start-up spécialisées dans le ciblage publicitaire qui en ont fait les frais. Le 19 juillet 2018, la CNIL met en demeure les deux start-ups pour utilisation des données de géolocalisation d’utilisateurs de smartphones sans consentement préalable.

Ces deux sociétés ne développent pas d’application en soit, elles développent un SDK ou kit de développement. Elles le fournissent alors à leurs partenaires qui peuvent l’utiliser dans leurs propres applications permettant ainsi le ciblage publicitaire. Le SDK est de ce fait intégré au code de l’application du partenaire. Il permet ensuite aux deux start-ups de récupérer les données de géolocalisation sans consentement.

La CNIL a ordonné à ces entreprises de se conformer au règlement quant à la récolte du consentement des utilisateurs. Faute de quoi celles-ci ne seront plus autorisées à poursuivre leurs activités.

Cependant, les start-ups ne sont pas les seules à être touchées et les grands noms ne font pas exception. NOYB (organisation à but non lucratif) a déposé de nombreuses plaintes à l’encontre d’entreprises telles que Google, Apple, Facebook, WhatsApp ou Instagram leur reprochant un consentement forcé. Acteurs qui, selon toute vraisemblance, étaient les premiers visés lors de l’élaboration du RGPD.

Malgré cela très peu de sanctions ont été rendues publiques au vu du nombre d’auditeurs recrutés par la CNIL.

Bilan

Nos premiers accompagnements clients nous ont permis de constater d’une manière assez générale que, malgré le délai accordé aux entreprises (depuis l’adoption du texte en 2016), beaucoup reste encore à faire. Bon nombre d’entreprises et particulièrement les petites structures ne semblent pas être organisées et suffisamment formées.

Bien que l’appropriation soit lente, il existe cependant une réelle prise de conscience au sein des entreprises. Elle est principalement due aux sanctions et aux enjeux inhérents au règlement. L’aspect financier ne semble d’ailleurs pas être la principale inquiétude des entreprises ; la mise en demeure constituerait une crainte bien supérieure.

En effet, une telle sanction ternirait considérablement l’image de l’entreprise et aurait des conséquences dramatiques. C’est avant tout une perte de crédibilité, d’image de marque au sein de ses partenaires. Cette sanction devient alors beaucoup plus dure à encaisser.

La complexité de mise en œuvre du RGPD s’avère délicate par définition impactant le juridique et l’informatique ; deux services qui doivent apprendre à travailler ensemble dans un but commun.

Et l’addition ne s’arrête pas là, les entreprises devront bientôt travailler à la mise en conformité d’un autre règlement.

Adoptée en 2002 la directive Eprivacy ou directive cookie a pour but principal de respecter la vie privée dans le secteur des communications électroniques et des échanges de données. Il est ici question de la protection des données de communications électroniques par exemple le texte, la voix, les images, le son, les documents vidéo.

Dans une logique d’uniformisation avec le RGPD, la directive Eprivacy va elle aussi connaître une évolution pour devenir le Règlement Eprivacy. Tout comme le RGPD elle s’appliquera sur toutes les données de communications traitées au sein de l’UE mais aussi aux services externes traitant les données d’utilisateurs Européens.

Les sanctions sont elles aussi équivalentes au RGPD et la responsabilité s’applique autant aux fabricants de logiciels qu’aux fournisseurs de services.

Parmi les principaux thèmes, nous pourrons retrouver les cookies et le recueil du consentement. À peine remis du RGPD pour certains ou encore dans la démarche de mise en conformité, c’est un règlement auquel les entreprises vont de nouveau devoir faire face.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *