Retour sur le site entreprise
La protection des données personnelles a occupé les esprits en 2018 (et pris un peu la tête des entreprises, il faut bien le dire). Mais l’adoption du RGPD se fait lentement mais sûrement. Bilan et perspectives..
Le RGPD, le « Règlement Général sur la Protection des Données » est entré en application depuis près de 6 mois. Et autant dire qu’il a mobilisé les DSI, mais pas uniquement, pour se mettre en conformité avec les nombreuses mesures qu’il comporte. Ce règlement européen vient encadrer les pratiques en matière de collecte des données, les entreprises devant explicitement demander le consentement des usagers. Le texte renforce aussi le droit à l’oubli, prévoit la désignation d’un délégué à la protection des données ou le recensement par les professionnels des différents registres en place.
4% du CA de l’entreprise
Gare aux manquements, car les amendes théoriques peuvent s’élever jusqu’à 4% du chiffre d’affaires. La CNIL (Commission Nationale Informatiques et libertés), autorité administrative qui suit le sujet de très près note une appropriation progressive du RGPD, puisque 24 500 organismes avaient désigné un délégué à la protection des données (DPO) fin septembre. Mais il y a encore de la marge, compte tenu du nombre de sociétés qui traitent des données personnelles.
600 notifications recensées de violations de données
De plus « il y a encore une méconnaissance sur ce qu’il est nécessaire de faire. Par exemple, beaucoup de sociétés avec lesquelles nous travaillons nous adressent des documents à signer pour se protéger, alors que nous ne sommes pas forcément concernés » explique Yvanne Dingli, responsable sécurité et continuité d’activité pour Bouygues Telecom Entreprises. « La vraie question à se poser c’est plutôt : est ce que les sociétés avec lesquelles je travaille vont traiter des données personnelles du fait de ma demande ? », et qui dans ce cas tombent sous le coup du RGPD. Chez Bouygues Telecom Entreprises, le travail de mise en conformité a démarré il y a un an et demi. “Nous avons procédé à une vérification des contrats, des demandes. Chaque entité a énuméré ses actifs et recensé les différents lieux ou il y a des données personnelles. Mais la part la plus importante du travail est de sensibiliser les gens, les former à la sécurité et à la prise de conscience des enjeux” poursuit Yvanne Dingli.
A fin septembre, plus de 600 notifications ont été recensées en termes de violations de données, concernant plus de 15 millions de personnes. Plusieurs sanctions ont ainsi été prononcées (pour des contrôles antérieurs).
En juillet, la CNIL épinglait les sociétés de ciblage publicitaire Fidzup et Teemo. En octobre, c’était au tour de Singlepost. En novembre, c’est Vectaury qui se faisait sermonner. A chaque fois pour des motifs similaires. Ces startups n’avaient pas recueilli le consentement des personnes pour utiliser leurs données (notamment la géolocalisation) dans les applications mobiles qu’elles développent pour des enseignes partenaires. Dans ce cadre, Vectaury a ainsi trois mois pour se mettre en conformité dans le recueil des consentements, faute de quoi elle risque une sanction de la CNIL.
« La vraie question à se poser c’est plutôt : est ce que les sociétés avec lesquelles je travaille vont traiter des données personnelles ? »
5 millions d’européens touchés
Un autre cas sensible est apparu fin septembre, lorsque Facebook a révélé une faille de sécurité majeure qui aurait permis à des cybercriminels d’accéder aux données de 50 millions d’utilisateurs, dont 5 millions d’européens. Les autorités irlandaises, compétentes en la matière, vont enquêter sur ce dysfonctionnement avant de prononcer une sanction, si celle-ci s’applique.
On l’aura compris, le RGPD est un défi pour toutes les structures, et des réflexions sont à l’œuvre pour améliorer sa prise en compte. L’heure n’est pas encore à sanctionner sans discernement les entreprises en retard. Mais la thématique de la protection des données n’est pas nouvelle, puisque des dispositions antérieures au RGPD existent, et se doivent d’être appliquées.
Vers un code de conduite clair ?
Pour accompagner les professionnels, la CNIL doit adopter prochainement trois référentiels relatifs à la gestion clients et prospects, aux ressources humaines et aux vigilances sanitaires. Ces textes seront discutés en concertation avec les publics concernés « pour co-construire les outils de régulation ». Des codes de conduite sont également en cours de rédaction, par exemple sur le cloud, tout comme une formation en ligne pour se familiariser avec les principes du RGPD, afin d’être mieux informé et mieux armé. D’autant plus que le texte comporte des subtilités : si le droit à l’oubli existe en matière de données personnelles (par exemple pour un compte Facebook), certaines entreprises doivent obéir à des lois qui peuvent apparaître contradictoires. Dans la téléphonie par exemple, les opérateurs ont obligation de conserver les données liées aux appels téléphoniques pendant un an, et les factures pendant 10 ans !
