RGPD_header

Le Règlement Général sur la Protection des Données : 4 ans après, quel bilan ?

Amandine Paralvas
Consultante

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Il encadre l’accès et l’utilisation des données à caractère personnel et s’applique à l’ensemble des résidents de l’Union européenne. Son adaptation au droit français par le décret n° 2019-536 complète la loi « Informatique et Libertés » et permet aux Français de mieux contrôler leur vie privée numérique. Il fixe un cadre unifié et exigeant pour l’ensemble des entreprises et organisations hexagonales, quels que soient leur taille et leur secteur d’activité.

4 ans de mise en conformité : de nombreuses sanctions ont été infligées en France…

Les entreprises et organisations ont engagé massivement des actions de mise en conformité au RGPD. Celles-ci ont surtout été motivées par la peur d’être sanctionné par la Commission Nationale de l’Informatique et des Libertés (CNIL), comme le révèle le baromètre RGPD publié par l’entreprise Data Legal Drive en partenariat avec Lefebvre Dalloz et l’Association Française des Juristes d’Entreprise.

L’année 2021 a représenté un record dans le nombre d’actions répressives menées par la CNIL :

  • 14 143 plaintes ont été reçues, dont 12 522 ont été clôturées
  • 384 contrôles ont été effectués
  • 18 sanctions et 135 mises en demeure ont été prononcées
  • Le total cumulé des amendes s’élève à plus de 214 millions d’euros

Les sanctions et les mises en demeure ont principalement porté sur le défaut d’information des personnes, les durées de conservation excessives des données mais aussi la gestion des cookies et l’utilisation des traceurs.

En 2022, la CNIL a prononcé une amende inégalée de 60 millions d’euros à l’encontre de Microsoft Ireland Operations Limited. Elle a notamment condamné les conditions abusives du dépôt de cookies sur le site www.bing.com. En effet, à la suite d’une plainte, la CNIL a enquêté et a constaté que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient déposés sur son ordinateur sans son consentement. Ces cookies poursuivaient un objectif publicitaire. La CNIL a ainsi justifié le montant de l’amende par l’ampleur du traitement, le nombre très élevé de personnes concernées et les gains publicitaires en résultant.

… et en Europe

Selon le cabinet CMS Francis Lefebvre, qui répertorie toutes les amendes rendues publiques, la CNIL et ses équivalents européens ont prononcé 438 sanctions pécuniaires pour infraction au RGPD, soit un montant total de plus de 830 millions d’euros. Ainsi, l’Union européenne joue un rôle pionnier sur la scène mondiale en matière de protection des données personnelles et de vie privée.

Sur la première marche du podium, l’Irlande et sa capitale Dublin, qui héberge le siège européen de nombreuses entreprises américaines de la Big Tech, a reçu un montant cumulé s’élevant à 687 millions d’euros. Parmi les autres entreprises visées se trouvent le groupe Meta (maison-mère de Facebook et d’Instagram) et Clearview, spécialisée dans l’intelligence artificielle et la reconnaissance faciale.

Arrivent ensuite la Grèce et la France avec respectivement 29 millions et 25 millions d’euros. Les entreprises françaises concernées sont de tailles et de formes juridiques diverses et incluent même des médecins libéraux.

Des actions concrètes en faveur du RGPD

La mise en conformité au RGPD des entreprises françaises progresse tout en s’inscrivant dans une démarche transverse et pérenne, comme le révèlent les résultats du sondage de Data Legal Drive :

  • Plus d’une entreprise sur 2 estiment avoir un niveau de conformité avancé, situé entre 50 % et 80 %.
  • 6 entreprises sur 10 ont entrepris des mesures de sécurités conformes à l’article 32 du RGPD. Les cyberattaques étant de plus en plus nombreuses, il est primordial de relever le niveau de sécurité des sites web.
  • Près de 67 % d’entre elles ont intégré une Consent Management Platform (CMP) à leur site web pour gérer la validation des cookies. Cette progression s’explique par les nouvelles directives de la CNIL qui ont exigé le recueil du consentement des internautes.
  • 40 % des sondés utilisant Google Analytics pour analyser l’activité de leur site web souhaitent migrer vers une solution alternative validée par la CNIL. 25 % persistent à utiliser Google en ajustant leurs paramétrages pour être conforme au RGPD.
  • 30 % des répondants ont digitalisé leur registre de traitement des données, notamment dans les secteurs du droit et de l’industrie. Toutes les entreprises du secteur Banque / Assurance participant à l’étude ont engagé la digitalisation de leur registre de traitement.

Les Délégués à la Protection des Données (DPO), des chefs d’orchestre avec peu de moyens

Ce constat est confirmé par l’enquête du cabinet Grant Thornton auprès de 125 DPO internes et externes. Depuis 2018, le rattachement des DPO a évolué au sein des organisations, passant de la Direction des Systèmes d’information ou la Direction Juridique à la Direction des Risques / Audit / Contrôle Interne, voire à la Direction Générale. Ce repositionnement démontre que la gouvernance des données n’est plus seulement un sujet informatique mais bien un sujet d’entreprise global.

Néanmoins, les moyens financiers stagnent depuis 2018. 55 % des DPO sondés les trouvent même insuffisants. En effet, le rattachement du DPO à une direction donnée joue fortement sur le budget alloué. L’intégration aux nouvelles directions permet certes une visibilité accrue mais s’accompagne fréquemment d’un budget limité ne répondant pas à l’intégralité des besoins. Il semblerait que les directions générales valident plus facilement les budgets après avoir reçu une sanction de la CNIL…

En 2018, les DPO s’appuyaient sur des ressources externes, mais ce n’est plus vraiment le cas en 2022. 66 % des répondants ont internalisé ses ressources au sein d’une équipe dédiée ou d’un réseau de correspondants. L’enjeu majeur du DPO est de coordonner toutes ces ressources et de les sensibiliser en continu à la protection des données dans leurs activités quotidiennes. L’objectif semble être rempli, puisque 65 % des DPO répondants sont avertis immédiatement d’une demande d’exercice de droits et 53 % d’une violation de données personnelles.

En revanche, le contrôle de la mise en œuvre du RGPD mériterait d’être amélioré. En effet, il n’existe pas de cadre unifié pour examiner les outils mis en œuvre et les procédures déployées. Ainsi, 26 % déclarent réaliser des audits ciblés et réguliers et 42 % optent pour un audit annuel réalisé soit par les équipes internes (DPO, audit ou contrôle interne), soit par un cabinet externe (cabinet d’avocats, cabinet de conseil, etc.). Enfin, 15 % ne réalisent aucun contrôle de conformité.

La gestion des tiers, un sujet en souffrance

Le traitement des données entre un responsable de traitement et un sous-traitant doit respecter le RGPD et être encadré par un contrat comprenant des clauses obligatoires. Passé le stade du recensement des contrats de l’entreprise, il convient de les contrôler et de les réviser en cas de manquement. Cette tâche est chronophage et demande des connaissances techniques et juridiques. Elle ne semble pas être priorisée dans les entreprises puisque 58 % des DPO pensent ne pas être en conformité sur ce point.

La contractualisation n’est pas la seule difficulté dans la relation avec les tiers. Le contrôle des partenaires laisse aussi à désirer. Le questionnaire de conformité est l’outil majoritairement utilisé à cet effet mais il n’est pas perçu comme efficient par 43 % des DPO. C’est pourquoi ils cherchent des solutions externalisées telles que l’audit annuel par un tiers externe ou des plateformes de type « tiers de confiance ». Ce sujet devrait progresser en 2023 avec la mise en place de la certification RGPD validée le 11 octobre 2022 par le Comité Européen de Protection des Données. Cette certification constitue le seul référentiel permettant à une organisation de faire reconnaître un niveau de conformité opposable au sens du RGPD par un tiers de confiance : l’autorité de certification ou l’autorité nationale de protection des données.

L’arrêt “Schrems II” : une relation heurtée avec les tiers situés hors de l’Union européenne

Les responsables de traitement comme les sous-traitants doivent évaluer les conditions encadrant les transferts de données et mettre en place les mesures adaptées pour garantir une protection équivalente à celle de l’Union européenne. Les Clauses Contractuelles Types (CCT) sont des modèles de contrats de transfert de données personnelles validées par la Commission européenne. Elles ont été mises à jour le 4 juin 2021 à la suite de l’invalidation par l’arrêt « Schrems II » le 16 juillet 2020 du Privacy Shield, le protocole de transfert de données entre l’Union européenne et les États-Unis en vigueur jusque-là. Les nouvelles CCT remplacent les précédentes qui dataient de 2001 et avaient été amendées en 2004, puis en 2010. Les responsables de traitement et les sous-traitants disposaient d’une période supplémentaire de 15 mois pour mettre à jour leurs CCT ou utiliser un autre outil de transfert.

Depuis le 27 décembre 2022, les anciennes CCT ne peuvent plus être utilisées. Or, selon le sondage de Data Legal Drive, seulement 38 % des répondants ont commencé le déploiement des nouvelles CCT. Les autres entreprises n’ont pas du tout lancé ce chantier, soit par manque de temps, soit par manque de connaissances. Elles expriment un réel besoin d’accompagnement sur ce sujet complexe.

Pour autant, de nombreux signaux sont encourageants quant à la prise de conscience et aux actions menées par les entreprises et les organisations françaises pour se mettre en conformité. Les DPO ont effectué un travail remarquable dans un contexte instable : la crise sanitaire, la digitalisation des méthodes de travail, le nombre accru des cyberattaques, les nouvelles recommandations de la CNIL, les nouvelles CCT… avec des budgets souvent limités au vu des travaux à accomplir. Cependant, il reste encore du chemin à parcourir sur la formation des salariés, les modalités de contrôles des outils et procédures internes, la contractualisation de la gestion des tiers et le contrôle des partenaires. Enfin, l’effacement des données excédant les durées de conservation dans les systèmes est loin d’être une réalité. De même, le chiffrement et l’encryptage des données, recommandés par la CNIL, souffrent d’un réel retard technologique en France alors même que la Direction générale des Finances publiques commence à l’imposer aux entreprises pour le dépôt de ses fichiers fiscaux. Un nouveau standard d’excellence à atteindre rapidement ?