Près de 6 mois après l’entrée en vigueur du RGPD, quel premier bilan peut-on en tirer ? Les entreprises se sont-elles mises en conformité ? Des sanctions ont-elles été prononcées à l’encontre de sociétés ne respectant pas la loi ? Nous avons analysé les bilans et les actions menées par la CNIL afin d’en faire ressortir les points essentiels.
Bilan global
La CNIL a publié un premier bilan de la mise en conformité des entreprises françaises [1] 4 mois après la date d’application. Ainsi, 24 500 sociétés ont désigné 13 000 Délégués à la Protection des Données (DPO), la CNIL faisant la comparaison avec le nombre réduit de CIL (5000) dénombrés avant l’entrée en vigueur du texte. Sachant que désigner un DPO n’est obligatoire que sous certaines conditions : organisme public, traitement de données à grande échelle ou traitement de données sensibles. Le nombre de DPO est donc assez significatif et démontre la prise en compte par de nombreuses entreprises françaises du RGPD.
Cependant, désigner un responsable de la conformité ne veut pas dire que cette dernière est effective : d’après une étude Talend [2], beaucoup de sociétés sont en retard dans ce processus. En effet, sur 103 entreprises sondées, 70% n’étaient pas conformes c’est-à-dire qu’elles n’ont pas été en mesure de répondre aux demandes d’accès aux données personnelles et de portabilité dans le délai imparti d’un mois à compter de la réception de la demande. Si on peut critiquer la taille de l’échantillon et le critère de non-conformité retenu, cette étude démontre tout de même un réel retard de mise en conformité des entreprises.
Or cette mise en conformité est pressante, la CNIL ayant commencé à jouer son rôle de gendarme de la protection des données. Les mises en demeure récentes de Vectaury [3] et Singlespot [4], deux acteurs de l’adtech, pour non recueil du consentement client en témoignent. Pour ces deux entreprises, le régulateur souligne l’importance d’informer les utilisateurs des traitements de données effectués et surtout de leur offrir la possibilité de les refuser.
Un autre exemple saillant est la mise en demeure de sociétés d’assurance des groupes Humanis et Malakoff-Médéric [5] pour non respect de la finalité du traitement des données. Ces sociétés ont utilisé des données collectées dans leur cadre de mission de service public à des fins de prospection commerciale, pour faire la promotion de leurs propres produits et services, ce qui n’était pas la finalité première de la collecte de données. Cela est contraire au règlement, la CNIL l’a relevé et a donné un mois à compter de mi-octobre pour cesser cette pratique.
On peut également citer la mise en demeure de l’école 42 pour usage excessif de la vidéosurveillance [6], montrant ainsi que tous les systèmes de collecte de données et tous les types d’organismes sont susceptibles d’être contrôlés. Si la CNIL rappelle que les mises en demeure ne sont en aucun cas des condamnations mais plutôt des avertissements (la correction devant être apportée par l’entreprise dans un délai donné sous peine de sanction), le fait de rendre publiques certaines d’entre elles a pour double effet de montrer que la CNIL joue bien son rôle d’organe de contrôle et montrer publiquement les écarts aux règlements qui ne seront plus tolérés.
Pour Hatime ARAKI, DG Keley Data, il apparaît essentiel de prévenir ces mises en demeure publiques qui peuvent être fort néfastes pour l’image de la marque en particulier pour les entreprises B2C. Keley Data accompagne en ce sens les entreprises, des start-ups comme la plateforme de VTC Marcel jusqu’aux grands groupes comme Pierre & Vacances, dans leur démarche pour mettre en place des plans pragmatiques de mise en conformité.
La sécurité des données
Un deuxième bilan dressé par la CNIL est celui des notifications de violations de sécurité [7]: entre le 25 mai et le 1er octobre 2018, elle annonce avoir reçu 742 notifications concernant près de 34 millions de personnes. Les notifications sont envoyées par les entreprises ayant détecté une violation de leurs données dans un délai de 72h à compter de l’identification de l’incident. Ces violations concernent en très grande majorité (94%) des atteintes à la confidentialité des données c’est-à-dire que des données sont accessibles par tous ou par des personnes qui ne devraient pas y avoir accès.
La plupart (65%) des violations proviennent d’un acte externe malveillant (piratage, hameçonnage ou logiciel malveillant), d’où l’importance de sécuriser son SI et en particulier ses bases de données mais également de sensibiliser le personnel aux risques de phishing et à une bonne gestion des accès.
Faire appel à un cabinet spécialisé en cybersécurité tel que Provadys (partenaire de Keley) reste encore le meilleur moyen de renforcer la sécurité tant par des correctifs techniques que par des adaptations organisationnelles. A défaut, une plateforme de hacking vertueux permet de mettre à l’épreuve la sécurité de votre SI. Ces plateformes type HackerOne, Yogosha ou YesWeHack mettent en relation des « hackers » ou « chercheurs en sécurité » et des entreprises clientes. Les hackers réalisent des tests d’intrusion et sont rémunérés en fonction de l’importance de la faille détectée. A l’entreprise ensuite de corriger la faille.
Si le piratage reste difficile à empêcher à 100%, les entreprises peuvent tout de même renforcer leur politique de confidentialité et de sécurité des données en diffusant des bonnes pratiques à leurs employés : verrouillage de session, limitation de l’utilisation des supports amovibles, attention portée au travail en mobilité, vérifications et contrôles réguliers, etc. Quand on sait que 62 notifications reçues par la CNIL sont dues à l’envoi de données au mauvais destinataire et 43 sont des publications involontaires d’informations, on réalise l’importance de la mise en place de bonnes pratiques et la sensibilisation de l’ensemble des salariés !
Comme le montre la sanction de 250 000 € prononcée à l’égard d’Optical Center [8] (pour une infraction datant d’avant le RGPD), la CNIL ne plaisante pas en la matière et étant donné les nouveaux montants des sanctions permis par le règlement européen, les entreprises ont tout intérêt à faire de la sécurité de leurs données une priorité.
En conclusion
On va observer encore de nombreuses mises en demeure étant donné le retard pris par les entreprises dans leur démarche de mise en conformité. Et les premières sanctions vont bientôt tomber, la CNIL considérant que les entreprises ont eu largement le temps de se mettre en conformité.
Cependant, le meilleur exemple que peuvent donner la CNIL et ses équivalents européeens du G29 serait d’aller au bout des actions entreprises par des groupes de consommateurs comme celle de la Quadrature du net en France [9] contre les géants du Net.
[1] https://www.cnil.fr/fr/rgpd-quel-premier-bilan-4-mois-apres-son-entree-en-application
[6] https://www.cnil.fr/fr/videosurveillance-excessive-mise-en-demeure-de-lecole-42
[9] https://www.laquadrature.net/fr/plaintes_gafam_2