Entré en vigueur en 2018, le RGPD est un texte fondateur pour la protection de la vie privée dans l’Union européenne. L’année 2021 a vu une augmentation des amendes pour non-conformité pour les entreprises françaises. En cause : de nombreux facteurs, notamment les nouveaux défis auxquels sont confrontées les sociétés, les problèmes liés au consentement, et surtout la pandémie en cours et le développement du travail à distance. Explications.
Où en sont les entreprises françaises avec le RGPD en 2022 ?
Depuis son entrée en vigueur en 2018, le RGPD a amené bien des transformations. Des transformations dans la sensibilité des consommateurs et utilisateurs finaux par rapport à la confidentialité des données et à la protection de la vie personnelle d’une part. Des transformations dans les processus, les moyens mis en œuvre et les organisations des entreprises d’autre part. Si l’on observe les chiffres du baromètre RGPD de Data Legal Drive réalisé en partenariat avec Lefebvre Dalloz et l’AFJE (l’Association française des juristes d’entreprise), il apparaît que près d’une entreprise sur deux (47%) considère qu’elle a un bon niveau de conformité par rapport aux prescriptions du RGPD. Près d’un tiers (31%) des organisations auraient désigné un Data Protection Officer (DPO). Par ailleurs, ce baromètre révèle que :
- 65 % des structures ont renforcé leurs systèmes de sécurité informatique,
- 60 % ont formé leurs salariés au RGPD,
- 53 % ont mis à jour leurs mentions légales, politiques de confidentialité et assuré la gestion des cookies de manière satisfaisante.
Et pourtant, malgré ce satisfecit apparent, la CNIL a récemment multiplié les sanctions à l’encontre de nombreuses entreprises…
Un bilan 2021 contrasté selon la CNIL
Si les entreprises ont, globalement, une vision positive des chantiers engagés pour être en conformité avec le RGPD, l’actualité récente démontre que des progrès doivent encore être faits. En effet, en 2021, la CNIL a infligé de nombreuses sanctions financières à des entreprises dont les pratiques n’étaient pas acceptables. Le montant des sanctions a atteint un total de 3,5 millions d’euros environ. Un chiffre pourtant nettement inférieur au montant global des sanctions appliquées en 2020, où 11 amendes avaient été infligées à des entreprises pour un total de près de 138 millions d’euros.
Mais c’était sans compter avec les décisions prises le 31 décembre 2021. La CNIL annonçait alors même une amende record à l’encontre de Google et sa filiale Google Ireland, pour un montant de 150 millions d’euro et de 60 millions d’euros pour Facebook Ireland (filiale européenne du groupe Meta). Cela faisait suite à divers contrôles sur les sites Internet concernés qui ont révélé qu’il était plus difficile pour les internautes de refuser les cookies que de les accepter. Parmi les entreprises sanctionnées par la CNIL en 2021, on trouve également des acteurs du retail, des sociétés de service ou des compagnies d’assurance. Même le ministère de l’Intérieur s’est vu infliger deux rappels à la loi, l’un sur les drones de surveillance et l’autre sur le fichier des empreintes digitales.
Pandémie, cybersécurité : quelles perspectives pour le RGPD en 2022 ?
Si la CNIL ne relâche pas la pression sur le respect des principes de base du RGPD, c’est aussi parce que les choses ont changé. La pandémie accompagnée du développement du télétravail, l’accélération de la digitalisation de l’économie ou encore l’adoption massive du e-commerce, ont amplifié l’enjeu de la protection des données. D’autant que parallèlement, la cybercriminalité explose. L’Anssi (Agence nationale pour la Sécurité des Systèmes d’information) a constaté une augmentation de plus de 255 % des cyberattaques entre 2019 et 2021, avec une montée en flèche des cas de ransomwares.
L’enjeu majeur du RGPD en 2022, c’est celui du passage à l’action sans délai. Alors que la cybermenace explose et que les autorités renforcent leur vigilance pour protéger la vie privée des citoyens, les entreprises doivent se saisir de l’enjeu. Au-delà des mesures techniques de protection des données, au-delà des efforts de mise en conformité réglementaire, votre défi c’est aussi l’accompagnement et la formation de vos collaborateurs.
Avec deux objectifs : limiter la surface d’exposition de votre entreprise à la violation des données, mais surtout créer les conditions de l’excellence dans l’usage des données au quotidien !
