Conformité au RGPD : comment rattraper votre retard ?

Nul n'est censé ignorer la loi et le non-respect du règlement général sur la protection des données (RGPD) peut coûter très cher : en décembre 2020, la CNIL infligeait 100 millions d'euros d'amende à l'encontre de Google pour non-respect du RGPD dans la gestion de ses cookies publicitaires. Quelques jours plus tard, Amazon écopait de 35 millions d’euros d’amende pour la même raison. Au-delà de ces peines records, des PME et TPE tombent elles aussi sous le coup de la loi et plusieurs ont fait l'objet d'amendes ces derniers mois.

Une réglementation désormais bien connue qui doit être observée à la lettre

Adopté par le parlement européen en avril 2016, le règlement général sur la protection des données (RGPD) est entré en vigueur depuis le 30 mai 2018. Conçu pour protéger les données personnelles des citoyens européens tant des abus commerciaux que des attaques informatiques, le texte définit 5 concepts de base que toute entreprise doit aujourd’hui observer.

• La mise en place de moyens de protection des données, notion de "Privacy by design" : tout système informatique doit non seulement être protégé des accès illicites, mais il doit désormais être conçu pour protéger la donnée personnelle qu'il est amené à manipuler.
• Un recueil du consentement du consommateur : dès lors que l'entreprise recueille des données personnelles, qu'il s'agisse d'une adresse email, des coordonnées postales ou bancaires d'un client ou d'un simple prospect, celle-ci doit obtenir un consentement explicite de la personne.
• La mise en place de procédures d'accès de l'utilisateur à ses données : l'entreprise doit mettre en place les processus pour répondre aux demandes d'accès, de modification et d'effacement des données par la personne dans des délais définis par la loi.
• Le droit à l'effacement ou droit à l'oubli : toute personne peut demander à l’entreprise d’effacer toutes les données qui la concernent. Quelques conditions s'appliquent à ce droit, mais l'entreprise doit être en capacité de l'exercer à tout moment et dans un délai de 1 à 3 mois maximum.
• La nomination d'un délégué à la protection des données : le DPO est en charge de l'application du RGPD dans son entreprise. Sa nomination est obligatoire dans certains cas seulement et il peut éventuellement être externe à l'entreprise.

Le RGPD est désormais un texte mature, bien connu des juristes et la CNIL a réalisé un gros travail d'évangélisation avec de très nombreux contenus en ligne pour aider les entreprises à se mettre en conformité. Néanmoins, le 1er octobre 2020, la CNIL a adopté une série de lignes directives modificatrices vis-à-vis de l'usage des cookies, ces petits traceurs très largement utilisés sur le Web notamment pour effectuer un ciblage publicitaire précis des internautes.

Par ces nouvelles lignes directrices, la CNIL précise :

• la notion de consentement vis-à-vis des cookies : la simple poursuite de la navigation sur le site Web n’est pas considérée comme un consentement ;
• seul un acte positif clair comme cliquer sur un bouton « J’accepte » permet le dépôt d’un cookie publicitaire sur le poste de l’internaute ;
• l’internaute doit avoir la possibilité de refuser tout traceur et le site doit l’informer sur la finalité des cookies déposés ;
• la CNIL recommande que la fenêtre de recueil du consentement comprenne un bouton « tout refuser ».

Agir pour se prémunir de tout risque d’amende

Pour les PME, la problématique est toute différente. Celles dont la donnée constitue la base de leur activité ont nommé des DPO et mené des actions de mise en conformité, mais beaucoup de PME et de TPE n’ont pas réellement pris conscience de l’importance du règlement européen. Même l’entreprise la plus traditionnelle a des fichiers clients, des bases de prospects et doit se plier aux règlements européens.

Les entreprises les moins matures sur la question doivent se former au plus vite à ces enjeux. Là encore, la CNIL propose outils et contenus pour accompagner les chefs d’entreprises.

• L’Atelier RGPD, le MOOC1 gratuit de la CNIL est le point de départ idéal pour prendre conscience des enjeux du texte européen et de ce qu’il implique au quotidien dans l’entreprise. 
• Outre le pied à l’étrier apporté par ce MOOC, il existe une vaste offre de formations en ligne ou en présentiel pour informer le personnel de l’entreprise aux fondamentaux du RGPD, des formations plus pointues sur des aspects plus spécifiques notamment liés au volet RH, à la cybersécurité ou encore à la gestion de risque.
• Des sessions plus spécifiques sont disponibles pour former le DPO. Celui-ci peut viser une certification de type « PECB Certified Data Protection Officer » après 5 jours de formation en moyenne. À noter que le DPO n’a pas à être un expert juridique ou un informaticien. Selon la culture de l’entreprise, la personne désignée pour devenir DPO peut venir du service juridique, parfois d’une direction métier, notamment dans le marketing, c’est quelquefois le directeur informatique ou le directeur du digital.
• Enfin, les PME et TPE ont la possibilité d’opter pour une personne externe, des sociétés spécialisées proposant les services de DPO en temps partagé.

Le RGPD au quotidien

La mise en place du RGPD demande un gros travail d’analyse de l’existant pour identifier toutes les applications et toutes les bases de données exploitées par l’entreprise susceptible de contenir des données personnelles.

• Une indispensable phase de mise en place

L’entreprise doit constituer ce que l’on appelle un registre des traitements où toutes les applications sont clairement référencées. En parallèle, il faut mettre en place les procédures pour traiter toutes les demandes issues des personnes qui veulent consulter, modifier ou supprimer leurs données personnelles. Ces procédures peuvent s’avérer complexes dans les grandes entreprises où la donnée personnelle peut être extrêmement morcelée entre de multiples silos de données. Dans ce type de projet, de nombreux services de l’entreprise vont être sollicités et il peut être judicieux de se faire aider par des sociétés de services qui maîtrisent bien les processus à mettre en place et qui auront un rôle neutre vis-à-vis des services internes. Un sponsorship du projet à un niveau hiérarchique élevé peut accélérer notablement ce type de projet très transversal. L’entreprise peut se tourner vers des sociétés de consulting, certaines ESN (Entreprises de services du numérique) ou encore leur cabinet d’avocats. Une PME a aussi la possibilité de se tourner vers son expert-comptable. Ainsi, en septembre 2020 le Conseil supérieur de l’ordre des experts-comptables et la CNIL ont signé une convention de partenariat afin d’aider les TPE et PME à s’approprier le RGPD.

• Assurer un suivi dans la durée

Une fois les processus en place, l’effort de mise en conformité RGPD ne doit pas s’arrêter net. En effet, le DPO doit être en capacité de suivre dans la durée le bon fonctionnement des processus mis en place. Un monitoring constant est nécessaire, notamment afin de veiller à ce que les demandes sont bien traitées dans les délais imposés par la loi. Ce qui peut sembler évident à tous au lancement du projet RGPD ne le sera plus nécessairement dans 1 an ou dans 5. De même, le DPO peut travailler avec la DPI (Direction de la Production Informatique) pour améliorer le fonctionnement des procédures mises en place, éventuellement les automatiser pour réduire encore les délais de réponse et soulager les collaborateurs qui doivent souvent faire face à cette charge de travail en plus de leur travail quotidien. De même pour le volet cybersécurité, la protection des données peut toujours être améliorée et le responsable de la sécurité du système d’information (RSSI ou DSSI) doit être dans une logique d’amélioration continue de la sécurité s’il veut être sûr de ne jamais avoir faire face aux conséquences d’une fuite de données qui pourraient être terribles pour son entreprise.
La protection des données personnelles doit être le souci permanent de toute entreprise. La conformité RGPD est le moyen de s’en assurer pour la CNIL comme pour le chef d’entreprise.

Generali se reconnaît pleinement dans les valeurs et les objectifs du RPGD : pour en savoir plus sur nos engagements, découvrez notre page dédiée.

1 Cours d'enseignement diffusé sur Internet.