RGPD : un retard de conformité qu’il convient de rattraper

Mouvant, le RGPD (Règlement Général sur la Protection des Données) peut paraître complexe pour les entreprises. Il y a pourtant urgence à combler le retard accumulé, tant pour éviter les sanctions que pour rendre plus vertueuses les relations avec ses clients et collaborateurs. Quelles sont les pratiques élémentaires ? Quelles sont les dernières évolutions ? Quels outils peuvent vous aider à être en conformité ?

Une application du RGPD loin d’être évidente

Plus de deux ans après l’entrée en vigueur du RGPD, un constat s’impose : de nombreuses entreprises ont accumulé un retard plus ou moins conséquent dans son application. Les derniers chiffres publiés par la CNIL (Commission Nationale de l’Informatique et des Libertés) en sont d’ailleurs l’illustration. En 2019, le gendarme français du numérique a reçu plus de 14 000 plaintes, soit une hausse de 27 % sur un an et de près de 80 % sur 5 ans, dont 2 287 portaient sur la violation de données personnelles. Au total, la CNIL a ainsi réalisé 300 contrôles l’année dernière et a adressé 7 amendes, pour un montant total de 51,4 millions d’euros¹.

Au-delà de règles parfois nébuleuses pour les plus petites structures, le cadre du RGPD n’a cessé d’évoluer depuis le 28 mai 2018. Dernier exemple en date : le 17 septembre dernier, l’article 82 de la loi Informatique et Libertés a une nouvelle fois été modifié afin de renforcer les exigences en matière de consentement des internautes, après un précédent changement à l’été 2019, qui achevait le processus d’adaptation du droit national au RGPD. Et si la CNIL entend faire preuve de mansuétude durant 6 mois, délai jugé nécessaire à la mise en conformité des entreprises, elle se réserve malgré tout le droit d’entamer des poursuites durant cette période, notamment en cas d’atteinte grave au respect de la vie privée³.

Des outils indispensables pour combler son retard

Face aux sanctions encourues et au potentiel mécontentement de leurs usagers, les entreprises se doivent de faire du RGPD une priorité, tout particulièrement pour celles ayant déjà pris du retard dans son application. La démarche pouvant s’avérer complexe, un premier réflexe s’impose : miser sur les outils proposés par la CNIL, qui permettent une mise en conformité « en douceur ».

• L’Atelier RGPD : gratuite et accessible à tous, cette formation en ligne (MOOC) s’adresse principalement aux profils juridiques et techniques de l’entreprise. D’une durée moyenne de 20 heures, elle vise à mieux appréhender le RGPD et permet l’obtention d’une attestation de réussite, preuve de la compréhension du sujet⁴. En l’espace de 2 mois, plus de 35 100 personnes ont d’ailleurs déjà suivi cet atelier virtuel⁵.
• Le registre des activités de traitement : rendu obligatoire par l’article 30 du RGPD, le registre doit recenser toutes les informations relatives aux traitements de données personnelles (parties prenantes, durée de conservation, usage, etc.). Pour en faciliter la tenue, la CNIL publie régulièrement des modèles de registre simplifiés, destinés tout particulièrement aux TPE et PME.
• Le logiciel PIA : pour certains traitements de données (profilage publicitaire, géolocalisation des utilisateurs, etc.), il est obligatoire de réaliser une AIPD (Analyse d’Impact relative à la Protection des Données). Gratuit et open source, le logiciel PIA en facilite la conduite grâce à une interface didactique reprenant toutes les obligations à suivre. Il est disponible en version logicielle et web.
• Le guide RGPD du développeur : contenant 16 fiches thématiques, ce guide vise à adopter les bonnes pratiques lors du développement de sites Internet et d’applications. Dévoilé en janvier dernier, il permet aux développeurs et aux chefs de projet de disposer de toutes les clés de compréhension pour faciliter le respect du RGPD à l’occasion de projets web et applicatifs.
• Les codes de conduite sectoriels : depuis le début de l’année, les organisations représentatives d’un secteur d’activité sont invitées à élaborer un code de conduite dédié à toutes les entreprises de leur secteur. À la fois simple et opérationnel, ce document doit permettre aux petites entreprises de simplifier leurs démarches de mise en conformité. En y adhérant, les employeurs sont accompagnés dans l’application du RGPD, tout en étant juridiquement contraints de suivre les règles édictées par le code.

Le b.a.-ba d’une mise en conformité efficace

Pédagogiques et relativement simples à appréhender, ces différents outils doivent permettre aux entreprises de se mettre en conformité plus facilement. Ils sont d’ailleurs indispensables pour mettre en place le plan d’action en 4 étapes recommandé par la CNIL.

• Constituez-vous un registre : si ce n’est pas déjà fait, votre premier réflexe doit être de vous créer un registre des traitements de données, notamment en vous appuyant sur le modèle simplifié abordé précédemment. Pour chaque activité de votre entreprise collectant et traitant des données (recrutement, formation, relation client, etc.), vous devez créer une fiche recensant notamment l’objectif du traitement, la nature des données utilisées, les personnes y ayant accès et la durée de conservation.
• Supprimez les données inutiles : grâce au registre, vous pouvez identifier les données qui ne sont pas utiles à votre activité et ainsi interrompre leur collecte. À titre d’exemple, il n’est pas pertinent de savoir que vos salariés ont des enfants si vous ne proposez aucun service en rapport avec cette caractéristique. C’est aussi l’occasion de vérifier la nature des données que vous collectez et, le cas échéant, d’adopter les bonnes pratiques dans le cas de données considérées comme sensibles (santé, télésurveillance, croisement d’ensemble de données, etc.).
• Respectez les droits des personnes : au moment de collecter des données personnelles, notamment sur le web, vous devez en informer les personnes (usage, droits, etc.), idéalement en utilisant les exemples de mentions fournies par la CNIL. Il est aussi nécessaire que les personnes dont vous traitez les données (clients, salariés, etc.) soient en mesure de faire valoir facilement leurs droits, que ce soit de rectification, d’opposition ou encore d’effacement. À titre d’exemple, cela pourra passer par la création d’un formulaire de contact, d’une adresse mail ou d’un numéro de téléphone dédié.
• Sécurisez vos données : en dernier lieu, la mise en conformité de l’entreprise passera par la cyber-sécurisation des informations collectées. Pour cela, vous devez prendre des mesures adaptées à la sensibilité des données, tels que le changement régulier des mots de passe, la mise à jour des logiciels ou encore le chiffrement des données.

Vous souhaitez aller plus loin dans la compréhension du RGPD ? Découvrez notre page dédiée, proposant vidéos, infographies, guides et formations, spécialisés selon votre fonction et votre secteur.

Pour aller plus loin sur le sujet RGPD, d’autres articles peuvent vous intéresser :

• RGPD : 1 an après l’entrée en vigueur, où en sont les entreprises ?
• RGPD : Le guide pour les Petites et Moyennes Entreprises [guide]
• RGPD : ce que doivent savoir les employeurs

Sources :
¹La CNIL publie son rapport d’activité 2019 – CNIL – 2020
²Données personnelles : les entreprises françaises dépenseront 1 milliard d’euros en 2018 – Le Figaro – 2017
³Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation – CNIL – 2020
⁴La CNIL lance sa formation en ligne sur le RGPD ouverte à tous – CNIL – 2019
⁵1 an de RGPD : une prise de conscience inédite – CNIL – 2019