La France est N°1 des amendes #RGPD. Les fournisseurs IT en ligne de mire.

114 millions d'euros. C'est le montant des amendes infligées en Europe dans le cadre du #RGPD, pour 161 921 notifications d'incidents. Ces chiffres sont un début, puisque le nombre d'incidents augmente.

La place de N°1 attribuée à la France est due à l'amende de la #CNIL infligée à Google, pour 50 millions d'euros. A vrai dire, la démarche a surtout été portée par des associations ( None Of Your Business #NOYB et la #QuadratureduNet ). Le plus gros montant était auparavant de 400 000 euros à l'encontre de Uber.

A noter que la sanction contre Google ne couvre que la création d'un compte (notamment après l'achat d'un téléphone android) alors que les plaintes portent aussi sur Youtube, Gmail, Google search, etc.......

La place de N°1 met la France en position de leadership sur le sujet. L'Europe entière observe les impacts de cette décision que nos voisins ont hésité à cautionner.

Cette position est symbolique, une spécialité française. Sans Google, la France serait en 6ème position, près des chiffres de la Pologne et derrière l'Espagne.. Si l'administration ne réussit pas à encaisser les 50M€ ou si elle ne trouve pas de relais l'année prochaine, quelle sera sa réaction. Positive : les infractions sont en baisse et la pression sur les Gafa est engagée, ou Négative : il faut maintenir la position et intensifier les contrôles et les condamnations.

MONTÉE EN PUISSANCE DU DISPOSITIF

Considérant la phase de préparation des entreprises terminée, l'administration risque fort de prendre goût aux sanctions. Chaque entreprise doit en être consciente. D'autant plus que le processus pour déposer une plainte se fait assez simplement en ligne (www.Cnil.fr/plainte) et que les associations semblent pousser à l'action, y compris sur des micro infractions, sans conséquence majeure.

"Chacun des salariés de chacun de vos clients peut déposer une plainte contre vous.."

Plusieurs analyses montrent que la tendance de la société est à l'indignation sur le non-respect des droits individuels. La violation du RGPD en fait partie. Les commissions jugeant la culpabilité des contrevenants risquent de ne pas être clémentes.

LE SECTEUR IT DANS LE VISEUR

Trois facteurs mettent les entreprises du secteur IT en première ligne.

• L'immense majorité des traitements est digitalisée. Par conséquent, les éditeurs et intégrateurs de solutions sont systématiquement au coeur des violations RGPD. Y compris un CRM, un ERP ou une solution de mobilité. Chaque application collecte et traite des informations sensibles.
• La notion de "sous-traitant" est centrale. Ne pensez pas que ce sont les clients faisant l'usage de la solution qui sont responsables, vous êtes généralement le "sous-traitant" au sens du RGPD. Donc responsable. Le #Saas accroit ce risque de responsabilité car VOUS réalisez le traitement (pour le compte de votre client... en effet ).
• L'administration s'est formée sur des dossiers majoritairement IT. Il en résulte une "compétence" spécifique qui incite les agents à scruter spécifiquement ce marché. Il faut reconnaitre que Google est un cas d'école qui doit en faire rêver plus d'un à la CNIL..

Une conclusion intermédiaire ? Faites intervenir un expert RGPD (un vrai), ne collectez plus vous-même d'informations stratégiques sur vos clients (voir article dédié www.ScoreFact.com/blog)

>> SUITE DES ARTICLES <<

• Anticiper le risque d'image
• Gérer la collecte d'informations auprès des clients
• Concilier stratégie Data Centric et RGPD
• Concilier Customer Success et RGPD

Raphaël d'Halluin

rdhalluin@scorefact.com