RGPD, ce n’est qu’un début !

Depuis le 25 mai 2018, date d’entrée en vigueur du RGPD, la CNIL a instruit pas moins de 6000 plaintes, enregistré 1000 notifications de vols de données et recensé 7 millions de visiteurs sur le site éponyme contre 4,4 millions l’année précédente. Pour autant, une grande majorité des entreprises, notamment les PME, ont pris des mesures a minima pour répondre aux enjeux du règlement européen sur la protection des données. Et pour cause, la CNIL en 2018 n’a sanctionné aucune entreprise pour non-conformité au RGPD. Mais il serait présomptueux pour une organisation de penser qu’il est inutile de se mettre en ordre de marche ou que seule une mise à jour de la politique de confidentialité suffira à échapper au gendarme de la donnée. Car même si en 2018, la CNIL a préféré prévenir que sanctionner, il faut garder à l’esprit que le délai entre un dépôt de plainte et une éventuelle sanction est d’environ onze mois. Les premiers couperets pourraient donc commencer à tomber en ce début d’année.

C’est pourquoi les organisations doivent en finir avec les « mesurettes » et s’engager dans une stratégie globale et à long terme d’une bonne gouvernance des données, prioriser les chantiers et allouer les bons budgets. C’est d’ailleurs, ce que préconise le bilan de la CNIL publié en décembre. L’autorité de régulation estime, en effet, « que ces plaintes sont une bonne occasion pour les entreprises de « repenser leur organisation, notamment au regard de l’information des personnes et des modalités d’exercice des droits ».

Viser le minimum réglementaire acceptable à moindre coût, ne pas mesurer l’urgence de repenser la culture du traitement des données personnelles c’est établir la mauvaise feuille de route pour 2019. Car assurer à l’utilisateur une protection optimale de ses données c’est s’assurer d’enclencher un cercle vertueux où la confiance et la transparence sont les nouveaux leviers. En confiant en toute sécurité ses données à l’entreprise, l’utilisateur lui permet de construire de nouveaux services efficaces et pertinents, susceptibles d’encourager d’autres utilisateurs de confier, à leur tour, leurs informations. Ainsi, pourraient émerger des services « Privacy compliant », équivalents des produits bancaires éthiques. 

La confiance comme préalable à la pertinence ? Oui, à condition que les organisations jouent le jeu de la conformité. Et pour anticiper voire devancer demain, les organisations doivent s’atteler rapidement aux nouveaux enjeux : gérer les consentements, mettre en conformité l’existant en effaçant les millions de données stockées depuis des décennies, et enfin définir une méthodologie pour se conformer au nouveau principe du « privacy by design » incontournable du règlement.

L’arrivée du RGPD a eu pour principale vertu de rappeler combien la protection des données personnelles est importante. Près des 2/3 des Français y sont sensibles (sondage IFOP réalisé en octobre pour la CNIL) et près de 73% d’entre eux considèrent le RGPD comme efficace. Les entreprises doivent se remettre en question et donc redoubler d’efforts pour viser une conformité à long terme.

Car, à l’horizon 2020, dans le sillage du RGPD, le règlement ePrivacy doit remplacer la directive vie privée et communications électroniques 2002/58/CE, encadrant plus strictement l’utilisation des métadonnées et des cookies. Pour l’instant, les principaux opposants au règlement ePrivacy, géants du numérique en tête, intensifient les actions de lobbying auprès de la commission européenne et sont arrivés à retarder son application. Mais pour combien de temps encore ?

2019 s’ouvre donc sous le signe de la protection de la donnée.