Le 25 mai 2018, le RGPD (règlement général sur la protection des données) était présenté comme une révolution sur le plan européen. Ce texte ambitieux visait à redéfinir les les droits des citoyens et les obligations des entreprises en matière de données personnelles dans toute l’Union européenne (UE). Un an plus tard, quel bilan peut-on dresser du RGPD et de son application par les entreprises françaises et sur l’évolution de leurs pratiques dans ce domaine…
Le RGPD, une prise de conscience avant tout
Au delà de l’aspect mise en application, le RGPD a eu le mérite de bousculer les mentalités et de provoquer une réelle prise de conscience tant de la part des entreprises que des consommateurs sur les enjeux de la protection des données personnelles. Comme le montre un récent baromètre CNIL/IFOP indique ainsi que 66% de la population française se dit aujourd’hui plus sensible au sujet qu’avant la mise en vigueur du règlement.
Néanmoins, beaucoup de chantiers sont encore à mettre en place et les entreprises ciblant les marchés BtoC ont encore de gros challenges à relever pour appliquer pleinement le RGPD. Pour preuve, les clients reçoivent encore trop souvent des newsletters ou des appels de prospection téléphonique sur leur numéro ou adressse mail personnels alors même que ces informations n’ont pas été divulguées avec le consentement de l’intéressé…
Certes les choses ont évoluées dans ce domaine : avant le RGPD, très peu d’entreprises avaient mis en place une véritable gouvernance autour de la protection des données personnelles.
Dans le rapport IAPP-EY 2018, environ 50% des entreprises interrogées ont désormais mis en place une organisation dédiée, et la CNIL dénombre déjà 51.000 DPO (Data Protection Officers) dans les entreprises françaises.
Une prise de conscience internationale
Au delà des frontières européennes, le RGPD s’est imposé en un an comme un standard international de la protection des données. Il a notamment inspiré l’Etat de Californie, aux Etats-Unis, dans l’écriture de son propre texte. Nouvelle ère ou opportunisme, certains géants du numérique américains louent en tout cas aujourd’hui les mérites du RGPD, signe d’un changement de perception des enjeux liés aux données personnelles dans le monde, et en particulier outre-Atlantique.
A ce sujet, le patron de Facebook, Mark Zuckerberg expliquait justement lors d’un récent passage à Paris devant une poignée de journalistes : « Ce que je défends c’est que le RGPD soit adopté par davantage de pays ». Propos assez ironiques quand on voit les scandales auxquels est mêlé Facebook dans le domaine de la protection des données personnelles. Dans une tribune au New York Times, son homologue chez Google, Sundar Pichai, notait que « l’Europe a élevé le niveau en matière de loi sur la vie privée ». « Nous pensons que les Etats-Unis bénéficieraient de l’adoption de sa propre loi », expliquait en outre le dirigeant.
Un comble, pour ces ogres des données personnelles qui jetaient, il y a encore quelques années, des millions de dollars dans la tentaculaire bataille contre le RGPD.
Mais ces progrès restent clairement insuffisants
Dans son bilan 2018, la CNIL rapporte une augmentation de 32% du nombre de plaintes déposées, dont plus d’un tiers portent sur la diffusion de données sur Internet. la CNIL a reçu plus de 11 900 plaintes depuis mai 2018. Même constat au sein de son homologue irlandaise – la plupart des géants du numérique ont leurs quartiers généraux européens à Dublin – qui a reçu lors de la première année d’application du RGPD deux fois plus de plaintes (6 624) que pour l’année 2017 tout entière.
De plus, en 2018, la CNIL a adressé 49 mises en demeure pour non-conformité au règlement, dont 5 dans le secteur des assurances, et 4 dans celui des entreprises spécialisées dans le ciblage publicitaire. L’autorité a prononcé 11 sanctions, dont 10 pécuniaires.
Il est plus que probable que le nombre de mises en demeure et de sanctions prononcées augmentera en 2019, la CNIL ayant clairement l’intention d’utiliser plus fortement ses pouvoirs répressifs à partir de cette année.
Selon un décompte de l’European Data Protection Board (EDPB), l’organisme qui chapeaute les autorités européennes, ces dernières ont travaillé sur plus de 280 000 dossiers (issus de plaintes notamment) lors des neuf premiers mois du RGPD. Une bonne partie est issue de plaintes (144 376).
De nombreux dossiers ont également été ouverts à la suite des notifications de violation de données. Cette nouveauté introduite par le RGPD impose aux entreprises victimes d’un piratage ou d’une faille de sécurité d’avertir leur autorité de contrôle. Plus de 89 000 notifications ont été adressées à travers l’Europe – dont 2 044 en France. L’une d’entre elles concerne par exemple Facebook, qui a reconnu, fin septembre 2018, qu’une faille de sécurité avait permis à des pirates de mettre la main sur les données personnelles de millions d’utilisateurs. Sur ces 280 000 dossiers, 62 % ont été clôturés.
Et les sanctions restent encore timides
La principale nouveauté introduite par le RGPD est le pouvoir de sanctionner : les autorités de contrôle disposent désormais de moyens démultipliés. Limitée avant le RGPD à 300 000 euros en France, l’amende que peut infliger la CNIL peut théoriquement atteindre 4 % du chiffre d’affaires mondial en cas de manquement grave.
Selon une étude du cabinet d’avocat DLA Piper, 91 amendes ont été prononcées depuis l’entrée en vigueur du RGPD par les autorités de contrôle des données personnelles. En tout, selon l’EDPB, ce sont un peu moins de 56 millions d’euros d’amendes qui ont été infligés lors des neuf premiers mois du RGPD.
A noter que ce chiffre comprend l’amende de la CNIL, que Google entend contester devant la justice française. Mise à part l’autorité française, les sanctions demeurent donc relativement timides, en tout cas loin de leur plafond théorique.
Des géants du numérique dans le viseur
Certains secteurs ne sont pas épargnés, notamment la publicité en ligne jusqu’ici en dehors du viseur des autorités de protection des données depuis l’entrée en vigueur du RGPD. En effet, ce secteur a fait récemment l’objet d’une série de plaintes, en Irlande mais aussi au Royaume-Uni, en Espagne et en Pologne.
Certaines, notamment celles visant Google ou le géant Quantcast, ont déclenché des enquêtes de l’autorité irlandaise de protection des données. Une association française a opté pour une autre stratégie, en contournant la CNIL : elle compte porter le combat contre Facebook, pour manquement au RGPD, directement devant la justice.
L’ONG Noyb, de l’activiste autrichien Max Schrems, a également lancé de nombreuses plaintes, plus classiques celles-là. En début d’année, elle a reproché à plusieurs services de streaming (YouTube, Spotify, Soundcloud….) de méconnaître leur obligation à donner à leurs utilisateurs l’accès à leurs données. Dès le premier jour d’entrée en application du RGPD, elle avait déjà déposé dans quatre pays (France, Allemagne, Belgique et Autriche) des plaintes contre Android, Instagram, Whatsapp et Facebook, leur reprochant de ne pas respecter le consentement des internautes dont ils collectent les informations personnelles.
L’organisation française de défense des libertés numériques La Quadrature du Net déposait elle aussi, trois jours plus tard, des plaintes collectives visant Facebook, Apple, Amazon, LinkedIn et Google. Pour les quatre premières entreprises, elles ont été transmises à l’autorité de protection des données, où leur instruction est toujours en cours. Concernant Google, la CNIL s’est penchée sur les plaintes de La Quadrature du Net et de Noyb et a infligé la première amende d’ampleur sous le règne du RGPD : 50 millions d’euros.
Néanmoins, le discours de la CNIL s’est durcit ces derniers mois. La nouvelle présidente de la CNIL expliquait récemment qu’un an après l’entrée en application du RGPD, c’était « la fin d’une certaine forme de tolérance ». Lors d’une conférence il y a quelques jours, son homologue irlandaise a promis « pour les mois qui viennent » les « résultats » des nombreuses enquêtes menées par son administration. Les services de l’autorité irlandaise de protection des données ont instruit ces derniers mois 52 enquêtes d’ampleur, dont dix-huit concernent de grandes entreprises américaines du numérique.
Le RGPD, 5 défis à relever par les entreprises
Au regard de ce contexte, comment expliquer la mise en application difficile du RGPD ? Quelles sont les principaux challenges rencontrés par les entreprises pour se mettre en conformité ?
Une demande de consentement inadéquate
Les messages implicites de consentement ne sont plus suffisants avec le règlement RGPD, et les consommateurs doivent désormais donner leur accord sans ambiguïté via une déclaration ou une action claire et concrète, telle que cocher une case sur un site ou remplir un formulaire.
L’entreprise doit pouvoir démontrer que la demande de consentement a été présentée de façon claire et intelligible. De plus, le consentement est désormais requis dans un large éventail de scénarios.
Par exemple, les données de navigation sont considérées comme des données personnelles, dont la capture nécessite un accord explicite du consommateur.
Des données en silos
Dans les entreprises, les données relatives aux clients sont très souvent réparties dans un ensemble de systèmes différents, ce qui rend le respect des exigences du RGPD beaucoup plus difficile à obtenir.
Un manque de gouvernance
Le règlement RGPD impose la mise en place par les entreprises de politiques spécifiques pour limiter tout accès superflu à des données personnelles par leurs applications.
Cependant beaucoup d’organisations n’ont pas encore fait cette démarche, et doivent adapter leurs processus application par application avec des règles centralisées de gouvernance des accès aux données.
Des applications insuffisamment sécurisées
Le nouveau règlement accroît encore les obligations des entreprises en matière de sécurité, notamment au niveau applicatif.
Des informations personnelles fragmentées et non sécurisées au niveau des données deviennent vulnérables à une intrusion, ce qui réduit le degré de sécurité des applications et la capacité de l’entreprise à respecter le RGPD.
Un respect insuffisant des exigences des consommateurs
Les consommateurs sont-ils en mesure de gérer eux-mêmes leur profil et leurs préférences en matière d’accès aux données ? Ces préférences sont-elles respectées sur tous les canaux et tous les terminaux ?
Les entreprises sont encore à la peine dans ces domaines.
Face à ces défis, quelles réponses ?
Ces cinq défis sont certes difficiles à relever pour les entreprises, mais ne sont pas insurmontables.
Les solutions d’IAM client ou CIAM (Customer Identity and Access Management) peuvent en effet les aider dans leurs démarches.
Les solutions CIAM permettent à une organisation :
– l’amélioration de la sécurité des échanges et de la protection de la vie privée
– d’interagir à une organisation d’interagir plus efficacement avec ses clients.
Concrètement, elle donne à une entreprise les moyens de se conformer au règlement RGPD dans 4 domaines:
– La synchronisation et la consolidation des données client, en supprimant les différents silos de données personnelles et en les rassemblant dans une seule base de données centralisée.
– La capture et la gestion des demandes de consentement, en simplifiant les processus sur la base de politiques centralisées.
– La gestion déléguée du profil client en self-service. Dans le cadre des exigences du règlement, les clients doivent être capables d’accéder et de gérer trois types d’informations sur leur profil personnel : les données de profil, les préférences personnelles et le consentement. Avec une solution CIAM, l’entreprise peut respecter ces prérequis.
– La gouvernance des accès aux données. Avec les solutions CIAM, les entreprises peuvent mettre en place des politiques centralisées de gouvernance des accès aux données clients, avec un contrôle attribut par attribut, de telle sorte que les applications internes et externes ne puissent accéder qu’aux attributs d’identité indispensables.
