État des lieux de l’année 2022
Entré en application en 2018, le RGPD (Règlement Général sur la Protection des Données) est venu renforcer les obligations de conformité des organismes qui manipulent des données à caractère personnel, et augmenter significativement le montant des sanctions applicables en cas de manquement. Dans un premier temps, le RGPD a été perçu par les entreprises comme une contrainte. Le premier risque de cette réglementation de source européenne étant évidemment d’ordre financier, les entreprises ont dû, de ce fait, réaliser de gros investissements (humains, techniques et financiers) afin de se mettre en conformité.
Le RGPD a posé des principes forts, constitutifs d’autant d’obligations, que les entreprises sont tenues de respecter ; nous pouvons citer à titre d’exemple :
- Des bases légales de traitement déterminées, dont le consentement fait partie,
- Le droit à l’oubli, via la suppression de données à caractère personnel, sur demande des personnes concernées,
- Une information obligatoire,
- Le principe de limitation des finalités,
- Une exigence de sécurité.
Si l’on observe les chiffres du baromètre RGPD de Data Legal Drive, il apparaît que près d’une entreprise sur deux (47 %) considère qu’elle a un niveau de conformité en adéquation avec les obligations du RGPD. Près d’un tiers (31 %) des organisations aurait désigné un Data Protection Officer (DPO). Par ailleurs, ce baromètre révèle que :
- 65 % des structures ont renforcé leurs systèmes de sécurité informatique,
- 60 % ont formé leurs salariés au RGPD,
- 53 % ont mis à jour leurs mentions légales et politiques de confidentialité, tout en assurant la gestion des cookies de manière satisfaisante.
En 2022, près de 30 % des entreprises ont digitalisé leur registre de traitement des données personnelles, contre seulement 14% en 2019.
La gestion des cookies représente un sujet prioritaire pour 58 % des répondants. Près de 67 % des entreprises ont ainsi intégré une CMP (Consent Management Platform) à leur site web. À titre de comparaison, en 2019, seul un site internet sur trois était en conformité avec le RGPD. Selon le baromètre, les entreprises se sentent aidées et jugent, par exemple, plus facile le recueil du consentement des internautes depuis les directives de la CNIL sur ce sujet spécifique.
La crainte des sanctions tend à s’accentuer puisque la CNIL a développé une procédure de répression simplifiée, permettant de traiter plus facilement le nombre de plaintes. L’augmentation des cyberattaques incite également les entreprises à accélérer la mise en place des mesures de sécurité conformes à l’article 32 du RGPD.
Quelles sont les sanctions en cas de non-respect de cette conformité ?
Les sanctions maximales prévues par la CNIL s’élèvent à 20 millions d’euros ou 4 % du chiffre d’affaires annuel (mondial), le montant retenu étant le plus important des deux modes de calcul. Les amendes appliquées sont de plus en plus nombreuses et dépendent de la taille des structures, mais également de l’infraction commise.
Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :
- Prononcer un rappel à l’ordre,
- Enjoindre de mettre le traitement en conformité, y compris sous astreinte,
- Limiter temporairement ou définitivement un traitement,
- Suspendre les flux de données,
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte,
- Prononcer une amende administrative.
Entre 2018 et le début de l’année 2022, la CNIL a délivré 25 sanctions contre des entreprises ou administrations, pour des montants allant de 3 000 euros à 90 millions d’euros.
Quelle situation en France ?
Tous les membres de l’Union européenne n’ont pas attribué, à leur autorité de contrôle, des moyens équivalents pour accompagner et sanctionner les manquements au RGPD. À cet égard, la France se situe dans la moyenne en termes de budget et de moyens alloués dans la transition RGPD.
Le nouveau budget de la CNIL en 2022 est de 24 millions d’euros, loin derrière le budget allemand de 85 millions d’euros. Les effectifs de la CNIL sont aussi relativement réduits comparés à l’immensité de la tâche ; en 2022, le nombre d’agents devrait passer à 263.
La France est tout de même dans une bonne moyenne. Toutefois, entre la politique des entreprises et des moyens limités face à l’ampleur de la tâche, la transition française vers le RGPD est loin d’être achevée.
Des progrès encore attendus
Malgré cette prise de conscience et la progression continue de la mise en conformité des entreprises françaises, bon nombre de celles-ci ne sont pas encore RGPD compliant. Le baromètre RGPD de Data Legal Drive met en lumière quelques freins à une mise en conformité aboutie, comme le manque de temps (pour 56 % des répondants) et de directives claires de la part des directions générales, ou encore l’absence de mise en place d’un plan d’action.
Cette étude a relevé que les entreprises françaises formaient de plus en plus leurs salariés au RGPD, via par exemple des réunions avec les directions métiers, des communications ciblées, etc. Plus de 38 % des entreprises ont ainsi déployé sur l’année 2022 au moins un module e-learning dédié à la réglementation RGPD.
Si le RGPD reste majoritairement perçu comme une obligation réglementaire pour les entreprises, de plus en plus de directions prennent également conscience qu’il permet de répondre à des enjeux de sécurité et d’éthique.
Qu’en est-il chez Ellisphere ?
Chez Ellisphere, les données personnelles traitées sont exclusivement réservées à un usage B2B et comprennent des données issues majoritairement de sources publiques, mais également de sources privées. La collecte de certaines données d’entreprises par nos sources publiques répond à des obligations légales de même que la publicité officielle qui en est faite par la suite.
La mission d’Ellisphere est de mettre la data au service des enjeux métiers de ses clients en proposant des solutions qui répondent au développement de leur business et de leur mise en conformité vis-à-vis des exigences réglementaires.
Le recours à la base légale suppose que les intérêts (par exemple commerciaux) poursuivis par l’organisme traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées. Ainsi, dans le métier d’Ellisphere, tout est encadré selon cette mise en balance, dans la continuité des traitements antérieurs.
Ellisphere fait du traitement des données personnelles un enjeu majeur de son organisation. Le respect du RGPD et de la protection de la data sont au cœur des préoccupations de l’entreprise.
Ainsi en 2022, Ellisphere obtient de nouveau le Label Professionnel Privacy Protection – Pact. Celui-ci renforce sa légitimité qui repose sur des traitements et des mesures de sécurité techniques et organisationnelles respectueux du RGPD. Ce label permet d’identifier Ellisphere comme une organisation data confident.