Où en est-on six mois après la mise en vigueur du Règlement général européen sur la protection des données ? Des premiers significatifs mais encore un long chemin à parcourir.
« Les lois sur la confidentialité des données s’invitent de plus en plus au cœur du débat sur la sécurité des informations, rappelait Guillaume Garbey, Directeur France de Varonis dans une tribune publiée récemment dans nos colonnes (California Consumer Privacy Act (CCPA) vs RGPD). Depuis le Règlement général européen sur la protection des données (RGPD) et le California Consumer Privacy Act jusqu’à la loi japonaise sur la protection des informations personnelles, la capacité à protéger les données des consommateurs figure en tête des préoccupations. La confiance du client devient un élément essentiel du modèle économique des entreprises dont l’activité repose sur les données des consommateurs ».
Le Règlement général européen sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. La CNIL (Commission Nationale de l’Informatique et des Libertés) a dressé un bilan chiffré des 6 premiers mois d’exercice du RGPD (Règlement Général relatif à la Protection des Données) entré en vigueur en mai dernier. A ce jour, 15 000 Data Protection Officers ont vu le jour contre 5 000 correspondants informatique et libertés avant le RGPD, plus de 1 000 notifications de violations de données ont été reçues, soit environ 7 par jour et la CNIL a reçu 34% de plaintes en plus qu’en 2017 sur la même période.
Sur les 439 164 sites testés par Freebip (voir encadré ci-dessous), seulement 1 % % se sont donnés les moyens de répondre aux demandes des citoyens. Arthur Blanchon et Antoine Vadot, les deux ingénieurs qui ont créé la plate-forme, ont décidé de mettre le RGPD à l’épreuve de la pratique. En contactant plus de 400 000 sites pour leur demander s’ils détenaient des données associées à leur adresse email, l’objectif était d’illustrer le parcours semé d’embûches auxquels les Français sont confrontés. Seuls 1% des sites contactés ont répondu à leur requête dans les 30 jours et 83% des personnes contactées n’ont pas été en mesure de répondre, tandis que 16% disposaient toujours, 6 mois après la mise en place du RGPD, d’une adresse email invalide.
Selon un sondage européen de SD Worx, prestataire de services RH, parmi 1 800 professionnels de la paye et des ressources humaines, 44% ne savent pas en quoi consiste le RGPD, fait remarquer Emmanuelle Cornet-Ricquebourg, cofondatrice et présidente de DATAE, accompagne les entreprises, ainsi que les organismes publics dans leur mise en conformité au RGPD. Parmi les 56% qui savent en quoi consiste le RGPD, 81% estiment être préparés à appliquer ce règlement dans leur secteur à partir de mai 2018, date de sa mise en oeuvre.
Et pourtant les attentes des consommateurs sont grandes. Selon une étude réalisée par Pega auprès de 7.000 consommateurs dans 7 pays de l’UE, 82% des consommateurs européens ont bien l’intention de faire valoir leurs nouveaux droits à limiter voire à supprimer leurs informations stockées et utilisées par les entreprises. 96% des clients français interrogés souhaitent savoir quelles informations les concernant sont détenues par les entreprises et 93% veulent pouvoir décider directement de la façon dont ces informations sont utilisées.
Des efforts… RGPD : un premier bilan
Six mois après la mise en œuvre du RGPD, les entreprises françaises ont majoritairement entamé leurs travaux de mise en conformité RGPD, mais leur bonne volonté semble buter encore sur les thématiques plus complexes. C’est ce qu’indique le 2e baromètre RGPD réalisée par Converteo, un cabinet de conseil expert en Digital & Smart Data.
Les sociétés ont très adapté leurs pratiques au RGPD. Pour preuve, 78% des entreprises ont adopté une charte sur la gestion des données personnelles. 67% ont également mis en place des « Privacy Center » sur leurs sites pour gérer les consentements des utilisateurs. Il y a un an, 12% des sites audités ne donnaient aucune information sur les données collectées et traitées, 84% des acteurs ne précisaient ni les destinataires ni les informations de partage des données personnelles.
Sujet prégnant à la veille de la mise en œuvre du RGPD, l’utilisation des cookies avait déjà bénéficié d’une clarification obligatoire de la part des acteurs du web dès 2011. Depuis mai, le sujet est pris au sérieux par les annonceurs : 86% de bandeaux cookie sont correctement implémentés et 18% des acteurs vont jusqu’à implémenter un cookie center
…mais un constat mitigé sur les thématiques plus complexes, RGPD : un premier bilan
Les entreprises sont en revanche à la traîne en termes de consentement. Alors que celui-ci doit être donné de manière spécifique, éclairé et univoque par les utilisateurs, il n’est recueilli qu’à hauteur de 30% à des fins de prospection commerciale, 16% à des fins de personnalisation et 2% seulement à des fins de scoring et de statistiques
Souvent oubliée, la question de l’âge des utilisateurs et de la majorité numérique (fixée à 15 ans en France) est pourtant un critère important du règlement et doit être prise en compte. Par exemple, l’âge de l’utilisateur est demandé au niveau de la création de compte dans 54% des cas. Or, cette information doit être recueillie au niveau des consentements comme le voudrait le RGPD car celui d’un mineur n’est pas recevable.
La conformité est également variable en fonction de l’appareil utilisé et du canal (site web / site responsive / site mobile / application). Ainsi 40% des chartes ne sont pas responsive et 82% des acteurs ne développent pas leur « Privacy Center » sur leur application mobile.
Après 2 ans de fébrilité, le RGPD est finalement en application avec moins de « casse » que prévu. Pour autant, de nombreuses entreprises prennent encore à la légère certaines parties du règlement qui font toujours l’objet d’évitement. Ce sont pourtant des éléments clés de la politique de protection des données personnelles. Il s’agit surtout de points sensibles pour les utilisateurs finaux et qui, in fine, pourraient porter préjudice aux marques. Si la CNIL se montre plus sévère en 2019, les manquements constatés à date n’échapperont à sa vigilance. Peu d’acteurs auront le luxe en 2019 de ne pas poursuivre leurs efforts de mise en conformité RGPD.
« 6 mois après l’entrée en vigueur du RGPD, certains acteurs s’interrogent sur l’efficacité de cette loi. Cependant, nous sommes convaincus qu’il existe un « avant et après » ce texte. Là où la protection des données était un sujet de préoccupation mais pas prioritaire, il fait aujourd’hui partie du top 5 des priorités de nos clients, conclut José Rodriguez, Director, Cloud Technology & Global Data Protection Officer chez Cornerstone. Pour les mois à venir, les entreprises vont devoir continuer à s’investir et se mobiliser, d’autant plus que la protection des données serait un processus vivant et pas justement une action figée dans le temps. »