Les entreprises face au RGPD
Presque une année après l’adaptation de la réglementation général pour la protection des données (RGPD), la CNIL a accroché une trentaine d’entreprises ayant raté à leurs obligations.
Neuf mois après l’adaptation de la réglementation générale pour la protection des données (RGPD), le 25 mai 2018, les punitions sont tombées. Toutes les entreprises ne sont pas vraiment prêtes pour célébrer le cadre légal. Mauvais état de préparation ? Risque choisi ou risque inévitable ? Une trentaine se sont vu retoquer leur politique de protection des données personnelles, sous forme de mise en demeure ou de punition par la Commission nationale de l’informatique et des libertés (CNIL).
Les réformes administratives évoquent déjà plusieurs millions d’euros. Dernière en date, Google LLC a été obligé le 21 janvier à payer 50 millions d’euros pour non-respect du règlement européen RGPD. « Une mesure qui souligne l’intention de la CNIL de prendre très au sérieux le traitement des plaintes contre les compagnies technologiques », explique Gregory Voss, expert à Toulouse Business School, bien que l’amende soit très en deçà de la sanction maximale soit à 4 % du chiffre d’affaires de l’entreprise. Mais les géants du Net ne sont pas les seules entreprises touchées.
La première punition lourde fondée sur le RGPD a touché au Portugal un hôpital proche de Lisbonne, l’hôpital de Barreiro condamné à une amende de 400 000 euros. En France, le même jour Uber était condamné par la CNIL à payer la même somme pour défaut de sécurité des données. Une semaine plus tard, c’était au tour de Bouygues Telecom. L’opérateur téléphonique encaissait une amende de 250 000 euros pour ne pas avoir « garantir la confidentialité des données » de deux millions de clients.
« Une prise de conscience »
Depuis 2017, plusieurs autres entités ont ainsi été mises en demeure ou condamnées pour des faits relatifs à la protection des données (les décisions exprimées avant le 25 mai 2018 sont fondées sur l’ancienne loi informatique et liberté, réformée par le RGPD). « Ce ne sont pas seulement des grandes entreprises », ajoute Sylvain Staub. Public, privé, tous les secteurs sont concernés. Opérateur téléphonique, commerce d’électroménager, mutuelle, organisme de formation ou d’habitat public, la moitié d’entre elles sont des entreprises du secteur privé.
Les entreprises s’étaient pourtant aménagées, embauchant ou appelant des délégués à la protection des données (DPO), rattachés à la direction informatique ou juridique, voire à la direction générale directement. Des changements internes ont été vérifiés, des politiques d’intolérance des salariés mises en place, parfois avec des e-learning nécessaires.