La conformité au RGPD, 1 an après
La plupart des autorités de protection des données ont conseillé les entreprises et mis en place des lignes de communication dédiées pour aider tout le monde à progresser, tant dans le respect du règlement RGPD que dans les opérations courantes. Cependant, selon un sondage réalisé par Hiscox Insurance, plus d'un tiers des petites entreprises ne savent toujours pas à qui s'applique le règlement RGPD, et 9 sur 10 ne connaissent pas les droits que ce dernier confère aux propriétaires de données.
De plus, la période de clémence apparente touche à sa fin, si elle n’est pas déjà finie. Ce changement d'approche a été mis en évidence en mars 2019, lorsqu'une entreprise polonaise s'est vu infliger une amende de 220 000 € pour avoir omis d'avertir les utilisateurs du traitement de leurs données. Sur les 6 000 000 de personnes sur lesquelles la société disposait d'informations, seules 90 000 avaient été informées du traitement de leurs données.
La première étude portant sur la mise en œuvre du RPGD, publiée en février 2019 par le Comité Européen de la protection des données, nous donne un aperçu de la manière dont la réglementation a été appliquée au cours des neuf premiers mois. Dans 31 pays de l'Espace Economique Européen, il y a eu plus de 200 000 affaires composées de 94 622 plaintes émanant de particuliers, de 64 684 notifications de violation de données et de 47 020 autres questions. 52% de ces cas auraient été clos, 47% étaient en cours et 1% avaient fait l'objet d'un appel devant les tribunaux nationaux.
A voir des montants tels que 55 955 871 d’euros d’amandes en seulement 9 mois, il semble que les craintes relatives au RGPD se soient concrétisées. L'amende infligée à Google s'élevait à 50 millions d'euros. Les 5 millions restants, relatifs à un total de 32 000 atteintes à la confidentialité des données, signifiaient soit que les autres entreprises n’avaient pas tant de choses à se reprocher soit que les amendes étaient relativement « compatissantes ». Selon le Verizon Data Breach Investigation Report, il s’agirait plutôt du 2ème scénario.
Le RGPD au-delà des frontières
Alors que de nombreuses organisations hors de l'UE ou de l'EEE croient toujours que le règlement général européen ne leur est pas applicable, le fait que Google ait été condamné à une amende si importante devrait être un signal fort. Le champ d'application du RGPD continue de s'appliquer partout où sont détenues les données à caractère personnel d'un résident de l'Union Européenne (pas seulement les citoyens, mais toute personne résidant dans l'UE au moment où les données ont été collectées). Dans de nombreux cas, les entreprises peuvent ne pas être conscientes du fait qu'elles disposent de données sur les résidents de l'UE et qu'elles ont besoin de les protéger.
De nombreuses organisations américaines ont simplement fermé l'accès à leurs sites Web pour les connexions en provenance de l'UE. Un exemple en est le Chicago Tribune, l'un des journaux du groupe Tronic Media qui, un an plus tard, refuse tout accès à quiconque de l'Union Européenne. D'autres journaux du même groupe ont la même approche. Bien que la plupart des organisations n'aient pas le luxe de pouvoir le faire, ce n'est pas une mauvaise idée lorsqu’on ne sait pas exactement où on en est en matière de conformité par rapport au RGPD. Lorsqu’on prend en compte la perte de revenus liée au refus d’accès à ses pages Web par rapport aux pénalités potentielles pour non-conformité, cette approche peut avoir un sens. Cependant, lorsqu’on ne sait pas comment procéder, mieux vaut demander un avis juridique - pas seulement quelqu'un qui prétend être un consultant RGPD mais une organisation juridique dûment qualifiée qui dispose de toutes les protections nécessaires pour fonctionner dans ce type d'espaces. Même si une organisation, aux Etats-Unis ou ailleurs, pense que le RGPD ne la concerne pas actuellement, il se peut que cela se produise à l'avenir et il est tout à fait probable que les autorités locales travaillent déjà à une législation similaire sur le fond pour la région où elle se situe. Aux Etats-Unis, la Californie et l'État de Washington ont déjà fait des progrès dans cette direction et d'autres états et pays suivront.
Aujourd’hui, les entreprises doivent avoir le contrôle sur les données qu’elles collectent, combien de temps elles les conservent et qui y a accès. Et même si l’entreprise fait appel à une autre entreprise pour traiter les données qu’elle collecte, elle en reste responsable. La grande majorité des attaques réussies suivent un schéma d’attaques facilité par des vulnérabilités évitables bien connues, exploitables par des utilisateurs disposant de privilèges excessifs (cf. le rapport Microsoft sur les vulnérabilités). De toute évidence, de nombreuses entreprises ne maîtrisent toujours pas les bases de la sécurité informatique, d’autant plus que les fondements sur lesquels reposent les structures du RGPD ne sont pas solides.
