Une trentaine d’entreprises épinglées par la CNIL, neuf mois après l’entrée en vigueur du RGPD

Une trentaine d'entreprises épinglées par la CNIL 9 mois après l'entrée en vigueur du RGPD © STEPHANE DE SAKUTIN / AFP

Une trentaine d'entreprises épinglées par la CNIL 9 mois après l'entrée en vigueur du RGPD © STEPHANE DE SAKUTIN / AFP

Neuf mois après l’entrée en vigueur de la règlementation européenne, Le Monde publie un article sur les “retoqués du RGPD”, ces entreprises qui se sont rapidement retrouvées dans la ligne de mire de la CNIL.

Mise en demeure et/ou condamnation, les premières sanctions sont tombées. Google, Uber, Teemo… Des amendes qui s’élèvent à plusieurs millions d’euros, principalement sur des compagnies technologiques mais pas que. L’article fait état de l’hétérogénéité des domaines visés avec notamment l’exemple de l’hôpital de Barreiro condamné à une amende de 400 000 euros. 

Une prise de conscience... qui ne suffit pas toujours

D’après Guillaume Tollet, le DPO de Dentsu Aegis Network, interrogé par Le Monde, il y a eu une prise de conscience qui a permis d’assainir les bases de données et les process :

“Il y a eu un effort de rattrapage considérable en 2018, notamment un gros travail d’inventaire sur le sérieux des partenaires et des sous-traitants.”

Mais cette préparation n’a pas été synonyme de mise en conformité. Sylvain Staub, le fondateur de Data Legal Drive, estime que : 

« [M]oins de 20 % des entreprises sont réellement en conformité. […] Même quand on est de bonne foi, le risque de ne pas assurer la confidentialité des données existe toujours. »

Face à la conformité RGPD, toutes les entreprises ne sont pas égales

Comment expliquer l’écart entre les efforts faits par les entreprises et les résultats qu’elles ont obtenus dès leurs premières confrontations avec le RGPD ? 

Mathias Moulin, directeur de la protection des droits et des sanctions de la CNIL, offre des éléments de compréhension en répartissant les entreprises en trois catégories :

« [C]ertaines n’avaient pas identifié leurs obligations, d’autres n’étaient pas allées au bout du chemin, et d’autres enfin, plus avancées, n’en avaient pas tiré les conséquences. »

Toutes les entreprises ne sont donc pas égales face au défi de la conformité au RGPD.

Autrement dit, si d’importants fondamentaux subsistent d’un cas à l’autre — mise en place d’une véritable gouvernance de la donnée, implémentation des droits des personnes, cybersécurité, répartition des rôles intelligente avec les parties prenantes internes et externes... —, il demeure impératif de savoir adapter un projet de mise en conformité au métier et au niveau de maturité de la structure...

(Source : Le Monde)