Le 25 mai 2019, le RGPD (« Règlement européen sur la Protection des Données ») a fêté son premier anniversaire. Depuis plus d’un an, une sensibilisation extrême est apparue dans toute l’Europe. Même si certaines entreprises se montrent encore un peu réfractaire, ce système est aujourd’hui adopté. Le citoyen se sent enfin protégé. Bilan après 1 an d’application.

L’objectif de cette législation est de protéger le plus possible les données personnelles de particuliers, tant comme consommateurs qu’en tant que travailleurs. Les entreprises ont dû mettre à jour leur système informatique et leur information vis-à-vis de chacun.

Mais qu’en est-il réellement 1 an après ?

Le GDPR, 1 an après

A l’occasion de son premier anniversaire, un premier bilan a été dressé par des membres de la commission européenne. La conclusion du bilan est la suivante : « Ces règles innovantes ont non seulement permis à l’Europe de s’adapter à l’ère numérique, mais sont également devenues une référence mondiale ».

Chaque entreprise a dû revoir sa manière de protéger les données à caractère personnel de ses travailleurs, ses clients, et de ses fournisseurs. Les bases de stockages de ces données ont été revues, et rectifiées, ainsi que l’utilisation qui en est faite.

Le Comité européen de la protection des données (CEPD) a recensé au cours de cette dernière année plus de 400 affaires transfrontalières liées au RGPD. La protection des données ne s’arrête donc pas aux frontières nationales.

L’APD est-elle opérationnelle ?

La mise en place de l’Autorité de Protection des Données (APD) a pris plus de temps que prévu. Le problème linguistique, spécifique à la Belgique,  est responsable de ce retard. Il manquait l’engagement d’un responsable maîtrisant l’allemand.

L’APD a, par conséquent, un important travail à rattraper. Ses voisins européens ont déjà infligé de nombreuses sanctions aux entreprises ne respectant par le RGPD.

Mais l’APD n’a pas uniquement pour but de sanctionner. Elle est aussi là pour accompagner les PME dans leur mise aux normes.

GDPR 1 an après

Les premières sanctions du GDPR

En France

L’année passée, une entreprise s’est vue infliger une amende de 250 000 € par l’autorité française de contrôle de traitement des données, la Commission Nationale Informatique & Libertés (CNIL), suite à une importante fuite de données personnelles de ses clients (au total, plus de 3 millions de documents confidentiels téléchargeables). Effectivement, celle-ci ne vérifiait pas que la connexion des clients à leur compte client avant d’afficher les factures. Des centaines de factures ont ainsi été visionnées par d’autres clients, et ceux-ci ont eu accès à leurs données de santé et à leurs numéros de sécurité de sociale. En 2015, cette même entreprise s’était déjà vu infliger une amende de 50 000 € pour défaut de sécurité.

Et le 21 janvier 2019, la CNIL a infligé une amende record de 50 millions d’euros à Google, après avoir constaté que celui-ci n’expliquait pas clairement les finalités pour lesquelles les données personnelles récoltées sont traitées. La CNIL estime que les démarches sur Google sont trop fastidieuses et comportent trop d’étapes successives. Ensuite, la CNIL a constaté que le consentement des internautes dans le cadre du traitement de leurs données à des fins de personnalisation de la publicité n’est pas toujours récolté. Enfin, le simple fait d’accepter les conditions d’utilisation entraîne un consentement forcé dans les finalités poursuivies par Google dans le cadre du traitement de ses données. En effet, l’utilisateur se voyait conduit à approuver par défaut ces finalités.

Au Portugal

Au Portugal, fin 2018, c’est une amende 400 000 € qui a été infligée par la « Comissão Nacional de Proteção de Dados » à un centre hospitalier pour un important laisser-aller dans la gestion des données personnelles de ses patients. Le montant, très élevé, est la conséquence de la mauvaise foi du centre, qui a tenté de rejeter sa responsabilité sur un tiers dans la gestion de son réseau informatique.

En Belgique

Dans une moindre mesure au sein de notre pays, l’APD a imposé en mai dernier sa première sanction financière. Celle-ci s’élève à 2 000 € et fait suite à l’utilisation abusive de données à caractère personnel à des fins électorales. Celle-ci a pour but de prévenir que quiconque ne respecte pas la protection des données se verra infliger une amende.

Le RGPD hors Europe

D’autres pays ont décidé de s’aligner sur le RGPD. A titre d’exemple, une législation similaire devrait entrer en vigueur d’ici quelques mois en Californie, en version plus aérée, le « California Consumer Privacy Act. »

D’autres pays suivront-ils le chemin du RGPD européen ? C’est à suivre…

Aujourd’hui, les réseaux sociaux sont les entreprises les plus suivies en la matière par les autorités de contrôle de protection des données, que ce soit en France ou en Grande-Bretagne, notamment. Des milliards de données personnelles sont brassées à chaque instant sur ces réseaux. Les autorités compétentes ont décidé de refréner cette collecte disproportionnée.

A ne pas oublier : les contrôles concernent toutes les entreprises ! Les responsables du traitement le sont en premier lieu. Leur priorité est de respecter les règles et principes imposés par le RGPD.

En tant que chef d’entreprise, vous avez conscience que le respect des principes doit être respecté mais vous ne savez pas comment ou par où commencer ? Légal PME vous permet de bénéficier de 10 minutes d’analyse gratuite en la matière et d’une offre adaptée à votre activité.

Je prends contact !Je prends contact !

Et pour être tenu au courant des actualités transmises par Légal PME, je m’inscris à la newsletter :

Je m'inscris !Je m'inscris !

 

-> Articles similaires Légal PME