FR

Conformité RGPD : comment se positionnent les entreprises en 2022 ?

Lucas Perrosé . 16 juin 2022

La conformité RGPD est un enjeu juridique pour les entreprises, soumises aux risques de sanction de la Commission Nationale de l’Informatique et des Libertés (CNIL). C’est également une priorité pour conserver une image de qualité dans les rapports commerciaux. Se mettre en conformité avec le RGPD est aussi lié à la sécurisation des systèmes d’information, un autre défi majeur pour les organisations. Pourtant, face aux exigences du règlement général sur la protection des données personnelles, les entreprises sont encore en retard et certaines manquent à leurs obligations.

Qu’est-ce que la mise en conformité RGPD ?

La conformité RGPD désigne un processus d’amélioration continue, destiné à assurer un niveau suffisant de protection des données. Une entreprise sur deux estime avoir un niveau de conformité « avancé », mais, malgré les risques de sanction de la CNIL, nombreuses sont celles qui manquent encore à leurs obligations. Pour bien comprendre où en sont les entreprises, il faut donc savoir ce que cette procédure implique et les délais légaux imposés.

Les plans de la mise en conformité RGPD en entreprise

La mise en conformité RGPD d’une organisation passe par la validation de plans qui répertorient 6 étapes principales :

  • La désignation d’un délégué à la protection des données (DPO) ;
  • L’audit et la cartographie du traitement des données personnelles ;
  • La priorisation de chaque action à mettre en place pour se conformer au RGPD ;
  • L’anticipation et la détection de procédures à risque pour les données ;
  • L’optimisation et la réorganisation des procédures internes pour maximiser la sécurité ;
  • La rédaction de la documentation indispensable pour prouver la conformité de l’entreprise.

La vérification de ces plans est confiée au DPO qui doit souvent exercer son activité à temps plein pour respecter les exigences et délais du RGPD. La quasi-totalité des entreprises a engagé des démarches pour valider les plans de conformité RGPD. Le nombre de délégués à la protection des données désignés auprès de la CNIL a largement augmenté, passant de 21 000 en 2018 à 28 810 en 2021.

RGPD et délai de mise en conformité, un moteur pour les entreprises

Lors de la publication du RGPD en 2018, le délai de mise en conformité accordé par la CNIL était de maximum 3 ans. Depuis 2021, toutes les sociétés qui traitent des données personnelles doivent prouver la gestion sécurisée des informations.

D’autres délais sont imposés en cas de contrôle. Par exemple, en cas de manquement constaté, la CNIL peut adresser des mises en demeure au responsable de traitement. L’organisation visée a alors entre 10 jours et 6 mois pour répondre et prendre des mesures, sous peine d’amende. Ces contrôles de la commission favorisent la mise en conformité. D’après le baromètre RGPD de Data Legal Drive, près d’une entreprise sur 2 déclare craindre les vérifications de la CNIL.

Où en est la mise en conformité des entreprises avec le RGPD ?

Pour se mettre en conformité avec le RGPD et répondre aux demandes de la CNIL, les entreprises ont dû adapter leurs processus de traitement internes, mais aussi les sites et logiciels qu’elles mettent à disposition des utilisateurs.

Les sites internet sont de plus en plus conformes au RGPD

Selon le baromètre RGPD de Data Legal Drive, 67 % des entreprises ont intégré des CMP (plateformes de gestion du consentement) pour assurer la conformité RGPD de leur site internet. Ce chiffre peut sembler encore bas, mais il est largement supérieur à celui de 2019, quand seulement un tiers des applications étaient conformes. La gestion de cookies est d’ailleurs devenue un sujet prioritaire pour 58 % des organisations.

Les entreprises sont aussi de plus en plus nombreuses à placer la cybersécurité au cœur de leurs priorités. Parmi elles, 60 % ont mis en place des actions concrètes pour renforcer la fiabilité de leurs sites et logiciels et suivre l’article 32 du RGPD. Ce texte stipule que le sous-traitant et le responsable de traitement doivent mettre en place les outils et mesures organisationnelles appropriées pour protéger chaque donnée.

50 % des entreprises estiment avoir un niveau de conformité RGPD avancé

Toujours d’après le baromètre RGPD, 1 entreprise sur 2 estime avoir un niveau de conformité « avancé ». Parmi elles, 43 % considèrent que le projet de mise en œuvre du règlement général sur la protection des données personnelles s’intègre dans une démarche continue qui concerne l’ensemble des services. En 2021, 60 % des organisations ont investi dans la formation de leurs collaborateurs à la protection des données.

Deux obstacles majeurs freinent cependant la mise en conformité des entreprises. Le premier est l’utilisation de Google Analytics, récemment mis en demeure par la CNIL. Le second concerne la mise en place de clauses contractuelles types (CCT), des modèles de contrats de transfert de données personnelles qui encadrent les envois d’informations vers les pays tiers, notamment les États-Unis. Pour Google Analytics, 40 % des entreprises s’orientent vers des solutions alternatives. En revanche, les CCT s’ajoutent à l’ensemble des documents que les responsables de traitement doivent fournir en cas de contrôle.

Comment se mettre en conformité avec le RGPD en 2022 ?

La mise en conformité RGPD inclut une étape de rédaction de « preuves » à fournir en cas de contrôle. Pour la CNIL, cette démarche permet aussi de faire le point sur l’utilisation des services numériques et l’impact sur les données personnelles. Les documents peuvent être regroupés en 2 grandes catégories : les registres des activités de traitement et les attestations de mise en conformité.

Le registre des activités de traitement

Le registre de traitement est prévu par l’article 30 du RGPD. Ce document doit permettre d’analyser la gestion des informations et d’identifier :

  • Les parties prenantes ainsi que toutes les personnes ayant accès aux données ;
  • Le caractère des informations concernées (personnelles, sensibles, de santé, etc.) ;
  • L’objectif des traitements ;
  • Les différents processus et règles de sécurisation ;
  • La durée de vie ou de conservation des données.

Le registre de traitement doit être accompagné de documents sur l’information des personnes, avec notamment les procédés mis en place pour l’exercice de droits d’accès, de rectification et de suppression des données. Ces écrits sont obligatoires pour toutes les organisations qui traitent des informations personnelles. Pourtant certaines entreprises manquent encore à cette obligation. En 2021, la CNIL a infligé de multiples sanctions financières à des sociétés dont les pratiques n’étaient pas adaptées (le montant des amendes a atteint les 3,5 millions d’euros).

Les modèles d’attestation conformité RGPD

La CNIL met à disposition plusieurs modèles pour informer le public ou les collaborateurs des conditions de traitement des données. Ces attestations incluent notamment :

  • Des exemples de formulaires de collecte d’informations personnelles ;
  • Des templates de communiqués, par exemple, pour la mise en place d’un système de vidéosurveillance ;
  • Des modèles de mentions légales ;
  • Les nouvelles clauses contractuelles CTT.

Ces nouvelles CTT reprennent le fondement du droit des personnes sur leurs données en prenant en compte les situations de transferts d’informations à des responsables et sous-traitants hors Union européenne. Elles sont en vigueur depuis septembre 2021, pourtant 48 % des entreprises n’ont pas encore mis en application les clauses contractuelles par manque de connaissances et surtout de temps.

Face à l’essor de la cybercriminalité, c’est pourtant le délai qui reste un enjeu majeur du RGPD 2022. Les autorités accentuent leur vigilance pour préserver la vie privée des internautes. Même si les organisations sont de plus en plus engagées dans la conformité RGPD, ces nouvelles menaces et les risques de contrôles renforcent les enjeux autour de la protection des données.

Sources : Le baromètre RGPD 2022 de Data Legal Driven, Registre des activités de traitement de la CNIL, RGPD, se préparer en 6 étapes, Le métier de délégué à la protection des données, L’évolution de la fonction de délégué à la protection des données personnelles