Le 25 mai 2018 entrait en vigueur le règlement général sur la protection des données. Deux ans après, quels constats peut-on tirer d’un règlement fondamental qui a tout changé à la perception de la vie privée mais reste un chantier « en cours » dans bien des entreprises ?

Le RGPD fête ses deux ans d’existence dans un contexte très particulier avec des collaborateurs toujours majoritairement maintenus en télétravail et des entreprises qui ont dû « réaliser en deux mois, deux ans de transformation numérique » comme le résumait Satya Nadella il y a quelques jours.

À l’heure du déconfinement, bien des entreprises envisagent désormais d’autoriser beaucoup plus largement le télétravail si ce n’est globalement tout au moins partiellement. Toutefois comme le rappelle Hervé Szafir, Directeur de la Cybersécurité chez OpenText, « dans de nombreux cas, le télétravail a été mis en place à la hâte et sans planification adéquate, sans que les bons outils de sécurité des systèmes et des réseaux soient en place. Les politiques de travail à distance n’étaient pas clairement définies ou mises à jour, y compris les procédures pour signaler une éventuelle violation ou perte de données ». Un avis partagé par Laurent Nezot, Sales Director France de Yubico, qui estime que « certaines organisations n’ont pas eu le budget ou la capacité nécessaires à la mise en place de dispositifs dédiés. Cela signifie que de nombreux employés travaillent sur des appareils et des réseaux moins sécurisés lorsqu’ils sont à distance. Ainsi, cette adoption rapide et massive du télétravail a conduit à des négligences qui exposent aujourd’hui les entreprises à des risques de violation de données ainsi qu’à de lourdes amendes au titre du RGPD. »

Le confinement, une opportunité manquée ?

Etude Data Legal Drive

Des sentiments confirmés par les chiffres. Dans la dernière enquête Data Legal Drive publiée à l’occasion de cet anniversaire, 60% des DPO interrogés estiment que la crise sanitaire et le confinement des collaborateurs ont ralenti la mise en conformité de leurs entreprises. Ils ne sont que 40% à avoir saisi l’opportunité pour se pencher sur des éléments de fond relatifs au RGPD. Notamment, ils sont notamment 22% à avoir mis à jour les fameux « Registres RGPD » (qui doit détailler tous les traitements relatifs aux données privées) pour y intégrer les évolutions des processus et traitements engendrés par le télétravail et une utilisation plus étendue du cloud et 20% à avoir simplement révisé leur cartographie des traitements.

Au chapitre des opportunités manquées, on notera au passage que, selon cette étude, seulement 30% des DPO ont profité du confinement pour proposer aux collaborateurs de leurs entreprises une formation en ligne ou une sensibilisation aux problématiques de sécurité et de protection des données. Pire encore, 32% ont estimé que ce n’était tout simplement pas une priorité.

Bref, les entreprises vont devoir faire un bilan et pérenniser la transformation de leur « digital workplace » notamment pour s’assurer que la sécurité des données n’a pas été négligée et vérifier que les processus mis en œuvre dans l’urgence soient conformes aux obligations du RGPD. Et quand ils ne le sont pas, s’assurer qu’ils rentrent rapidement « dans les clous ».

Un chantier toujours largement en cours

Crédit Photo : Shutterstock

L’étude Data Legal Drive montre également l’état de maturité des entreprises face au RGPD. Seules 69% des entreprises ont un DPO interne à l’organisation. 12% des entreprises n’ont toujours pas constitué l’indispensable « Registre des traitements » et 27% n’en ont qu’une version très parcellaire souvent sous forme de vagues fichiers Excel. Seulement 32% des DPO disposent d’un registre « digitalisé, transverse, exhaustif et pérenne ».

Une autre étude réalisée en début d’année par Tanium, révélait que 91 % des entreprises étudiées, bien qu’ayant chacune dépensé en moyenne plus de 750 millions de dollars pour se mettre en conformité, présentaient des déficiences informatiques fondamentales les rendant vulnérables et potentiellement non conformes. Par ailleurs, cette étude révélait également que 65% des responsables interrogés découvraient chaque semaine de nouveaux postes de travail et serveurs dans leur organisation dont ils n’avaient pas connaissance précédemment. « Or il est impossible de protéger ce que l’on ne connaît pas » rappelaient les rapporteurs de l’étude. L’étude pointait aussi le manque de moyens pour gérer efficacement le parc informatique dont se plaignent 33% des responsables ainsi que l’utilisation d’un trop grand nombre de solutions de sécurité qui pour 32% des responsables engendrent une complexité contraire à une saine résilience.

Encore bien des progrès à faire sur le WEB

En avril dernier, le navigateur Brave, grand défenseur de la confidentialité sur Internet, dénonçait le manque d’engagement des états membres et déposait une plainte auprès de la commission européenne estimant que les états ne dotaient pas suffisamment les autorités de contrôle (la CNIL en France) des ressources humaines, techniques, et financières que l’article 52 du RGPD leur impose.

En janvier dernier, une étude du MIT et de deux universités britanniques constatait que seulement 11,8% des 10.000 sites les plus populaires et s’appuyant sur des CMP, ces plateformes de gestion des consentements introduites pour faciliter la conformité des sites Web au RGPD, répondaient aux exigences du règlement général, notamment en matière de Cookies de tracking. Ainsi, dans 32,5% des sites, le consentement est implicite ce qui est contraire au RGPD. Dans les autres cas, les stratagèmes employés cherchent à contourner l’esprit du RGPD.
C’est notamment le cas de ces écrans « Cookies Wall » qui bloquent l’accès aux sites tant que l’utilisateur n’a pas coché son approbation des cookies. D’ailleurs début mai, les différentes autorités de régulation ont publié de nouvelles lignes directrices interdisant cette pratique contraire selon elle à un consentement « libre, spécifique, éclairé et univoque ».

Une inspiration pour les autres pays

CCPA, le RGPD Californien

Comme le constate Benoit Grumemwald, expert en cyber-sécurité chez ESET France, « l’un des effets les plus significatifs du RGPD est qu’il a déclenché un débat mondial sur la protection des données ». Il rappelle notamment que « le Consumer Privacy Act de l’État de Californie (CCPA), promulgué en juin 2018, comprend de nombreuses dispositions similaires à celles du RGPD. Si la portée géographique de ces réglementations peut sembler limitée, elles affectent en réalité tous les marchés qui ont une relation commerciale dans l’UE ou dans l’État de Californie. »
Outre la Californie, le Japon dispose également d’une loi pour protéger les données personnelles (APPI) introduite dès 2003, mais largement revue et modernisée en mai 2017.
Enfin, le Brésil prépare lui aussi une nouvelle Loi très inspirée par le RGPD : la LGPD brésilienne doit entrer en vigueur en août 2020 si la pandémie ne vient pas reculer son application.

Le RGPD souffle donc sa deuxième bougie sur un bilan mi-figue, mi-raisin. Certes, le règlement a marqué profondément la perception des données privées et impacté toutes les entreprises à travers le monde. Mais ces dernières restent encore bien loin d’être pleinement alignées sur les dispositions et obligations imposées par le règlement. Pour autant, la CNIL se montre relativement positive. Elle précise dans une série de tweets publiés à l’occasion de cet anniversaire que, fin 2019, 64 900 organismes français avaient désigné un DPO soit 31% de plus qu’en 2018. Elle constate également que cette deuxième année marque une sensibilisation toujours plus accrue des Français autour du RGPD : le nombre de plaintes a en effet augmenté de 27% en un an. Cette pression du public reste le meilleur gage pour une application plus large du RGPD.