Si de très nombreuses  entreprises n’ont commencé que récemment à s’intéresser au RGPD, le Règlement Général de Protection des Données, la crainte d’un contrôle intempestif  par la CNIL s’était quelque peu dissipée, Isabelle Falque-Pierrotin, la présidente de l’autorité administrative indépendante ayant déclarée que « Le 25 mai ne sera pas une date couperet pour les sanctions » et qu’elle contrôlerait, dans un premier temps, la mise en mouvement de l’entreprise plutôt que la complète conformité au règlement.

Isabelle Falque-Pierrotin soulignait ainsi la volonté de la CNIL d’accompagner plus que de sanctionner les entreprises afin de diminuer les risques et d’accroître leur compétitivité. Elle pointait également du doigt l’absence de ressources lui permettant de faire respecter le RGPD et notamment en effectuant des contrôles.  

Des déclarations rassurantes pour ceux préoccupés principalement par les sanctions administratives fortement dissuasives : 10 millions d’euros ou 2% du chiffre annuel monde en cas de défaut de notification des violations de sécurité, ces pénalités étant doublées dans les cas de non-respect des droits des « personnes concernées ».

Or, le 25 mai, quelques heures seulement après l’entrée en application du RGPD dans l’ensemble des Etats de l’Union européenne, Maximilian Schrems, en déposant des plaintes pour violation du règlement par Facebook, Instagram, WhatsApp et Google, nous rappelle que l’impact de la non-conformité ne se limite pas aux sanctions appliquées par un gendarme guettant au bord de la route…  

La bête noire des géants du net leur réclame 8,8 milliards de dollars de dommages et intérêts pour violation du RGPD. Il leur reproche l’insuffisance de garanties pour protéger les données des utilisateurs, notamment en ne laissent que deux options aux utilisateurs : accepter de partager leurs données, ou ne pas utiliser les services et donc d’avoir « forcé leurs utilisateurs à accepter leurs nouvelles politiques de confidentialité ».

Chaque plainte a été déposée dans un pays différent : en France (pour Google), en Autriche (Facebook), en Belgique (Instagram) et en Allemagne (WhatsApp). La Cnil devrait être ainsi amenée à collaborer avec les autorités de contrôle des autres pays et les autorités irlandaises où sont basées ces sociétés dans l’Union européenne.

Il est trop tôt pour se prononcer sur l’issue de ces plaintes même si elles sont jugées solides par la présidente du G29 qui réunit les autorités de contrôle. Quoi qu’il en soit, d’autres plaintes ont été déposées ce lundi en France par la Quadrature du Net qui dénonce l’illégalité de la collecte et l’utilisation des données. Cette fois il s’agit d’une action de groupe avec plus de 12.000 plaignants ciblant les GAFAM : Facebook, Google, Apple, Amazon ou Microsoft. Là encore, les plaintes mettent en cause les conditions de recueil du consentement qui ne laisserait pas d’alternatives aux internautes sinon que d’en accepter les conditions pour utiliser leurs services.

Le RGPD qui offre aux consommateurs la possibilité de reprendre le contrôle de leurs données personnelles, ils deviennent acteurs du contrôle de leur DCP, permet de mener ce type d’action et à travers cette plainte, l’association spécialisée dans la défense des droits des internautes vise à inverser le rapport de forces avec les géants du numériques. A titre de référence, sur l’ensemble de l’année 2017 la Cnil n’a reçu que 8.000 plaintes….

Certes ces plaintes concernent les géants de l’internet dans le collimateur des associations et des autorités européennes depuis plusieurs années, pour autant elles nous rappellent des règles que toute entreprise européenne se doit de ne pas minimiser :

  • Le contrôle du respect de la conformité au RGPD ne relève pas uniquement des autorités indépendantes telle que la Cnil, les personnes concernées pouvant individuellement ou collectivement déposer des recours,
  • Le RGPD est applicable dans l’ensemble des Etats de l’Union européenne et les plaintes peuvent être déposées auprès des autorités de différents pays et non pas uniquement de la Cnil,
  • Les autorités de différents pays peuvent se regrouper pour traiter une plainte,
  • Au-delà des plaintes et des sanctions qui pourraient être appliquées, la non-conformité d’une entreprise est un risque pour sa réputation et la confiance de ses clients.

Autant de raisons qui, indépendamment du risque que pourrait représenter un contrôle par la Cnil, doivent inciter les entreprises à accélérer leur mise en conformité.

Une conformité qui ne se limite pas à la cartographie des traitements ou à l’obtention du consentement des personnes concernées. Le DPO, interlocuteur privilégié de la Cnil, devra être en mesure de présenter l’ensemble de la documentation attestant de la prise en main du RGPD par l’entreprise et l’ensemble des collaborateurs.

Pour sensibiliser vos équipes de manière ludique et innovante, inscrivez-vous à notre événement et participez au premier Serious Game RGPD.

Serious Game RGPD : vos équipes sont-elles sensibilisées ?

Lundi 18 Juin à 18h30
Salons Hoche – 9 avenue Hoche – 75008 Paris