Retour

RGPD: un an après, seule une entreprise sur 3 est conforme

RGPD: un an après, seule une entreprise sur 3 est conforme

Visuel pour l'article "RGPD: un an après, seule une entreprise sur 3 est conforme"

Il semblerait que les entreprises ont surestimé leur capacités à répondre aux exigences du règlement européen sur la protection des données. Interrogées avant l’entrée en vigueur du RGPD en mai 2018, elles étaient 78% (source) à estimer qu’elles pouvaient atteindre la conformité à la date butoir. Un an et demi après, dans une étude menée par le même institut, le Capgemini Research Institute, elles ne sont que 28% à se déclarer conformes.

 

Les principaux enseignements de l’étude

  •  Les sociétés ont des difficultés à respecter leurs objectifs initiaux
  •  Près de 81% des entreprises se déclarant conformes constatent des répercussions positives sur leur réputation et leur image

 

L’étude « Championing Data Protection and Privacy – a Source of Competitive Advantage in the Digital Century » montre que les entreprises progressent plus lentement que prévu, freinées par différents obstacles comme la complexité des exigences réglementaires, les coûts de mise en application et le manque de flexibilité de leurs systèmes existants.

Afin d’atteindre l’objectif de conformité, les organisations tendent à investir dans la protection et la confidentialité des données, afin d’assurer leur conformité aux règlements d’aujourd’hui et de demain.

Cependant, il est intéressant de noter que 92% des entreprises conformes affirment avoir obtenu un avantage compétitif, alors qu’elles étaient 28% seulement à s’y attendre l’année dernière.

 

Les entreprises prennent du retard

Alors que le RGPD est en application depuis plus d’un an, un grand nombre d’entreprises sont encore dans le flou quant à leur niveau de conformité. 28% des entreprises interrogées affirment être conformes, et seul 30% des entreprises se déclarent être « presque conformes »*.

Sur la question de la conformité, les entreprises américaines sont en tête de file (35%), suivies de près par les entreprises britanniques et allemandes (33%) ; les entreprises espagnoles (21%), italiennes (21%) et suédoises (18%) ferment la marche.

 

 

 

* Dans cette étude, le terme « conforme » désigne l’évaluation de conformité telle que déclarée par les entreprises interrogées.

 

Quels sont les principaux freins rencontrés ?

Selon les dirigeants interrogés, les initiatives de conformité sont principalement freinées par leurs anciens systèmes IT (38%), la complexité des exigences à respecter (36%) et le coût prohibitif des projets de conformité (33%).

 

 

De plus, les entreprises ont déjà reçu un nombre considérable de demandes de la part des personnes concernées : 50% des entreprises américaines concernées par le RGPD indiquent avoir reçu plus de 1 000 demandes, une tendance que l’on retrouve en France (46%), aux Pays-Bas (45%) et en Italie (40%).

 

 

Même si les entreprises peinent à atteindre la conformité, elles réalisent des investissements significatifs pour pouvoir faire face aux coûts élevés qu’elle représente : d’ici 2020, 40% pensent dépenser plus d’un million de dollars en frais juridiques, et 44% dans la mise à niveau de leurs outils technologiques.

Par ailleurs, les organisations doivent faire face à un nouveau challenge – l’adoption de nouvelles législations dans différents pays hors de l’Union européenne.

 

Verbatim

Zhiwei Jiang, directeur général des activités Insights & Data de Capgemini :

« Cette enquête met en lumière les difficultés auxquelles les entreprises se heurtent sur le chemin de la conformité, mais aussi les avantages pour celles qui réussissent.

Un grand nombre de dirigeants s’est montré très optimiste l’année dernière. Ils prennent maintenant conscience de l’ampleur des investissements et des changements organisationnels requis pour atteindre la conformité, qu’il s’agisse de déployer des technologies avancées soutenant la protection des données ou de sensibiliser leurs salariés aux bonnes pratiques à adopter….

 …Mais ces efforts porteront leurs fruits : les chefs de file constatent des améliorations qui dépassent toutes leurs attentes dans le domaine de la satisfaction et de la confiance client, de la motivation de leurs équipes, de la réputation de leur entreprise et de leur chiffre d’affaires. Ces réussites représentent une source d’inspiration pour ceux qui ont pris du retard sur leur conformité. »

 

Les avantages d’être conformes

La plupart des dirigeants ayant atteint la conformité indiquent avoir constaté des améliorations en termes de :

  • confiance client (84%),
  • d’image de marque (81%)
  • et de motivation des employés (79%).

 

 

Ils ont également signalé des changements positifs secondaires :

  • dans le domaine des systèmes IT (87% contre 62% lors des prévisions de 2018),
  • de la cybersécurité (91% contre 57%),
  • ou encore du changement et de la transformation organisationnels (89% contre 56%).

 

La technologie joue un rôle clé chez les entreprises conformes

L’étude révèle un écart technologique significatif entre les organisations conformes et les retardataires dans la mise en œuvre de leur programme de conformité au RGPD. Les entreprises conformes au RGPD utilisent davantage les technologies telles que les plateformes Cloud (84% contre 73% pour les entreprises non conformes), le chiffrement des données (70% contre 55%), l’automatisation robotique des processus (35% contre 27%) et l’archivage des données industrialisé (20% contre 15%).

 

 

De plus, 82% des sociétés conformes affirment avoir fait les démarches nécessaires afin de s’assurer que leurs fournisseurs technologiques respectent bien la réglementation applicable en matière de protection des données, contre 63% seulement chez les entreprises non conformes.

La majorité (61%) des sociétés conformes auditent leurs sous-traitants pour vérifier leur conformité dans le domaine de la protection des données. Les sociétés non conformes ne sont que 48% à le faire.

 

Méthodologie

L’étude a été menée auprès de 1 100 cadres supérieurs, occupant un poste de directeur ou de niveau supérieur, dans huit secteurs : assurance, banque, biens de consommation, utilities, télécommunications, services publics, santé et distribution. Ils travaillaient pour des entreprises dont le siège se trouve en France, en Allemagne, en Italie, aux Pays-Bas, en Norvège, en Espagne, en Suède, au Royaume-Uni, aux Etats- Unis et en Inde. Capgemini a également réalisé des entretiens avec des leaders et experts du secteur, pour étudier l’état actuel et l’impact de la règlementation sur la confidentialité des données.

(1) Capgemini Research Institute, « Seizing the GDPR Advantage: From mandate to high-value opportunity » (« Tirer parti du RGPD : comment une obligation réglementaire peut devenir génératrice de plus-value »), mai 2018

 

Dominique COZZI – Journaliste

 

À lire également :

RGPD : la CNIL simplifie son modèle de registre de traitements pour les PME

La CNIL dresse le premier bilan

Les entreprises n’ont aucun intérêt à contourner le règlement !

Purge des données : le cauchemar des DSI

Retour

Marketing: le RGPD est-il une opportunité ou une contrainte?

Marketing: le RGPD est-il une opportunité ou une contrainte?

Visuel pour l'article "GDPR : opportunité ou contrainte"

C’est la grande question que tout le monde se pose depuis l’arrivée du règlement européen. En générant de nouvelles pratiques, en demandant de consommer mieux les données des utilisateurs, le RGPD s’avère être un vecteur d’amélioration de l’expérience client. C’est l’enseignement que tire Marketo, éditeur de logiciels d’automatisation marketing.

 

Dominique Cozzi – Journaliste

 

En savoir plus sur nos offres de conseil : https://www.gdpr-rating.eu/fr/services/

 

 

Retour

RGPD: la CNIL simplifie son modèle de registre de traitements pour les PME

RGPD: la CNIL simplifie son modèle de registre de traitements pour les PME

Visuel pour l'article "RGPD: la CNIL simplifie son modèle de registre de traitements pour les PME"

L’article 30 du règlement européen impose aux organismes qui traitent régulièrement des données personnelles, la constitution, la tenue et le maintien dans le temps d’un registre des traitements. Outil de pilotage et de démonstration de votre conformité, il doit être perçue avant tout comme un outil de gouvernance. Pour simplifier la tâche aux petites structures, l’autorité de régulation a publié, au format tableur, un modèle simplifié de registre.

Finis les PDF et les fichiers texte, place au tableur ! C’est sous un format ouvert et compatible (.ods pour Open Document Spreadsheet) avec la plupart des tableurs (Microsoft Excel, OpenOffice Calc, LibreOffice Calc) que la CNIL actualise son modèle de registre des traitements. Un changement de format qui illustre la volonté de l’autorité de régulation de simplifier la documentation de la conformité mais également la difficulté qu’ont les petites structures à répondre aux exigences du RGPD. En effet, piloter la conformité n’est pas une mince affaire et il est parfois nécessaire d’être accompagné pour éviter les risques et gagner la confiance de ses utilisateurs ou clients.

Prévue par l’article 30 du règlement, la tenue d’un registre des traitements est obligatoire pour tous les organismes, publics ou privés, quelle que soit leur taille, qui traitent, dans le cadre de leurs activités, des données personnelles. Sa constitution est souvent pour les organismes l’occasion de construire un plan solide d’actions de mise en conformité puisqu’en recensant l’ensemble des traitements, on obtient de facto, une vue d’ensemble sur ce qu’on fait au quotidien avec les données personnelles (clients, salariés, fournisseurs…)

Car documenter les traitements des données, c’est se poser les bonnes questions : mes données sont-elles suffisamment sécurisées ? Dois-je toutes les garder ? Ces données sont-elles nécessaires à la finalité de mon traitement ? Etc…

Mis à jour régulièrement ce registre permet de limiter les risques au regard du RGPD. En effet, il doit pouvoir être mis à disposition de la CNIL sur demande.

 

Que doit contenir le registre ?

Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :

  • les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
  • les catégories de données traitées,
  • à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
  • combien de temps vous les conservez,
  • comment elles sont sécurisées

 

Exemple de fiche de traitements fictifs. (Source CNIL)
Exemple de fiche de traitements fictifs. (Source CNIL)

 

Dans le cas où votre organisme agit à la fois en tant que sous-traitant et responsable du traitement, on doit pouvoir dans votre registre identifier les deux catégories d’activités.

    • un pour les données personnelles dont vous êtes vous-même responsable
    • Un autre pour les traitements que vous opérez pour le compte de vos clients.

 

Une dérogation pour les PME de moins de 250 salariés

 Les entreprises de moins de 250 salariés bénéficient d’une dérogation. Elles ne sont pas soumises à l’obligation de lister les traitements mis en oeuvre de façon « occasionnelle et non routinière ».

Par exemple, une campagne de communication à l’occasion de l’ouverture d’un nouvel établissement, sous réserve que ces traitements ne soulèvent aucun risque pour les personnes concernées.

En cas de doute sur l’application d’un traitement, la CNIL préconise de l’intégrer dans votre registre.

 

Le registre pour les entreprises de moins de 250 salariés doit comporter :

 – les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;

– les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)

– les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).

La dérogation est donc limitée à des cas très particuliers de traitements.

 

Que comporte cette version actualisée ?

 Le tableur contient une fiche tutorielle, une fiche de liste de traitements, un modèle de fiche à remplir et une fiche d’exemple.

À lire sur la CNIL : La CNIL publie un nouveau modèle de registre simplifié

 

Besoin d’être accompagné dans vos démarches de mise en conformité ?

Comprendre les exigences du règlement, sensibiliser ses collaborateurs, mesurer le niveau de maturité de son organisation et donc allouer les bons budgets, un vrai casse-tête pour les entreprises. De ce constat est né GDPR Rating, un outil d’auto-évaluation à destination des PME-ETI. Grâce à cette plateforme de notation, les entreprises obtiennent en ligne et en toute autonomie un état des lieux ainsi que les mesures de remédiation associées. À la clé, une note de conformité que chaque organisation peut communiquer auprès de ses clients, ses prestataires et ses utilisateurs. Mais la possibilité d’aller plus loin et de bénéficier d’un accompagnement personnalisé selon les besoins de son organisation (sécurité, DPO, e-learning).

Dominique COZZI – Journaliste

 

À lire sur le même sujet :

RGPD : la CNIL dresse le premier bilan

https://www.gdpr-rating.eu/fr/gdpr-la-cnil-dresse-le-premier-bilan/

Les entreprises n’ont aucun intérêt à contourner le règlement

https://www.gdpr-rating.eu/fr/gdpr-les-entreprises-nont-aucun-interet-a-contourner-le-reglement/

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

 

 

Retour

Purge des données: le nouveau cauchemar des DSI

Purge des données: le nouveau cauchemar des DSI

Visuel pour l'article "Purge des données, nouveau cauchemar des DSI"

Le RGPD, entré en vigueur en mai 2018, modifie en profondeur les exigences liées à la collecte, l’exploitation et le stockage des données personnelles. En effet, L’article 6.5 du règlement dispose que pour faire l’objet d’un traitement, les données à caractères personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

 

En d’autres termes, la durée de conservation des données à caractère personnel ne saurait être illimitée. Les entreprises se retrouvent ainsi confrontées à une problématique qu’elles ont occultée depuis de nombreuses années : La suppression des données de leur système d’information (SI).

 

Quelles sont les difficultés majeures de mise en œuvre pour les grands groupes ?

 Aujourd’hui, un bon nombre de grandes entreprises après une ou deux années de travail se retrouvent dans l’impasse. En effet, les entreprises ne savent pas par quel angle aborder le sujet et les premiers essais ne permettent souvent pas d’aboutir à une mise en œuvre opérationnelle. En cause :

  1. Une sous-estimation de l’aspect transverse du projet et des moyens nécessaires pour mettre en œuvre une phase de cadrage et d’analyse d’impacts pertinents.
  2. Une méthodologie d’approche pas suffisamment aboutie, souvent en cours de maturation. Les équipes sollicitées s’épuisent d’une collecte d’information désorganisée, redondante, et inefficace.
  3. Une priorité haute, celle de sécuriser les données. Les efforts budgétaires consacrés aux opérations de purge se retrouvent sans cesse en bout de chaine, repoussés.
  4. Une politique liée à la gouvernance des données en cours de transformation. C’est aussi un élément clé de réussite. Mais, sur le terrain, de nombreuses entreprises n’ont pas encore fini de mettre en place les bonnes pratiques et les bons mécanismes de gestion autour de de la donnée.
  5. Une définition des durées de conservation qui se révèle être un travail de longue haleine. Elle implique un nombre conséquent de parties prenantes et requiert des compétences pluridisciplinaires, au carrefour du juridique, de la gestion de projet et de la compréhension des systèmes d’information.
  6. Une panoplie d’outils dotés de fonctionnalités de purge non suffisante pour répondre au devoir de suppression des données. Assurément, la problématique de purge est confrontée à l’accumulation de données non purgées, l’interconnexion des systèmes existants, et à l’inexistence des modes opératoires opérationnels.

On peut donc légitimement se demander comment aujourd’hui, un citoyen peut disparaitre totalement d’un système d’information s’il en exprime le désir ? Tout comme on peut se poser la question sur la mise en application réelle des exigences de la directive européenne, de limiter la conservation des données personnelles proportionnellement aux usages qu’ils en sont fait.

 

Notre expérience de terrain démontre que les processus d’exécution ne sont pas toujours au rendez-vous.

 

Comment opérer la purge des données ?

Pour cadrer le sujet, il faut adopter une démarche structurée qui permet d’aboutir à des résultats et des actions concrètes :

  • Identifier, documenter, cartographier les données personnelles et leur sensibilité
  • Définir et lotir les périmètres d’analyse au regard des zones de risque et de la mécanique de circulation de la donnée.
  • Corréler la roadmap liée à la définition des durées de conservation à la roadmap d’analyse des solutions
  • Mener l’analyse d’impact méthodiquement.
  • Proposer des solutions prenant en considération le traitement des impacts liés aux applications en amont et en aval.
  • Veiller à traiter les systèmes de sauvegardes.
  • Diminuer le risque par étape, en étant pragmatique, en privilégiant les possibilités existantes des outils et au travers de successions d’actions concrètes réalisables le plus tôt possible.
  • Veiller à traiter la modification des processus métiers, sans oublier de tracer la réalisation des opérations de purge.
  • Veiller à ne pas dégrader la qualité du service pour les personnes.

 

Au sein des entreprises, la prise de conscience est en bonne voie, la sensibilisation infuse toutes les strates de l’entreprise, jusqu’au SI. La route vers la mise en conformité est longue, mais les organisations doivent soutenir les efforts pour que les exigences en matière de conformité ne restent pas lettre morte.

Salima YAHIAOUI – Consultante Senior Manager

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

 

Retour

Grands ou petits, personne n’est à l’abri

Grands ou petits, personne n’est à l’abri

Visuel pour l'article " Grands ou petits, personne n’est à l’abri"

Le RGPD c’est avant tout le respect notre vie privée. Depuis 2018 et l’entrée en vigueur du règlement européen, c’est désormais aux entreprises de prouver que nos données personnelles sont bien protégées. Les organismes sont donc invités à plus de transparence mais également plus de responsabilité dans la manipulation de nos informations. La CNIL, notre gendarme national de la donnée peut à tout moment venir contrôler la façon dont vous traitez les données. Mais, il ne faut pas non plus écarter le risque que le contrôle soit effectué après un dépôt de plainte. En 2018, selon le bilan de l’autorité, ce sont près de 11 077 plaintes qui ont été déposées auprès du régulateur. Il est donc nécessaire de prendre les mesures appropriées pour être prêt le jour J.

 

Nous avons tous entendu parler de l’amende de 50 millions d’Euros infligée à Google en début d’année par la CNIL. Début juillet, British Airways et le groupe Mariot ont été respectivement condamnées à 200 et 111 millions d’Euros par l’ICO, l’équivalent britannique de la CNIL, pour ne pour ne pas avoir su protéger efficacement les données bancaires de leurs clients.

 

Les PME ne sont pas non plus épargnées par ce mouvement. Marie-Laure Denis, la présidente de la CNIL a même prévenu dans les colonnes de La Tribune, il y a trois mois, que les contrôles ne seront pas exclusivement dirigés à l’encontre des grandes entreprises et entend bien également contrôler les TPE ou PME qui « traitent de grands volumes de données » même si elle « ne sous-estime pas la complexité – financière et technique – de leur mise en conformité. ». Action, réaction, en juin 2017, un cabinet dentaire a été condamné à 10 000 euros d’amende pour « manquement à l’exercice de droits ».

 

Mais comment la CNIL décide de contrôler telle ou telle société ?

Il existe principalement 3 cas :

  • Les réclamations et signalements : non-respect d’un droit (accès, opposition, suppression), collecte de données excessives (vidéosurveillance, données bancaires, appels téléphoniques), atteinte à la sécurité et à la confidentialité des données (violation de données, accès par des personnes non autorisées).
  • Les initiatives de chaque contrôleur : identifiées au regard de l’actualité (émergence de nouveaux services et de produits, risques pour la vie privée des personnes).
  • Le programme annuel de contrôle : cette année sont concernés par le programme, le respect de l’exercice des droits (accès, modification, suppression, portabilité), la question sensible des mineurs où il est notamment nécessaire d’obtenir l’accord parental pour en enfant de moins de 15 ans et le sujet épineux de la répartition des responsabilités entre le responsable de traitement et son sous-traitant (objet de notre précédent article…).

 

Il est donc important que chaque entreprise, quelle que soit sa taille, prenne en main le sujet car le signal envoyé par la présidente de la CNIL ne laisse place à aucune ambiguïté : après le « temps de la patience et de la tolérance », l’autorité de contrôle « sera plus ferme envers les entreprises ».

 

Par où commencer ?

La première étape consiste d’abord à évaluer son niveau de conformité afin de connaître son plan de route pour devenir conforme. Pour réaliser cette évaluation vous pouvez, soit vous faire aider par un consultant spécialisé, soit utiliser une plateforme comme www.gdpr-rating.eu afin de vous auto-évaluer et générer un plan d’action de mise en conformité.

Autre étape importante, la sensibilisation de votre personnel, élément clé et indispensable pour une mise en conformité responsable.

Un fois la route tracée, il suffit de réaliser les actions qui sont proposées. Dans certains cas, une aide juridique ou informatique pourra être nécessaire afin de garantir la robustesse des actions entreprises.

L’année 2019 marque l’achèvement de la phase de transition entre l’ancienne législation « libertés et informatique » et le RGPD. La CNIL vérifiera ainsi pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations).

 

Lorsqu’elle constatera des manquements, elle en tira les conséquences qui s’imposent, jusqu’à la sanction si nécessaire. Et même si, comme par le passé, la CNIL fera preuve de discernement dans le choix des mesures correctrices, il est nécessaire voire vital pour les organisations de se mettre en conformité. Car si ce n’est pas la CNIL qui vous sanctionne, ce sera peut-être un utilisateur ou un client…

Laurent Zeitoun

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

 

Retour

Le RGPD va-t-il nous laisser sans voix?

Le RGPD va-t-il nous laisser sans voix?

Visuel pour l'article "Le RGPD va-t-il nous laisser sans voix ?"

Quand on en parle, ça tombe sous le sens ! Non, la voix n’est pas une donnée libre de droits. Ce serait même l’une des données les plus sensibles au regard du règlement sur la protection des données personnelles, entré en vigueur il y a déjà un an. La voix serait donc une donnée qui s’ignore ? Décidément oui puisque, selon un sondage Mediartis, près de 82% de Français ne savent pas que leur voix est protégée par le RGPD.

Que faisons-nous de notre voix au quotidien ?

C’est la question que pose en substance Mediartis, la première plateforme conforme au RGPD pour la gestion des « data-voix » des comédiens. Avec la multiplication des usages vocaux digitaux la question prend tout son sens. Et le RGPD y répond en estimant qu’au même titre que le nom, l’adresse, le numéro de sécurité sociale, la voix est une donnée à caractère personnel au sens du règlement et qu’elle doit être protégée car susceptible d’identifier « directement ou indirectement » une personne physique.

L’article 4.1 du RGPD définit une « donnée personnelle» comme étant toute information relative à une personne permettant de l’identifier directement ou indirectement (…) notamment par référence à une ou plusieurs propriétés spécifiques uniques qu’elle soit physique, physiologique, génétique, économique, sociale, culturelle, psychique. La voix est donc protégée par cet article car elle correspond à l’identité physiologique d’une personne.

Bien que les nouvelles technologies ont fortement impacté nos habitudes, les Français ont gardé, pour une large majorité d’entre eux, un usage traditionnel de leur voix. Ainsi 86% « passent des appels téléphoniques à leur entourage » et 41% « ont déjà échangé avec des centres d’appels ». Cependant, avec l’arrivée de technologie comme la reconnaissance vocale ou encore l’intelligence artificielle, de nouveaux usages s’invitent dans le quotidien des Français. Près de 30% saisissent vocalement leur texte (sms, mail…). 24% n’écrivent plus mais enregistrent des messages vocaux sur les réseaux sociaux (whatApp, Messenger…). Et 17% échangent avec des assistants comme Siri de Apple, Alexa de Amazon ou encore Cortona de Microsoft et Google home.

 

 

Selon les exigences du RGPD, le traitement de la voix, comme toute donnée personnelle, doit être fondé sur une base juridique. A savoir, le consentement, l’exécution d’un contrat, le respect d’une obligation légale, la protections des intérêts vitaux, l’intérêt public et l’intérêt légitime.

Juridiquement, les personnes possèdent depuis le 25 mai 2018, de nouveaux droits : d’accès, d’opposition, de rectification, à l’oubli, à la limitation du traitement, à la portabilité. Or, selon le sondage de Mediartis, 28% des personnes interrogées n’ont pas conscience du niveau de protection dont ils bénéficient avec le RGPD.

⭐️ 54% estiment que c’est uniquement ce qu’ils disent qui est protégé.
⭐️ Seuls 17% estiment que leur voix pourrait être protégée.

 

 

La voix tombe donc sur le coup du règlement puisqu’elle permet, à elle-seule, d’identifier une personne. Mais au-delà de l’identification, avoir accès à l’enregistrement d’une voix expose les individus à un plus grand risque : celui de l’usurpation d’identité.

Interrogés sur les risques que peut entraîner leurs usages « vocaux », ils sont seulement 39% à avoir conscience que leur voix peut être reproduite, et donc soumise par exemple à un risque d’usurpation d’identité. Par contre, ils sont plutôt conscients des risques encourus par les informations transmises. Près de 62% pensent que ces informations peuvent être stockées et 53% estiment qu’elles peuvent être utilisées à des fins commerciales.

 

Méthodologie

Sondage réalisé sur un échantillon Toluna de 1114 personnes, représentatives de la population française âgée de 18 ans et plus. Les interviews ont eu lieu par questionnaire auto-administré en ligne du 14 au 23 mai 2019.

Dominique COZZI – Journaliste

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

Retour

RGPD: la coresponsabilité, ça vous parle?

RGPD: la coresponsabilité, ça vous parle?

Visuel pour l'article : "RGPD: la coresponsabilité, ça vous parle ?"

Le règlement européen a eu une influence directe sur les contrats conclus entre les responsables de traitement et les prestataires. Désormais, lorsqu’on échange de la donnée personnelle, il est nécessaire, voire essentiel de qualifier le rôle de chacune des parties prenantes. Objectif : éviter le flou juridique qui pourrait vous coûter cher.

 

La Cour de Justice de l’Union européenne (CJUE) a donné le « La » ! En se prononçant sur la question : « un administrateur d’une Fanpage hébergée sur Facebook peut-il être considéré comme responsable du traitement ? » la Cour a adopté une interprétation extensive de la notion de responsable de traitement. En effet, la Cour a considéré que l’administrateur d’une « Fanpage » hébergée sur Facebook, est, avec Facebook, conjointement responsable du traitement des données des visiteurs de sa page. Une première.

 

Une décision sévère mais justifiée

La CJUE fait donc jurisprudence en demandant aux coresponsables de traitement de prévoir la répartition de leurs obligations. Dans le cas évoqué, il devra ainsi être notamment défini, qui de Facebook ou de l’administrateur de la « Fanpage » doit recueillir le consentement des visiteurs de la « Fanpage » pour le dépôt de cookies sur leur ordinateur et les informer des finalités de ce traitement.

En clair, être « fan » ou « liker » une page n’est pas considéré juridiquement comme « consentir de façon éclairé » à ce que les données d’un utilisateur du réseau soient récoltées et traitées sans qu’il n’en connaisse la finalité.

Même si dans certains secteurs, comme celui de l’assurance en particulier, il n’est pas aisé de remonter la chaîne des responsabilités, les organisations doivent expressément faire la différence entre le détenteur direct de la donnée personnelle et celui qui agit au nom et pour le compte du responsable de traitement.

Sur le terrain, la mise en œuvre d’un traitement de données à caractère personnel nécessite la plupart du temps l’intervention de différents acteurs. Mais quelle que soit son activité, chaque partie prenante doit prendre la mesure juridique de la « coresponsabilité » évoquée comme principe directeur du règlement européen.

En cas de litige entre les parties, la CNIL a la possibilité de requalifier la relation contractuelle en saisissant le juge. Soit le juge se déclare compétent et tranche, soit le contentieux est portée devant la cour européenne. Dans tous les cas, la requalification sera « in concreto » c’est-à-dire que le juge prendra en compte le contexte et la façon dont a été mis en œuvre le traitement. Ainsi, dans son avis sur la holding Foncia, la CNIL a appliqué ce principe estimant qu’en mettant à disposition de ses entités juridiques (filiales) un traitement, la holding en était la responsable, puisque c’est elle qui détient en amont les données collectées.

De façon plus générale, chaque cas étant différent, les juges ont opté pour la qualification au cas par cas, le niveau de responsabilité étant évalué en tenant compte de toutes les circonstances pertinentes du cas. Ainsi, les coresponsables du traitement peuvent être impliqués dans un même traitement de données à caractère personnel à des stades et à des degrés différents. La reconnaissance d’une responsabilité conjointe n’implique pas une responsabilité à parts égales.

Et c’est pourquoi, afin d’éviter tout déséquilibre, le contrat de prestation est soumis au principe juridique selon lequel toute clause litigieuse, fausse ou abusive sera réputée non écrite par les juges.

Dominique Cozzi – Journaliste

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

Retour

Les consommateurs ne comprennent rien au RGPD

Les consommateurs ne comprennent rien au RGPD

Visuel pour l'article : "Les consommateurs ne comprennent rien au RGPD"

Un an après l’entrée en vigueur du règlement européen sur la protection des données personnelles, les consommateurs ont toujours beaucoup de mal à saisir de quoi il en retourne. Selon une enquête, menée par Ogury, entreprise spécialisée dans le marketing mobile, seuls 8% des consommateurs dans le monde estiment mieux comprendre comment les entreprises utilisent leurs données.

 

Les principaux enseignements de l’étude

  • En France, 60% des consommateurs ne comprennent pas comment leurs données sont utilisées après avoir lu un formulaire de consentement et des politiques de confidentialité.
  • 47% de Français disent même « ne pas savoir ce qu’est le RGPD ». Ce chiffre descend à 39 % en moyenne pour l’ensemble des répondants européens.
  • Lorsqu’on leur propose un choix clair et juste, 7 consommateurs sur 10 dans le monde choisissent de partager leurs données plutôt que de payer pour accéder à un contenu en ligne.
  • 71 % des mobinautes dans le monde se déclarent prêts à partager leurs données (à condition de savoir exactement quelles données sont collectées et comment elles seront utilisées).

 

Le message n’est pas passé !

Près d’un Français sur 2 (47%) dit « ne pas savoir ce qu’est le RGPD ». Un chiffre qui en dit long sur l’incompréhension d’un règlement censé mieux protéger leurs informations personnelles. Dans la ligne de mire, les entreprises et un manque certain de pédagogie.

Jean Canzoneri, co-fondateur et CEO d’Ogury, estime que l’application du RGPD n’a pas été suffisamment prise au sérieux par les organisations. « Les spécialistes du marketing doivent prendre en considération les enseignements de cette étude : le message n’est clairement pas bien passé. Il revient d’abord aux entreprises de maîtriser le RGPD, puis de sensibiliser les consommateurs à l’importance du partage des données. »

 

Depuis l'entrée en vigueur du RGPD, avez-vous l'impression de mieux comprendre comment les entreprises utilisent vos données ? (47% :

 

Lorsqu’on leur demande s’ils ont l’impression de mieux comprendre la façon dont les entreprises utilisent leurs données depuis l’entrée en vigueur du RGPD, une grande partie des sondés, soit 55% des répondants à travers le monde, répondent “non”.

En France, 33 % des personnes interrogées déclarent ne pas mieux comprendre l’utilisation faite de leurs données depuis l’entrée en vigueur de la loi. 47 % disent même « ne pas savoir ce qu’est le RGPD ». Ce chiffre descend à 39 % en moyenne pour l’ensemble des répondants européens, une proportion qui demeure étonnamment élevée plus d’un an après l’entrée en vigueur de la loi dans les Etats membre de l’Union européenne.

« Ces chiffres doivent sembler décourageants pour les régulateurs, qui auraient sans nul doute espéré une meilleure compréhension de la part des consommateurs, que le RGPD est justement censé protéger. Cette pédagogie va devenir de plus en plus clé, et ce partout dans le monde, notamment aux Etats-Unis avec l’entrée en vigueur le 1er janvier 2020 du California Consumer Protection Act (CCPA). » poursuit Jean Canzoneri.

Trop long pour être lu !

L’étude révèle en effet que les entreprises n’ont pas mis en place les moyens nécessaires pour que le message passe clairement. Mais également que les entreprises n’ont pas mis en place les moyens nécessaires à l’obtention du consentement explicite et éclairé de l’utilisateur pour collecter et utiliser ses données. En moyenne en France, 77 % des consommateurs ne lisent pas les formulaires de consentement dans leur entièreté.

De plus, près de la moitié des consommateurs (52 % à l’échelle mondiale) ont répondu que, même lorsqu’ils lisent les formulaires de consentement et les politiques de confidentialité, ils ne comprennent toujours pas comment leurs données sont utilisées.

Contre toute attente, ce taux est encore plus élevé dans les pays où le RGPD est mis en œuvre depuis un an, puisque 58 % des sondés européens ne comprennent pas mieux comment les entreprises utilisent leurs données en lisant les informations de collecte du consentement.

Les consommateurs veulent préserver un internet gratuit

D’après l’enquête, quand on leur propose un choix explicite, 71 % des répondants dans le monde préfèrent partager les données issues de leur navigation sur sites et applications mobiles et leurs coordonnées plutôt que de payer pour accéder à un contenu en ligne.

 

Quel type de données seriez-vous prêt à partager pour ne pas avoir à payer pour voir un contenu en ligne ou utiliser une application ? (58% :

 

Raphael Rodier, Chief Revenue Officer d’Ogury, précise : « Le fait que 71 % des mobinautes dans le monde se déclarent prêts à partager leurs données – à condition de savoir exactement quelles données sont collectées et comment elles seront utilisées – prouve que les consommateurs veulent préserver un Internet gratuit, tant que l’échange est équitable et respecté. ». À l’heure du premier anniversaire du RGPD, les organisations doivent comprendre qu’il est désormais impératif d’éclairer les utilisateurs dans leur choix face à la collecte de leurs données.

 

GDPR : comment se mettre en marche ?

Comprendre les exigences du règlement, sensibiliser ses collaborateurs, mesurer le niveau de maturité de son organisation et donc allouer les bons budgets, un vrai casse-tête pour les entreprises. De ce constat est né GDPR Rating, un outil d’auto-évaluation à destination des PME-ETI. Grâce à cette plateforme de notation, les entreprises obtiennent en ligne et en toute autonomie un état des lieux ainsi que les mesures de remédiation associées. À la clé, une note de conformité que chaque organisation peut communiquer auprès de ses clients, ses prestataires et ses utilisateurs. Mais la possibilité d’aller plus loin et de bénéficier d’un accompagnement personnalisé selon les besoins de son organisation (sécurité, DPO, e-learning).

Dominique Cozzi – Journaliste

 

Source : Ogury a mené son enquête du 12 au 18 février 2019 aux États-Unis, en Allemagne, en Espagne, en Italie, en France et au Royaume-Uni, rassemblant les réponses de 287 571 utilisateurs mobiles dans le monde. En France, 22 631 personnes ont répondu à cette enquête.

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

Retour

GDPR: La CNIL dresse le premier bilan

GDPR: La CNIL dresse le premier bilan

Visuel pour l'article "La CNIL dresse le premier bilan"

L’autorité de régulation a annoncé la publication d’une ordonnance d’ici la fin de l’année visant à améliorer le cadre juridique du GDPR. Dans le même temps, la CNIL dresse un premier bilan d’étape, six mois après l’entrée en vigueur du règlement européen, le 25 mai dernier.

Les Français face au GDPR

66% c’est le pourcentage de personnes qui se disent plus sensibles qu’auparavant à la protection de leurs données personnelles selon un sondage IFOP réalisé en octobre pour la CNIL.

Principales sources d’inquiétudes :

Et quand on leur parle de GDPR, 2 Français sur 3 (65%) dispose d’une bonne connaissance globale sur la question. Mais seule, une courte majorité (54%) estime comprendre à ce stade ce que le règlement a vraiment changé sur les droits des personnes et donc sur les obligations des professionnels.

Toutefois, une fois mieux informés, les Français portent un regard plutôt positif sur le règlement. Près de 73% d’entre eux le considèrent comme efficace pour mieux protéger les données.

Sans commenter ses résultats, la CNIL estime que les efforts des professionnels pour s’approprier du GDPR se poursuivent

 

32 000 organismes ont désigné un délégué à la protection des données (personnes physiques ou morales).
15 000 DPO ont été nommés contre 5 000 CIL auparavant.
1000 notifications de violations de données ont été notifiées soit 7 par jour depuis le 25 mai 2018.

 

Les contacts entre la CNIL et les professionnels se sont multipliés…

 

178 000 appels depuis janvier 2018.
246 000 consultations des FAQ en ligne contre 178000 en 2017.
7 millions de visites sur le site de la CNIL contre 4,4 millions en 2017.
130 000 téléchargements de l’outil PIA pour réaliser une analyse d’impact.

 

… Mais également avec les particuliers

 

9 700 plaintes reçues soit 34% de plus qu’en 2017 sur la même période.
6 000 plaintes ont été reçues depuis le 25 mai.

 

Dans le cadre de l’instruction de ces plaintes, la CNIL a plutôt une attitude positive vis à vis des organismes concernés estimant que ces plaintes sont une bonne occasion pour « repenser leur organisation, notamment au regard de l’information des personnes et des modalités d’exercice des droits comme le droit d’accès. ». Selon la CNIL, les demandes de droit d’accès sont en forte augmentation « ce à quoi, ils n’étaient manifestement pas assez préparés. ».

 

Trois organismes ont saisi la CNIL de plaintes collectives

 

La Quadrature du Net : les plaintes concernent Google, Amazon, Facebook, Linkedin et Apple pour un total de 45 000 personnes concernées.
L’association NOYB les plaintes concernent Google.
L’ONG anglaise Privacy International : les plaintes concernent 7 entreprises procédant à de la collecte à grande échelle de données en ligne.

 

Par ailleurs, les autorités de protection européennes sont en train de traiter 345 plaintes transfrontalières. La CNIL est concernée par 187 cas et autorité chef de file pour 15 cas. Dans la majorité des cas, ces plaintes soulèvent des questions sur le consentement.

 

Les autorités de protection coopèrent de manière soutenue

Le Comité européen à la protection des données (CEDP) a validé 20 listes nationales de traitements devant faire l’objet d’une analyse d’impact sur les données personnelles (AIPD).

19 lignes directrices ont été adoptées et 6 sont en cours d’élaboration (la certification, les codes de conduite, les transferts de données ou encore la vidéosurveillance).

La publication de ces listes et directives doivent permettre aux responsables de traitement concernés de savoir plus précisément s’ils sont ou non soumis à l’obligation de l’analyse d’impact.

Près de 10 codes de conduite sont en cours de préparation, portant notamment sur la recherche médicale et les infrastructures cloud.

 

GDPR : comment se mettre en marche ?

Comprendre les exigences du règlement, sensibiliser ses collaborateurs, mesurer le niveau de maturité de son organisation et donc allouer les bons budgets, un vrai casse-tête pour les entreprises.

De ce constat est né GDPR Rating, un outil d’auto-évaluation à destination des PME-ETI. Grâce à cette plateforme de notation, les entreprises obtiennent en ligne et en toute autonomie un état des lieux ainsi que les mesures de remédiation associées.

À la clé, une note de conformité que chaque organisation peut communiquer auprès de ses clients, ses prestataires et ses utilisateurs. Mais la possibilité d’aller plus loin et de bénéficier d’un accompagnement personnalisé selon les besoins de son organisation (sécurité, DPO, e-learning).

Dominique Cozzi – Journaliste

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

Retour

Vers un Schengen de la donnée ?

Vers un Schengen de la donnée ?

Visuel pour l'article : "Vers un Schengen de la donnée ?"

Le Parlement européen a approuvé la libre-circulation des données non personnelles au sein de l’Union européenne. Avec cette mesure, les eurodéputés entendent encourager l’innovation. Carburants de l’intelligence artificielle et de l’Internet des objets (IoT), ces données pourraient permettre aux startups et PME de créer de nouveaux services. Une mesure qui pourrait changer la donne pour l’économie numérique. En effet, selon un rapport de l’IDC, ce règlement pourrait permettre au PIB de l’UE de croître de 4% soit 739 milliards d’euros d’ici 2020.

 

Après la libre-circulation des personnes, des biens, services et capitaux, les eurodéputés ont adopté le 4 octobre dernier, une « cinquième liberté » : celle de la libre-circulation des données non personnelles. Cette mesure élimine donc les restrictions géographiques au stockage et au traitement de ces données au sein du marché unique. Concrètement, un État ne pourra plus imposer le stockage et le traitement des données non personnelles sur son territoire ou un territoire membre de l’UE.

À la différence des données personnelles (nom, prénom, adresse, mail…) qui permettent d’identifier une personne physique, les données non personnelles sont anonymisées. Elles peuvent donc servir aux entreprises cherchant à développer de nouveaux services ou encore à la recherche scientifique.
Dans une déclaration commune, le vice-président et commissaire pour le marché unique numérique, Andrus Ansip, et la commissaire pour l’économie et la société numériques, Mariya Gabriel, ont salué cette adoption :

« la libre circulation des données est une condition indispensable pour que l’Europe puisse exploiter au mieux le potentiel des technologies numériques et des avancées dans ce domaine, telles que l’intelligence artificielle et les supercalculateurs. ».

 

En réduisant le protectionnisme en matière de données, les eurodéputés espèrent faire tomber les frontières et donner un coup de pouce à l’Europe numérique. En effet, jusqu’à présent, les restrictions en matière de localisation des données étaient considérées comme un frein au développement d’une économie de la donnée. Andrus Ansip et Mariya Gabriel estiment que :

« la nouvelle réglementation donnera une forte impulsion à l’économie européenne des données car les start-up et PME européennes auront la possibilité de créer de nouveaux services grâce à l’innovation transfrontière dans le domaine des données. Le PIB de l’UE pourrait croître de 4 % – c’est-à-dire de 739 milliards d’euros – d’ici à 2020. ».

 

Un complément au GDPR

Anna Maria Corazza Bildt, rapporteuse suédoise a toutefois rassuré sur l’impact de la libre-circulation. « La nouvelle loi n’affectera pas la vie privé des citoyens. Le règlement général sur la protection des données ne sera pas modifié (…). Dans le cas où les données personnelles et non personnelles sont inextricablement liées, la libre circulation des données n’entravera pas le GDPR ».

Les deux règlements fonctionneront ensemble pour permettre la libre circulation de toutes les données – à caractère personnel et non personnel – et créer ainsi un espace européen unique des données.

En cas de jeu de données composite, la disposition du GDPR garantissant la libre circulation des données à caractère personnel s’appliquera à la partie personnelle du jeu, et le principe de la libre circulation des données à caractère non personnel s’appliquera à la partie non personnelle. Les États membres devront notifier à la Commission toute restriction résiduelle ou prévue concernant des cas précis et limités de traitement des données du secteur public. Par ailleurs, l’accès aux données ne peut être refusé aux autorités judiciaires ou fiscales d’un pays sous prétexte qu’elles sont traitées dans un autre État membre.

La nouvelle législation, adoptée en plénière par 520 voix pour, 81 contre et 6 abstentions, devrait être approuvée par le Conseil des ministres de l’UE le 6 novembre. Les États membres de l’UE disposeront ensuite de six mois pour appliquer ces nouvelles règles.

 

Contexte

En septembre 2017, à l’occasion du discours sur l’état de l’Union du président Jean-Claude Juncker, la Commission a proposé un cadre pour la libre circulation des données à caractère non personnel afin de libérer tout le potentiel d’une économie européenne fondée sur les données. Il a été annoncé comme l’une des actions clés lors de l’examen à mi-parcours de la stratégie pour un marché unique numérique.

Dominique Cozzi – Journaliste

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/