L’année 2021 a été marquée par plusieurs faits en matière de conformité au Règlement Général sur la Protection des Données Personnelles (RGPD). Des enjeux et impacts que les organisations doivent prendre en compte en 2022. Jean-Philippe Isemann, Antoine Baranger et Jean-Eloi Pénicaut nous livrent leur analyse.
La protection des données à l’international : « Sorry good game »
2021 a été marquée par le BREXIT et ses impacts en matière de protection des données. Si à ce jour, une adéquation réglementaire a été adoptée entre l’UE et le Royaume Uni, celle-ci est sous surveillance de l’UE. D’autant plus au regard du changement d’alliance stratégique que prend le Royaume Uni et de ses récentes volontés de restructurer son règlement sur la protection des données.
À lire aussi : Confidentialité des données : quelles perspectives pour 2022 ?
Au-delà de l’Europe, la protection des données personnelles prend forme dans de nombreux pays. La Chine a mis en application son « RGPD ». Celui-ci ne résout pas la problématique des transferts de données en Chine puisqu’aucune adéquation entre le RGPD et le règlement chinois n’est à l’ordre du jour. À l’inverse, le règlement sur la protection des données personnelles en Corée du Sud a été jugé en adéquation avec le RGPD.
Dans ce contexte mouvant, une veille demeure stratégique pour toutes les organisations ayant une activité portée vers l’international. Plus largement, cette veille s’applique à l’ensemble des organisations au vu par exemple du nombre d’éditeurs de logiciels basés hors des frontières de l’Europe.
Confiance numérique : vous reprendrez bien un peu de cookies ?
Le 31 mars 2021 a marqué la fin de la période d’adaptation tolérée par la Commission nationale de l’informatique et des libertés (CNIL) pour la mise en application de nouvelles exigences en matière de gestion des cookies. L’évolution majeure est que les cookies tiers doivent être clairement identifiables, et que leur refus doit être aussi simple que leur acceptation. Autrement dit, le renvoi aux fonctionnalités du navigateur pour le blocage des cookies n’est plus considéré comme une solution conforme. Un outil dédié de gestion des cookies devient donc indispensable. Là encore, la CNIL a montré sa volonté de faire appliquer cette nouvelle réglementation avec de nombreux contrôles et sanctions prononcées sur ce sujet.
Joyeux 3 ans à tous !
Le 25 mai 2021, le RGPD a fêté ses 3 ans de mise en application. En France, si les différentes enquêtes menées montrent une montée en maturité, il ressort néanmoins que le niveau de conformité de nombreuses organisations reste encore faible. Ce constat est préoccupant, au vu des contrôles et sanctions appliquées par la CNIL sur l’année 2021, qui montrent clairement que son action de contrôle ne vise pas uniquement les GAFA (Google, Apple, Facebook, Amazon) ou les grands groupes, mais bien l’ensemble des organisations publiques et privées, quels que soient leur taille ou leur secteur d’activité. À titre d’exemple, la CNIL a prononcé, le 15 septembre 2021, une amende de 3 000 euros à l’encontre d’une microentreprise uniquement constituée de son président.
Ainsi, beaucoup d’entreprises, pour lesquelles la conformité RGPD n’a pas encore été adressée, doivent rapidement prendre le sujet en compte dans leur roadmap afin de se prémunir de sanctions financières et/ou d’un risque d’image important car la CNIL publie la plupart des sanctions.
Sécurité : violations accrues de données personnelles
La sécurité est un risque majeur depuis quelques années, avec un impact important sur la conformité des données personnelles. Les chiffres de l’Agence Nationale de Sécurité des Systèmes D’information (ANSSI) et de la CNIL démontrent une croissance continue des violations de données. Le CNIL prévoyait en septembre 2021 un doublement des violations de données.
La mise en place de démarches de sécurisation de l’information est de plus en plus un enjeu primordial pour les organisations. Si certains secteurs comme la santé ou le secteur public sont plus touchés que d’autres, cette problématique doit être prise en compte par l’ensemble des organisations au vu des risques de conformité, mais aussi d’image et financiers que comporte cette menace.
Au-delà de ces enjeux clés pour les TPE, PME et ETI, de nouvelles mesures relatives au fonctionnement des plateformes numériques sont en cours de discussion ou en attente d’application au niveau européen, que ce soit en matière de sécurité ou de protection des droits des consommateurs. En France, la mise en place d’un « Cyberscore » votée fin 2021 va également les concerner. De nombreux axes de travail pour les DPO et RSSI cette année !