À quelques mois de l’entrée en vigueur de la nouvelle règlementation sur la protection des données, certaines organisations ne sont pas encore prêtes à accueillir le RGPD alors qu’elles sont dépendantes des données personnelles. À ces entreprises, il est nécessaire de rappeler l’importance du respect du RGPD, mais surtout les raisons qui justifient de s’y plier.
RGPD : où en est la mise en application ?
Après l’application du RGPD le 25 mai 2018, les pénalités prononcées à l’encontre des entités qui ne sont pas conformes (surtout en cas de négligence) peuvent atteindre les 20 millions d’euros ou 4% du chiffre d’affaire mondiale, dans le cas d’une entreprise.
Malgré tout, un rapport réalisé par Forrester montre qu’à quelques mois de la mise en application du RGPD, de nombreuses organisations ne seront pas en conformité avec le RGPD d’ici le 25 mai. Le nombre de celles qui n’auront pas à s’inquiéter ne représente qu’un quart des organisations qui sont soumises à la nouvelle règlementation.
Encore pire, malgré l’arrivée de l’échéance, Forrester constate que 11% des établissements soumis au RGPD s’interrogent encore sur les mesures à mettre en place pour se conformer à la nouvelle règlementation. Et 8% ne connaissent rien à ce nouveau règlement. Les organisations des secteurs des médias et du commerce de détail figurent parmi les moins préparés. Or ces organisations font justement partie de celles qui traitent une grande quantité de données personnelles puisque leur activité repose en grande partie sur le marketing direct (profilage, personnalisation des offres…).
Beaucoup d’organisations n’ont pas conscience de la portée du RGPD
Les médias et les commerces de détail sont à la traine dans l’application des dispositions du RGPD parce qu’ils n’ont jamais été soumis à une forte contrainte règlementaire estiment certains analystes. Mais l’une des raisons qui expliquent que beaucoup d’organisations n’ont pas encore commencé leur processus de mise en conformité, c’est qu’elles ne sont pas encore conscientes de la portée du RGPD.
Il faut cependant savoir que si l’on fait une analyse de synthèse, le RPGD s’applique en fait à toutes les entités. Le nouveau règlement s’appliquera si :
- L’entité réalise des traitements de données à caractère personnel (adresse, nom, information sur la vie professionnelle…). On entend par traitement de nombreuses opérations : collecte, conservation, adaptation, modification, consultation, limitation, effacement, destruction, communication par transmission…
- Les données qui font l’objet d’un traitement appartiennent à un citoyen européen et si le traitement est lié à une vente de produit ou à une offre de service ou s’il concerne l’analyse du comportement (suivi des tendances de consommations de l’internaute, utilisation de techniques de profilage…) des personnes concernées.
- Le responsable de traitement et le sous-traitant réalisent leurs activités sur le territoire de l’UE.
Il n’est pas encore trop tard pour commencer une mise en conformité. De plus, même si les sanctions établies par le RGPD sont sévères, les autorités de contrôle adopteront une approche pédagogique. C’est-à-dire que si l’on montre sa bonne volonté à se mettre en conformité avec le RGPD, elles pourront juste demander un rappel aux normes. Mais bon, inutile de prendre des risques, mieux vaut se mettre en conformité au plus vite.
