5 idées reçues sur le RGPD (sanctions, conformité, formations...)
En vigueur depuis le 25 mai 2018, le RGPD réglemente la collecte et le traitement des données à caractère personnel des citoyens européens. Toute entité (entreprise, organisme public, association) collectant et traitant des données personnelles appartenant à des résidents de l'Union Européenne doivent respecter ce cadre juridique qui oblige entre autres à davantage de transparence envers les citoyens européens quant à l'utilisation qui est faite de leurs données. Protéger les donnée sensibles et la vie privée des citoyens européens est une priorité du RGPD. La notion de consentement par rapport à la transmission d'informations personnelles est renforcée par le nouveau règlement européen. Pour rappel, une donnée personnelle correspond à tous les éléments permettant d'identifier directement ou indirectement une personne : un numéro de téléphone, une adresse, une photo, une date de naissance, etc. Depuis la mise en vigueur du RGPD, on a pu entendre tout et son contraire sur ce texte majeur qui fait encore et toujours parler de lui deux ans plus tard. Tour d'horizon des principales idées reçues qui continuent de circuler à propos du règlement européen.
1/ La CNIL inflige encore peu de sanctions
Les structures qui n'appliquent pas les règles établies par le RGPD encourent une amende pouvant atteindre 20 millions d'euros et jusqu'à 4% du chiffres d'affaires annuel mondial. On entend encore trop peu parlé des sanctions appliquées pour non-respect du RGPD, sauf quand les condamnations concernent de très grandes entreprises. Pourtant, la phase de tolérance et d'indulgence est bel et bien révolu, et ce depuis plusieurs mois déjà. Rien qu'entre le 25 mai 2018 et janvier 2019, c'est plus de 114 millions d'amendes qui ont été délivrées pour violation du RGP. Selon le cabinet DLA Piper, c'est plus de 160 000 plaintes pour non conformité avec le droit européen qui ont été enregistrées durant cette période dans les différents pays de l'Union Européenne. La France figure dans le top 10 avec pas moins de 3459 plaintes enregistrées. Il est probable que ce chiffre continue de grimper dans les années à venir si les entités concernées n'arrivent pas à atteindre la conformité avant un éventuel contrôle.
2/ Seules les grandes entreprises sont concernées
Les TPE/PME, les associations mais aussi les organismes publics sont tenus de respecter le règlement européen dès lors qu'elles traitent ou collectent des données à caractère personnel. Aucune distinction ou traitement de faveur est accordé par les autorités. Pourtant, une idée répandue veut que les grande entreprises soient tenues d'en faire plus que les autres pour se mettre en conformité avec le RGPD. On présuppose sans doute qu'elles sont mieux armées financièrement, techniquement et humainement pour pouvoir répondre aux exigences de ce cadre juridique. De même, ces entreprises collectent bien souvent un grand nombre de données à caractère personnel contrairement à d'autres sociétés de moindre envergure. C'est sans doute pour ces raisons qu'elles sont perçues comme les cibles les plus évidentes de la CNIL (Commission Nationale de l'Informatique et des Libertés), l'organisme garant de la protection des données personnelles. L'amende record du géant américain Google (50 millions d'euros) peut avoir tendance à donner raison à cette fausse idée qui voudrait que seules les grandes entreprises soient dans le viseur de la CNIL. Pourtant, il n'en est rien, et même une petite société peut se voir contrôler que cela soit via une plainte d'un citoyen européen ou d'un concurrent bien décidé à causer du tort à ses principaux rivaux.
3/ C'est un texte qui concerne essentiellement les juristes
Pour beaucoup de personnes, la lecture d'un texte juridique peut s'avérer rébarbatif et peu passionnant. Il va sans dire que le RGPD n'a pas vocation à gagner le prix Nobel de littérature, il n'en demeure pas moins que tout citoyen européen peut trouver un intérêt à mieux connaître les grands principes de ce nouveau cadre juridique. Une bonne compréhension du RGPD peut profiter aussi bien à l'ensemble des citoyens européens désireux de mieux connaître leurs droits (droit à l'accès aux données, droit à l'oubli, droit à la portabilité) qu'aux salariés d'une entreprise tenus de se mettre en conformité avec le règlement européen et respecter leurs obligations légales.
4/ Maîtriser le RGPD demande du temps
Quand on voit le nombre d'informations circuler à propos du règlement européen, on peut avoir tendance à penser que se former aux grands principes du RGPD sera forcément chronophage et compliquée. Pourtant, la majorité des formations RGPD ne durent pas plus d'une journée, voire deux ou trois pour les plus longues d'entre elles. Elles sont ouvertes à différents publics selon le programme établi. Elles permettent de mieux comprendre les enjeux du RGPD et permettent aux salariés, aux DPO (Data Protection Officer) et aux chefs d'entreprise d'élaborer un plan d'action efficace pour se mettre en conformité avec le règlement européen si ce n'est pas encore fait. Une formation RGPD sera l'occasion d'aborder des aspects essentiels du règlement : démarches de mise en conformité, question des sous-traitants, désignation d'un DPO, etc. Des personnes sensibles à la question de la protection des données personnelles peuvent aussi rejoindre une formation RGPD pour satisfaire leur curiosité ou monter en compétences dans ce domaine, notamment s'ils occupent un poste avec une dimension juridique.
5/ La conformité avec le RGPD peut être définitivement acquise
Assurer la conformité au RGPD est une démarche qui s'inscrit dans la durée. Ainsi, aucune entité ne peut se dire qu'elle sera une bonne fois pour toute en conformité avec le RGPD une fois certaines actions mises en place. Le respect du règlement européen est en réalité un travail de tous les jours. Chaque processus, chaque nouvelle collecte de données doit faire le fruit d'une attention particulière. De plus, le DPO, même s'il agit en chef d'orchestre n'a pas à gérer à lui tout seul les problématiques liées au RGPD. Tout salarié amené à traiter des données à caractère personnel doit veiller à faire appliquer les bonnes pratiques au sein de son entreprise afin d'assurer la mise en conformité au règlement européen. Sachant que l'erreur est humaine, et que tout personne peut être amenée à commettre des maladresses et des impairs, il est particulièrement important de veiller en permanence à se former et se sensibiliser davantage au RPGD. Bref, il ne s'agit pas d'être en conformité avec le RGPD à un instant T mais de le rester !
> Découvrez toutes les formations RGPD
© Ester_K - stock.adobe.com
