La petite histoire du RGPD
Le 25 mai 2018, le RGPD (Règlement Général de la Protection des Données à caractère personnel) est entré en vigueur et s’est installé dans l’ensemble des États membres de l’Union Européenne. Il vise à protéger les citoyens et leurs données personnelles qui peuvent être collectées en ligne sur leur compte et parfois à leur insu. Ce règlement a permis un grand pas en avant dans le contrôle des données partagées en ligne et offre aux utilisateurs de services en ligne plus de transparence tant au niveau de la demande d’approbation de collecte de données personnelles que de leur utilisation future.
L’instauration de ce règlement a donné du fil à retordre aux organisations devant traiter et jongler avec un grand nombre de données personnelles et sensibles. Alors à l’aube de son premier anniversaire, il est temps de tirer le bilan de cette première année d'activité et de voir quels moyens les entreprises peuvent mettre en place pour assurer et maintenir leur conformité.
Le RGPD en chiffres : 1 an après
Dans un entretien pour La Tribune, Marie-Laure Denis, présidente de la Commission nationale de l’informatique et des libertés (CNIL) livre quelques chiffres-clé au regard de la mise en vigueur du RGPD en mai 2018.
Elle annonce que le site de la CNIL a enregistré 8 millions de visiteurs uniques en 2018. On dénombre 300 000 consultations des questions/réponses sur le site (soit une augmentation de +60%). On a recensé près de 190 000 appels téléphoniques (+20%). Concernant les plaintes, un chiffre record a été enregistré : 11 077 rien que pour 2018 (+32,5%). Un tiers de ces plaintes relatives à l’utilisation des données concernent le secteur du marketing et du commerce (prospection par SMS ou e-mails promotionnels).
Ces chiffres traduisent à la fois un véritable intérêt des entreprises à être compliantes vis-à-vis du nouveau règlement en vigueur et également un intérêt fort des citoyens qui sont de plus en plus sensibilisés et concernés par l’utilisation de leurs données personnelles (70% des français y sont sensibles selon un sondage Ifop pour la CNIL). Il y une vraie prise de conscience collective de l’importance de ses données personnelles et des traces digitales laissées sur le net.
48 mises en demeure
Pour répondre à cette réglementation, des sanctions émises par la CNIL tombent pour les entreprises et organisations non conformes. 310 contrôles ont été réalisés en 2018 ce qui a conduit à 48 mises en demeure. On se souvient d’ailleurs de l’amende record de 50 millions d’euros établie par la CNIL et payée par le géant Google pour non-respect de la transparence et absence de consentement valable. Si les conditions de conformité au traitement des données ne sont pas respectées, la CNIL se réserve de condamner la structure en faute à une amende allant jusqu’à 4% de son chiffre d’affaire international. Cela peut représenter une somme colossale pour l’organisation et au-delà nuire fortement à sa réputation.
Pour palier à ces soucis de non-conformité, le nombre de DPO (Délégué à la Protection des données) a explosé. On compte 17 000 DPO en France qui agissent pour le compte de plus de 51 000 entreprises et organisations (via les mutualisations). Toujours selon Marie-Laure Denis, la France devrait en compter 80 000. Il y a encore à faire en la matière puisque l'on dénombre 4 millions d’entreprises. La plupart d’entre elles doivent se mettre en conformité au regard du RGPD, de la plus petite structure aux plus gros mastodontes.
Attention aux cyber attaques
En parallèle du RGPD, on a pu remarquer une hausse importante des cyber attaques. Dans une récente étude menée sur 5400 entreprises dans 7 pays européens, 61% des entreprises interrogées affirment avoir subi une attaque lors de ces 12 derniers mois contre 45% lors du rapport de 2018. Leur fréquence a elle aussi augmenté. Le top 3 des pays les touchés sont : la Belgique, la France et l’Allemagne. Il faut donc mettre des solutions en place pour les éviter et assurer la sécurité des données collectées.
Marie-Laure Denis (CNIL) conclue en affirmant que “le grand changement du RGPD est le principe de responsabilisation : chacun gère soi-même sa conformité et doit être capable de la prouver”.
Des processus conformes pour un avenir serein
Depuis bientôt un an, votre organisation doit répondre aux nouvelles exigences inscrites dans le Règlement Général de la Protection des Données (RGPD). Pour cela, vous avez dû reviser vos processus métier, mettre en place des processus de gestion des risques, des processus de contrôle de la conformité de votre organisation et du traitement des données collectées ppour découvrir les zones sensibles, garantir des mesures en continu pour ainsi s'assurer du maintien de la conformité au RGPD.
Selon votre industrie et votre business, vous devez certainement répondre à d’autres exigences réglementaires comme ISO27001 ou ISO31000 qui s’ajoutent à celles déjà nombreuses du RGPD.
Pour vous accompagner sur le chemin de la conformité et répondre ainsi aux nombreux pré-requis qu’impliquent le RGPD, vous pouvez utiliser une solution logicielle vous permettant de:
- établir une documentation précise de vos différents processus qui requièrent la manipulation de données personnelles et sensibles
- prendre de meilleures décisions opérationnelles
- être collaboratif et d’échanger entre acteurs et propriétaires de processus afin d’apporter des modifications auxdits processus et mettre en place les contrôles nécessaires
- instaurer des processus internes en cas de violations de données pour réagir rapidement et efficacement
- former et sensibiliser vos collaborateurs à la gestion des risques et au respect de la conformité
- mettre en place des workflows de contrôles répondant au GRC (gouvernance, gestions des risques et conformité
Objectif conformité avec Signavio
Des ressources à télécharger
Signavio met à votre disposition quelques guides vous permettant d’appréhender le RGPD. Ces documents sont à télécharger gratuitement et vont vous permettre d’assurer la conformité du traitement de données collectées et ainsi de votre structure :
- Les 7 étapes de la gestion des risques et de la conformité
- Le guide technique du RGPD avec Signavio
- Le guide Signavio de la conformité au RGPD
Signavio, votre guide RGPD
Pour soutenir et assurer votre politique de conformité au RGPD, la SAP Signavio Process Transformation Suite vous permet d’appréhender les risques liés à votre business. Demandez votre démo personnalisée ou encore mieux, essayez notre Suite par vous-même gratuitement pendant 30 jours !