GDPR, un an, bilan contrasté, tout en nuance
Par-delà la prise de conscience immédiate, liée à la date du 28 mai 2018, il reste encore beaucoup à faire, constate Arnaud Gallut, Regional Sales Director, Ping Identity.
Le GDPR a eu le grand mérite de provoquer une prise de conscience inédite, tant de la part des entreprises que des consommateurs sur les enjeux de la protection des données personnelles. Pour preuve, un récent baromètre CNIL/IFOP indique ainsi que 66% de la population se dit aujourd’hui plus sensible au sujet qu’avant la mise en vigueur du règlement.
«Toutefois, assez logiquement, beaucoup reste encore à faire au bout d’un an, et les entreprises ciblant les marchés grand public ont encore de grandes difficultés dans leur majorité à appliquer pleinement le nouveau règlement», observe Arnaud Gallut. Il suffit de mentionner les nombreux appels de prospection téléphonique que continue de recevoir tout un chacun sur son numéro personnel, qui n’a manifestement pas été divulgué avec le consentement de l’intéressé !
«Certes, alors qu’avant le GDPR, très peu d’entreprises avaient mis en place une véritable gouvernance autour de la protection des données personnelles, les choses ont déjà évolué de façon significative sur ce plan. Dans le rapport IAPP-EY 2018, environ 50% des entreprises interrogées ont désormais mis en place une organisation dédiée. Mais ces progrès restent clairement insuffisants», regrette Arnaud Gallut.
Dans son bilan 2018, la CNIL rapporte une augmentation de 32% du nombre de plaintes déposées, dont plus d’un tiers portent sur la diffusion de données sur Internet. En outre en 2018, la CNIL a adressé 49 mises en demeure pour non-conformité au règlement, dont 5 dans le secteur des assurances, et 4 dans celui des entreprises spécialisées dans le ciblage publicitaire. L’autorité a prononcé 11 sanctions, dont 10 pécuniaires. «Il est plus que probable que le nombre de mises en demeure et de sanctions prononcées augmentera en 2019, conclut Arnaud Gallut. La CNIL ayant clairement l’intention d’utiliser plus fortement ses pouvoirs répressifs à partir de cette année.»
GDPR : cinq défis principaux
> Une demande de consentement inadéquate – Les messages implicites de consentement ne sont plus suffisants avec le règlement GDPR, et les consommateurs doivent désormais donner leur accord sans ambiguïté via une déclaration ou une action claire et concrète, telle que cocher une case sur un site ou remplir un formulaire. L’entreprise doit pouvoir démontrer que la demande de consentement a été présentée de façon claire et intelligible. De plus, le consentement est désormais requis dans un large éventail de scénarios. Par exemple, les données de navigation sont considérées comme des données personnelles, dont la capture nécessite un accord explicite du consommateur.
> Des données en silos – Dans les entreprises, les données relatives aux clients sont très souvent réparties dans un ensemble de systèmes différents, ce qui rend le respect des exigences du RGPD, concernant par exemple l’accès aux données et la portabilité, beaucoup plus difficile à obtenir.
> Un manque de gouvernance – Le règlement GDPR impose la mise en place par les entreprises de politiques spécifiques pour limiter tout accès superflu à des données personnelles par leurs applications. Beaucoup d’organisations n’ont pas encore fait cette démarche, et doivent adapter leurs processus application par application avec des règles centralisées de gouvernance des accès aux données.
> Des applications insuffisamment sécurisées – Le nouveau règlement accroît encore les obligations des entreprises en matière de sécurité, notamment au niveau applicatif. Des informations personnelles fragmentées et non sécurisées au niveau des données deviennent vulnérables à une intrusion, ce qui réduit le degré de sécurité des applications et la capacité de l’entreprise à respecter le GDPR.
> Un respect insuffisant des exigences des consommateurs – Les consommateurs sont-ils capables de gérer eux-mêmes leur profil et leurs préférences en matière d’accès aux données ? Ces préférences sont-elles respectées sur tous les canaux et tous les terminaux ? Les entreprises conservent souvent des lacunes dans ces domaines.