A l’approche du premier anniversaire de l’entrée en vigueur du Règlement Général pour la Protection des Données (RGPD) en Europe, le 25 mai prochain, l’heure est au bilan pour les organisations. Ces dernières ont en effet dû s’adapter et faire évoluer leurs procédures afin de respecter le règlement. Or, toutes n’ont pas encore pris le virage de la conformité. En mars dernier, la CNIL (Commission nationale de l’informatique et des libertés) a ainsi créé une formation dédiée, afin de continuer de sensibiliser les professionnels et de faciliter l’adoption de la réglementation.

Il est encore un peu tôt pour que les bénéfices concrets du règlement soient visibles, notamment en raison de la non-conformité de nombreuses entreprises :

La mise en conformité est un travail de longue haleine qui nécessite de la préparation en amont. Or les organisations qui n’étaient pas prêtes au 25 mai 2018 ont dû rattraper leur retard, et une année n’est pas nécessairement suffisante, selon la taille et les ressources de l’entreprise. Les équipes ne savent pas toujours par quel bout prendre le projet, ce qui peut expliquer que certaines ne sont pas encore conformes.

Depuis son entrée en vigueur, l’impact le plus significatif du RGPD a sans doute porté sur la sensibilisation à la cybersécurité et à la protection des données ; à la fois pour les organisations qui collectent ou traitent les informations de citoyens européens, mais aussi pour les consommateurs, à qui on a rappelé la valeur de leurs données personnelles et le droit au respect de leur vie privée. Ainsi, selon un rapport publié par le cabinet DLA Piper, plus de 59 000 plaintes auraient été déposées par des citoyens de l’Union Européenne pour infraction. De son côté, la CNIL enregistrait, fin 2018, une augmentation de 34 % des plaintes par rapport à l’année précédente.

Cependant, des organisations n’ont pas encore pris suffisamment de mesures. En effet, nos récentes recherches ont révélé que de nombreuses entreprises assujetties au règlement ne sont actuellement toujours pas conformes. Il semble que beaucoup d’entre elles aient opté pour une approche morcelée ; c’est-à-dire qu’elles respectent certaines exigences, jugées prioritaires, telles que demander le consentement des personnes, tout en négligeant d’autres domaines. De plus en plus d’entreprises sont par conséquent frappées par des amendes pour non-conformité. En outre, puisque le règlement est encore récent et reste soumis à des interprétations ainsi qu’à des précédents juridiques, nous ne pouvons pas disposer d’une vision complète de l’incidence du RGPD sur la confidentialité et la sécurité des données.

Une conséquence positive émerge néanmoins : l’obligation pour les organisations de notifier les violations de données au plus tard 72 heures après les avoir découvertes. Cela a en effet introduit une transparence vis-à-vis des incidents et de leur nombre dans toute l’Europe.

Cette exigence, combinée à la menace d’amendes significatives en cas de non-conformité, induit donc que le règlement offre déjà de considérables améliorations aux citoyens en matière de protection des données et de sensibilisation aux incidents de sécurité. D’autres bénéfices devraient voir le jour à mesure que les organisations s’attellent à la mise en conformité de leurs activités.

__________
Pierre-Louis Lussan est Country Manager France et Directeur South-West Europe, chez Netwrix