L’Essentiel RGPD : Règlement général sur la protection des données

L’Essentiel du RGPD

Le RGPD en bref, clair, net et précis.

Qu’est-ce que le RGPD ?

Règlement Général sur la Protection des Données

 

 

Des droits pour l’individu

  • le consentement préalable à la collecte de données
  • le droit d’être informé sur la finalité de traitement
  • le droit de modifier ou de supprimer ses informations
  • le droit d’être informé en cas de violation de ses données
  • le droit de récupérer ses données pour les transmettre
  • le droit à l’oubli, de demander que des pages web soient désindexées

Des devoirs pour l’entreprise

  • un règlement européen
  • une loi applicable dès le 25 mai 2018
  • le traitement des données personnelles encadré
  • une mise en conformité obligatoire des entreprises
  • l’obligation de conserver les preuves de consentements
  • l’obligation de fournir à l’individu un accès  à ses données

 

 

Le point de vue de 3 experts

 

Guillaume Vautrin, senior Legal Counsel chez Google

Les utilisateurs de Google Cloud peuvent compter sur l’engagement de Google de conformité au RGPD

Guillaume Vautrin, senior Legal Counsel chez Google

Laurent Pontégnier, responsable maketing & alliances manager chez Crayon

Les entreprises doivent passer à une phase d’exécution rapide de leur mise en conformité.

Laurent Pontégnier, Responsable Maketing & Alliances Manager chez Crayon

Eric Melki, Directeur Associé chez Infoclip

L’enjeu de la responsabilité dépasse le simple risque légal, et implique des prises de conscience collectives.

Eric Melki, Directeur Associé chez Infoclip

Données personnelles : la confiance du public est loin d’être gagnée

 

 

Une méfiance évidente liée à trop d’abus

En France, 62% des consommateurs sondés par le Boston Consulting Group pensent que les entreprises qui gèrent leurs données personnelles ne sont pas honnêtes à leur propos. Les français sont de loin les plus sceptiques parmi les pays occidentaux. L’enquête Sitel 2018 / Eurobarometer Data Protection 2015 montre par ailleurs que 70% des Européens ont peur d’une utilisation abusive leurs informations.

Source : The Boston Consulting Group, mars 2018

Consentement & transparence

La même enquête du Boston Consulting Group montre que la proportion de consommateurs qui pense que les entreprises privées font un bon usage de leurs données est très faible : elle ne dépasse pas 25% chez les Italiens, qui sont les plus optimistes de ce classement. Sur le plan de l’interaction entre consommateur et entreprise, l’étude Sitel 2018 / Eurobarometer Data Protection 2015 montre que 69%des européens veulent donner leur consentement explicite.

Source : The Boston Consulting Group, mars 2018

La défiance des consommateurs français

67% tiennent l’entreprise pour responsable en cas de pertes de leurs données personnelles, devant les hackers

69% sont prêt à boycotter l’entreprise qui manifeste un détachement éprouvé concernant la protection des données de ses clients.

50% favorisent leurs achats auprès d’entreprises qui assurent la protection des données

55% donnent de fausses informations pour se protéger du marketing ou hacking

Consommateur français pas content. RGPD

Source : RSA / YOUGOV, Mars 2018

La confiance reste pourtant le levier inconditionnel de chiffre d’affaires

 

55% des consommateurs n’achètent pas en ligne par peur de l’utilisation qui sera faite de leurs données

74% des consommateurs français restent fidèles aux entreprises qui assurent la protection de leurs données

78% des consommateurs partagent des informations avec des entreprises qui laissent le contrôle sur les préférences de contact

Sources : Sitel 2018 / Boston Consulting Group 208 / Etude KPMG 2017 / Accenture Strategy 2017 / Consumer Privacy Trust & IPSOS, DMA Survey 2016 / Bizreport 2017

 

99% d’entreprises concernées

Toute entreprise située en dehors OU à l’intérieur de l’Europe qui collecte, traite ou stocke des données personnelles d’un citoyen européen OU d’une personne non européenne, mais habitant en Europe est concernée par le RGPD.

La mise en conformité s’applique donc à toutes ces entreprises de la même manière et les sanctions s’appliquent également de manière identique : le RGPD responsabilise tous les acteurs.

En savoir plus sur les acteurs du RGPD

Les entreprises sont-elles prêtes ?

Un retard et des risques inquiétants

60% des entreprises européennes seraient « à risque » ou « en difficulté »

65% montrent un manque de connaissances inquiétant concernant les pénalités financières les amendes se chiffrent en milliards d’euros.

Source : Senzing, Février 2018

Les craintes de la non-conformité

51% des entreprises pensent que le RGPD risque d’entacher leur réputation

35% craignent des retombées financières fragilisant leur équilibre économique

Source : enquête NetApp, Avril 2018

Quel est le maillon faible dans votre entreprise ?

 

 

Confiance mitigée sur le stockage des données

Le graphique ci-contre montre le degré de confiance des entreprises quant à la localisation de leur fournisseur de service ainsi qu’au lieu d’hébergement de toutes leurs données.

Seulement 39,4% des entreprises françaises sont convaincues de savoir où se trouvent les centres de données de leurs fournisseurs de services et où sont stockées toutes leurs données.

2 obstacles tentaculaires :

  • La complexité des organisations
  • La multiplicité des systèmes informatiques

Source : NetApp, Avril 2018

Cat What

91% des startups collectent des données
60% des données ne sont pas protégées

Source : MailJet, Février 2018

29% des startups seulement disposent d’une technologie de chiffrement pour sécuriser les données.

L’étude MailJet de Février 2018 révèle des statistiques alarmantes sur le traitement des données chez les startups :

  • seulement 34% d’entre elles ont un système d’alerte en cas d’intrusion dans le SI,
  • elles sont 47% à demander systématiquement l’autorisation de leurs clients avant de les contacter,
  • seulement la moitié permettent à leurs clients de retirer leur consentement pour ne plus être contactés !

Et si on en profitait pour tout remettre à plat ?

 

Seulement 10% des entreprises considèrent utiliser correctement l’intégralité de leurs données (Source : KELEY Data, janvier 2018)

Le choix des entreprises pour se mettre en conformité :

tableau sur les solutions pour se mettre en conformité RGPD

Questions à choix multiples. Source : Senzing, Février 2018

6 étapes à suivre pour mettre son entreprise en conformité

 

1. Nommer son DPO (Délégué à la Protection des Données)

2. Tenir un registre des traitements

3. Définir les actions prioritaires à mener

4. Effectuer son analyse d’impact pour identifier les risques

5. Engager des procédures internes

6. Documenter sa conformité et conserver les preuves obligatoires

 

 

Sous-traitants

Leur conformité vue par un avocat

La notion de sous-traitant au sens du droit des données à caractère personnel est un faux-ami de la notion de sous-traitant au sens usuel ou commercial.

Fabrice Perbost – Avocat Associé – Cabinet Harlay

Fabrice Perbost, Avocat Associé, Cabinet Harlay

Audit RGPD

Se connaître d’abord soi-même

Il n’existe pas encore de “certification officielle RGPD” : il faut donc se construire sa propre certification, qui servira de “code interne” pour le traitement des données personnelles.

Alexis Quentrec - Spécialiste RGPD - Nuageo

Alexis Quentrec, Spécialiste RGPD, Nuageo

Registre des traitements

Comment tenir un registre

La réglementation précise que l’absence de désignation d’un délégué à la protection des données (DPO) ne dispense pas l’organisme de tenir un registre des traitements.

Alain Garnier – CEO – Captain DPO

Alain Garnier, CEO, Captain DPO

Anonymisation des données

Est-ce bien nécessaire d’avoir l’intégralité des données de production dans les environnements de développement, de qualification ou de formation ?

Jérôme Chagnoux, GDPR Champion, Oracle France

Jérôme Chagnoux, GDPR Champion, Oracle France

« Privacy Champions »

Une pratique originale mise en oeuvre avec le Cabinet Iteanu Avocats :
Des anges gardiens de la protection de la vie privée déploient leurs ailes chez Oodrive

François-Xavier Vincent, DPO, Oodrive

François-Xavier Vincent, DPO, Oodrive

 

Les certifications à venir

Le règlement général sur la protection des données (RGPD) entre en application le 25 mai 2018.

La CNIL transforme son activité de labellisation en certification. Les demandes de labellisation seront traitées jusqu’au 30 mars 2018.

Les outils de la conformité

Découvrez les avantages des plateformes de mise en conformité et les atouts de la technologie SaaS pour le travail collaboratif avec tous les acteurs concernés par le RGPD.

 

Les impacts du RGPD

Source : NetApp

L’effort demandé à une mise en conformité GDPR

 

Une entreprise de taille moyenne

  • Va recevoir 89 demandes par mois liées au RGPD,
  • Cherchera dans 23 bases de données différentes,
  • Consacrera 8 h / jour à la recherche de données,
  • Soit 172 heures / mois,
  • Besoin = 1 employé à temps plein dédié au RGPD

Une grande entreprise

  • Va recevoir 246 demandes par mois liées au RGPD,
  • Cherchera dans 43 bases de données différentes,
  • Consacrera 60 h / jour à la recherche de données,
  • Soit 1 259 heures / mois,
  • Besoin = 7,5 employés dédiés à temps plein dédiés au RGPD

 

Source : Senzing, février 2018, projection de chiffres sur une moyenne

Les coûts engendrés par la conformité

 

6,6 Mrds €
Pour les entreprises classées dans le Fortune Global 500

4,3 Mrds €
Pour les organisations françaises

100 Mds €
Pour le secteur banque & assurance

30 Mds €
Pour 1 entreprise du CAC 40

11 m Mds €
Pour 1 entreprise B2B

Sources : IDC France et Syntec Numérique, novembre 2017 / Ad-exchange, novembre 2017 / SIA Partners, 2017.

Julie PACI

Les enjeux du RGPD ne sont pas uniquement financiers : ils peuvent aussi avoir de fortes conséquences sur la réputation de l’entreprise.

Julie Paci, Marketing Manager – Mailjet

Olivier Martineau

78% des consommateurs partagent des informations avec les marques qui leur donnent le contrôle sur la manière dont ils sont contactés.

Olivier Martineau, CEO – Spread

Les sanctions applicables et déjà appliquées

 

Le montant des amendes prévues par la loi va jusqu’à 4% du chiffre d’affaires annuel mondial, soit 20 millions d’euros.

 

 

100 000 € d’amende pour DARTY pour « ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente. »

Source : site de la CNIL, 9 janvier 2018

40 000 € d’amende pour Hertz pour « manquement à son obligation de sécurité des données sur un site grand public »

Source : site du Point, 27 juillet 2018

30 000 € d’amende pour CDISCOUNT. Cette société « ne prenait pas en compte efficacement les demandes de désinscription des personnes ne souhaitant plus être démarchées »

Source : site Le Net Expert Informatique

Grégory Coste

Grégory Coste
Auteur de l’Essentiel du RGPD