RGPD : bilan et perspectives de 3 ans de protection des données personnelles

A l’occasion des 3 ans de l’entrée en vigueur du RGPD (Règlement général sur la protection des données) Meteors et Maître Raphaël Rault, avocat spécialiste en droit du numérique au Barreau de Lille (cabinet Alter Via Avocats), vous proposent une série d’articles sur les enjeux de la protection des données.

Plan :

  1. RGPD : Quel bilan pour les entreprises et la gestion des données clients ?

Rappel des dates RGPD, objectifs, amandes exercées…

  1. Protection des données : Les enjeux actuels

Fin des cookies / trackers : enjeux, avancées, zones d’ombre, exonérations…

  1. Le RGPD vient tout juste de fêter ses 3 ans, quel bilan tirer pour les entreprises et la gestion de leurs données clients ?
  2. A ce propos Meteors s’est dotée de la certification AFNOR ce début d’année, quels points positifs tirez-vous de ce type de certification ?
  3. La fin du cookie : comment les entreprises doivent s’adapter ?

RGPD : Quel bilan pour les entreprises et la gestion des données clients ?

Entré en vigueur le 24 mai 2016 et applicable depuis le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) a récemment fêté ses 3 ans. A cette occasion, Meteors et Maître Raphaël Rault, avocat spécialiste en droit du numérique au Barreau de Lille (cabinet Alter Via Avocats), vous proposent une série d’articles sur les enjeux de la protection des données.

Le RGPD remplace la directive sur la protection des données personnelles de 1995. Ses principaux objectifs sont d’accroître la protection des personnes concernées par un traitement de données à caractère personnel ainsi que la responsabilisation des acteurs de ce traitement.

Depuis son entrée en vigueur, les sanctions prononcées pour le non-respect du règlement ne se sont pas fait attendre, plusieurs sociétés majeures ayant été sanctionnées pour des manquements. En novembre 2020, la CNIL (Commission Nationale de l’Informatique et des Libertés) a sanctionné le groupe Carrefour à hauteur de 3 millions d’euros par suite d’infractions au sujet de l’information délivrée aux personnes et le respect de leurs droits.

Ce règlement donne également du fil à retordre aux géants du numérique.En effet, l’autorité de contrôle française a également infligé en janvier 2019 une sanction de 50 millions       d’euros à Google pour « manque de transparence », « information insatisfaisante », et une absence de consentement valable pour la personnalisation de la publicité.

Plus récemment, c’est dans le cadre de manquements à la loi Informatique et Libertés que cette même société s’est vue infligée plus de 100 millions d’euros d’amende pour avoir déposé des cookies sur les ordinateurs d’utilisateurs de Google Search « sans consentement préalable ni information satisfaisante ». Il est également utile de souligner que cette sanction record concerne non pas Google France, mais bien les entités « Google Ireland Limited » et même « Google LLC », filiale directe de la société Alphabet.

Cependant, l’augmentation du pouvoir des autorités de contrôle nationales permise par le règlement européen se heurte aux différentes exigences de ces mêmes institutions nationales. L’organisation à but non lucratif autrichienne NOYB rapporte que seules 0,07% des plaintes introduites devant la Data Protection Commission, la CNIL irlandaise, aboutissent, ce qui empêcherait de sanctionner les manquements des grandes entreprises technologiques, siégeant majoritairement à Dublin.

Norme Afnor VP2 définition et enjeux

Une entreprise respectant la loi RGPD est déjà un symbole de confiance quant à l’exploitation et la valorisation de vos données ; Meteors a décidé d’aller encore plus loin en se dotant aussi d’une norme représentant les intérêts de la France à l’échelle européenne, la norme AFNOR. Pour être exact, il s’agit de la norme AFNOR VP2, l’Association Française de NORmalisation Valorisant la Protection de la Vie Privée. Cette certification a pour objet d’évaluer les moyens mis en place et la gestion associée à ce dernier pour répondre aux grands principes de responsabilité portant sur la protection des données personnelle. Cette évaluation a aussi pour but d’aiguiller les organisations vers la conformité mise en place par la loi RGPD.

Être certifié par le groupe AFNOR garantit et renforce les engagements de notre société en matière de protection des données au sens du RGPD. Nous avons choisi de faire certifier plus précisément notre cœur de métier, la MDP pour ce premier audit. L’ensemble de nos collaborateurs est concerné par cette politique : tous, à un moment, est amené soit à transmettre, soit à collecter, soit à travailler sur des données personnelles. Ils sont donc tout autant responsables dans le traitement d’informations et nous leur faisons confiance là-dessus ; nous apportons aussi des garanties de sécurité et de confidentialité auprès de nos clients et/ou de nos responsables de traitement.

Nous pouvons donc en conclure que Meteors a su capter les enjeux portant sur la protection des données et sur leur importance dans notre société aujourd’hui. Nous faisons en sorte de montrer de la façon la plus efficace possible que notre travail respecte bien les diverses normes et loi concernant la vie privée de nos clients et collaborateurs.

Protection des données : Les enjeux actuels

A l’occasion des 3 ans de l’entrée en vigueur du RGPD (Règlement général sur la protection des données) Meteors et Maître Raphaël Rault, avocat spécialiste en droit du numérique au Barreau de Lille (cabinet Alter Via Avocats), vous proposent une série d’articles sur les enjeux de la protection des données.

Les sujets majeurs de l’année 2021 s’articulent principalement autour des enjeux liés à la protection des données de santé et la « fin » des cookies.

Focus sur les données de santé

La pandémie du Covid-19 a fait émerger de nouvelles problématiques liées à la protection des données de santé. La CNIL a en effet pu se prononcer sur l’application « Tous Anti Covid » développée par le gouvernement pour suivre l’évolution de la pandémie et alerter les utilisateurs lorsqu’ils étaient en contact avec une personne diagnostiquée positive au virus.

L’autorité nationale a par ailleurs prononcé les conditions de mise en œuvre du « Health Data Hub », une plateforme de données de santé (PDS) étatique, destinée à faciliter le partage des données de santé afin de favoriser la recherche.

Le projet du Health Data Hub est marqué par la polémique autour de l’intention d’héberger ces mêmes données sur les serveurs de Microsoft basés aux Etats-Unis. Début février 2021, la CNIL a fait part de son souhait que l’hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne, ce qui n’est pas le cas de Microsoft, soumis au droit étatsunien.

Focus sur la « fin » des cookies

D’ici 2022, Google mettra fin à l’utilisation des cookies tiers et au tracking, dans un contexte de renforcement des mesures de protection des données individuelles. Le terme « cookie » correspond à une typologie de traceurs. La CNIL précise que « Les traceurs peuvent être déposés ou lus, par exemple lors de la consultation d’un site web, d’une application mobile, ou encore de l’installation ou de l’utilisation d’un logiciel ». Par défaut, un consentement valide doit être recueilli par l’organisme pour lire et ou déposer un tracteur sur le terminal de l’utilisateur.

Notons cependant que certains traceurs sont exemptés de consentement comme « les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs », ou encore « certains traceurs de mesure d’audience dès lors qu’ils respectent certaines conditions ».

Ainsi, la CNIL a mis en œuvre un programme pour identifier les solutions de web analytics pouvant être configurées pour rentrer dans le périmètre de l’exemption au recueil du consentement.

Cette exemption représente un enjeu de taille dans le marché de la mesure d’audience. Le strict respect des règles imposées par la CNIL peut conduire, à une perte potentielle de 40 à 80 % de l’audience globale selon AT Internet, ce qui implique une réduction massive de la taille de l’échantillon de l’audience d’un site.