Conformité RGPD : bilan 2021 et enjeux 2022

L’année 2021 a été marquée par plusieurs actualités en matière de conformité au Règlement Général sur la Protection des Données Personnelles (RGPD). Retour sur 4 faits marquants afin d’en mesurer les impacts et d’identifier les enjeux pour les organisations en 2022.

Protection des données à l’international : une veille s’impose

Au niveau international, 2021 a bien évidemment été marquée par le BREXIT et ses impacts en matière de protection des données. Si à ce jour, une adéquation réglementaire a été adoptée entre l’UE et le Royaume Uni, celle-ci est sous surveillance de l’UE. D’autant plus au regard du changement d’alliance stratégique que prend le Royaume Uni et de ses récentes volontés de restructurer son règlement sur la protection des données.

Au-delà de l’Europe, la protection des données personnelles prend forme dans de nombreux pays. La Chine a mis en application son « RGPD » : la Personal Information Protection Law (PIPL). Pour autant, cette loi ne résout pas la problématique des transferts de données en Chine puisqu’aucune adéquation entre le RGPD et le règlement chinois n’est à l’ordre du jour. À l’inverse, le règlement sur la protection des données personnelles en Corée du Sud a été jugé en adéquation avec le RGPD.

Dans ce contexte mouvant, une veille nous paraît stratégique pour toutes les organisations ayant une activité portée vers l’international. Plus largement, cette veille s’applique à l’ensemble des organisations au vu par exemple du nombre d’éditeurs de logiciels basés hors des frontières de l’Europe.

Afin de se prémunir des non-conformités sur des transferts hors UE, nous rappelons qu’en 2021, l’UE a publié de nouvelles clauses contractuelles types. Ces nouvelles clauses permettent de renforcer la protection juridique des organisations européennes, plus particulièrement les PME, tout en permettant des transferts de données au-delà des frontières de l’UE.

Confiance numérique : renforcer la gestion des cookies

Le 31 mars 2021 a marqué la fin de la période d’adaptation tolérée par la Commission nationale de l'informatique et des libertés (CNIL) pour la mise en application de nouvelles exigences en matière de gestion des cookies. De façon synthétique, celles-ci impliquent pour les organisations utilisant des cookies tiers, la mise en place d'outil dédié de gestion de ces cookies, pour leur mise en conformité. L'évolution majeure est que les cookies tiers doivent être clairement identifiables, et que leur refus doit être aussi simple que leur acceptation. Autrement dit, le renvoi aux fonctionnalités du navigateur pour le blocage des cookies n’est plus considéré comme une solution conforme. Un outil dédié de gestion des cookies devient donc indispensable.

Là encore, la CNIL a montré sa volonté de faire appliquer cette nouvelle réglementation avec de nombreux contrôles et sanctions prononcées sur ce sujet. Une simple navigation sur Internet montre que le travail reste à mener sur ce sujet pour beaucoup d’organisations.

Au-delà de cette nouvelle réglementation, de nouvelles mesures relatives aux cookies et plus largement au fonctionnement des plateformes numériques sont en cours de discussion ou en attente d’application au niveau européen et français, que ce soit de la sécurité ou de la protection du droit des consommateurs. À titre d’exemple, la mise en place d’un « Cyberscore » a été votée à l’Assemblée en fin d’année 2021. Cet axe de travail nous paraît ainsi un enjeu primordial sur 2022.  

3 ans et des contrôles récurrents !

Le 25 mai 2021, le RGPD a fêté ses 3 ans de mise en application. À cette occasion, de nombreux bilans ont été produits afin d'évaluer le niveau de conformité des organisations sur la protection des données personnelles. En France, si les différentes enquêtes menées montrent une montée en maturité, il ressort néanmoins que le niveau de conformité de nombreuses organisations reste encore faible.

Ce constat est préoccupant, au vu des contrôles et sanctions appliquées par la CNIL sur l’année 2021, qui montrent clairement que son action de contrôle ne vise pas uniquement les GAFA (Google, Apple, Facebook, Amazon) ou les grands groupes, mais bien l'ensemble des organisations publiques et privées, quels que soient leur taille ou leur secteur d'activité. À titre d'exemple, la CNIL a prononcé, le 15 septembre 2021, une amende de 3 000 euros à l’encontre d’une microentreprise uniquement constituée de son président.

Ainsi, beaucoup de TPE/PME/ETI, pour lesquelles la conformité RGPD n'a pas encore été adressée, doivent rapidement prendre le sujet en compte dans leur roadmap afin de se prémunir de sanctions financières et/ou d’un risque d'image important car la CNIL publie la plupart des sanctions.

Cyberattaques : sécuriser l’information et les données personnelles

La sécurité est un risque majeur depuis quelques années, avec un impact important sur la conformité des données personnelles. La sécurité de l’information demeure inséparable de la protection des données personnelles. Nous constatons, à travers les chiffres de l’Agence Nationale de Sécurité des Systèmes D’information (ANSSI) et de la CNIL, une croissance continue des violations de données. Le CNIL prévoyait en septembre 2021 un doublement des violations de données.

La mise en place de démarches de sécurisation de l’information est de plus en plus un enjeu primordial pour les organisations. Si certains secteurs comme la santé ou le secteur public sont plus touchés que d’autres, cette problématique doit être prise en compte par l’ensemble des organisations au vu des risques de conformité, mais aussi d’image et financiers que comporte cette menace.

Sur tous ces sujets, les RSM équipes spécialisées en gouvernance, en techniques juridiques et en sécurité SI sont à votre disposition pour vous accompagner. Depuis plusieurs années, RSM accompagne les entreprises dans la mise en place ou le diagnostic de dispositifs de conformité RGPD, dans le soutien aux DPO, dans la gestion externalisée de la conformité, dans l’audit de vos dispositifs de sécurité et l’aide à leur optimisation.