Tout d'abord, il faut rappeler l'article 83 du RGPD qui précise le montant des pénalités encourues en cas de non respect du règlement. Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial de l'exercice précédent. Comme cet article stipule que les amendes doivent être "effectives, proportionnées et dissuasives", c'est donc le montant le plus élevé qui sera retenu en cas de condamnation.
Alors certes, cela peut nous sembler de très grosses sommes mais n'oublions pas que ce que craignent le plus les contravenants, c'est que ces sanctions (consécutives à des défaillances internes: pratiques illégales, défaut de précaution, etc) puissent être rendues publiques.
RGPD, le bilan après 2 ans
En janvier dernier, DLA Piper, un cabinet d'avocat anglais, publiait un premier rapport de sanctions prises dans le cadre de l'application du RGPD suite aux fuite de données personnelles. Et le moins que l'on puisse dire est que les autorités européennes n'ont pas perdu de temps pour punir celles et ceux qui le méritaient. En 18 mois, c'est près de 114 millions d'euros qui ont été ainsi requis contre les contravenants au RGPD.
Le meilleur élève pour appliquer le RGPD, c'est la France qui a la main la plus leste (nous sanctionnons le plus) et la plus lourde (nous infligeons les plus amendes les plus salées). Parmi les cas les plus connus, citons Optical Center qui a été visée par une amende RGPD de 250 000 € pour une atteinte à la sécurité des données des clients sur leur site www.optical-center.fr. Mais le cas le plus emblématique, c'est l'amende de 50 millions € infligée par notre CNIL nationale à Google pour manque de transparence et d'information des utilisateurs quant à leurs données personnelles et consentement des utilisateurs non valablement recueilli pour les traiter.
Mais attention, nos amis anglais de l'Information Commissioner’s Office (ICO), c'est à dire l'équivalent de notre CNIL, ne sont pas en reste puisqu'ils ont prononcé deux propositions d’amende record en deux jours, de montants respectifs de 203 millions € (British Airways) et 110 millions € (Mariott International).
Au fond de la classe, on retrouve l'Irlande qui reçoit pourtant un taux élevé de plaintes (8.6 pour 10000) mais qui ne sanctionne pas. Cette particularité s'explique peut-être par le fait que cet état membre au climat fiscal accomodant, accueille sur son sol bon nombre de sièges européens de sociétés telles que Google, Dell, Apple, Facebook, etc...
Quoi qu'il en soit, on voit assez clairement qu'après une première période de clémence et de tolérence, les régulateurs européens ont sifflé la fin de la récréation et que les grosses punitions commencent à tomber. Cependant, il faut bien comprendre qu'au-delà de ces exemples emblématiques, ce sont des centaines de millions d'entreprises qui sont concernées par ces dispositions. Car même si votre site web n'est pas aussi visité que Facebook, même si votre entreprise n'a pas le chiffre d'affaires d'un Google ou d'un Apple, cela ne vous exonère pas de vous mettre en conformité vis-à-vis du RGPD.
Bien mais peut mieux faire
Cette phrase, qui a longtemps bercé ma scolarité, pourrait être la devise du RGPD. Alors bien sur, les européens ont le sentiment que leurs données sont maintenant protégées mais dans les faits, on est encore assez loin du compte puisque seule une entreprise sur trois est conforme. Pire, seulement 11,8% des CMP (c'est à dire les plates-formes permettant de collecter le consentement de l'utilisateur en matière de données personnelles) répondent aux exigences liées au consentement aux cookies publicitaires prévus par le RGPD selon une étude publiée le 8 janvier 2020.
La mise en application du RGPD a été une véritable révolution pour de nombreuses d'entreprises, et principalement celles travaillant directement ou indirectement dans le secteur de la donnée. Qu'il s'agisse des GAFA, des entreprises du secteur publicitaire pour qui l'utilisation des données personnelles est une part essentielle de leur activité, le secteur public, ou encore des PME qui doivent gérer les données personnelles de leurs salariés. Si certaines entreprises comme Apple prétendent respecter le RGPD (mise en oeuvre d'un bouton bleu qui indique à l'utilisateur quand Apple utilise ses données, ainsi que des options telles que "supprimer mes données personnelles/supprimer mon compte" sur leur site), d'autres acteurs comme Facebook pourraient se voir infliger de grosses amendes en raison de failles évidentes dans la protection des données de leurs utilisateurs.
Ce serait trop simple et trop manichéen de jeter la pierre aux seules entreprises et organisations pour expliquer ce piètre résultat. A propos d'exemplarité, je ne suis pas certain que les GAFAM que les Français adorent critiquer à la moindre occasion tout en en étant parmi les plus gros utilisateurs (le chapitre dédié à ce sujet dans le livre de Cauchard et Calan est édifiant) soient les moins vertueux à ce petit jeu.
Pour vous en convaincre, ouvrez n'importe quel moteur de recherche et saisissez la requête suivante : scraping airbnb (ce qui signifie en français, ratisser les données d'Airbnb). Logiquement, il est impossible d'accéder à ces données, et pourtant...
Aujourd'hui si le RGPD est aussi peu et aussi mal appliqué, c'est tout autant de la faute du législateur. D'un point de vue strictement juridique, Patrick Van Eecke, le président de cabinet DLA Piper, remarque qu'aucun cadre strict n'a encore été clairement défini. "Les premières amendes du RGPD soulèvent de nombreuses questions. Demandez à deux régulateurs nationaux comment les amendes RGPD doivent être calculées et vous obtiendrez deux réponses différentes. Nous n'avons pas encore de certitude juridique sur cette question cruciale, mais une chose est sûre : nous pouvons nous attendre à voir beaucoup plus d'amendes et d'appels au cours des prochaines années".
Pour aller plus loin sur la question de l'amélioration du RGPD, on pourra consulter les intéressantes propositions faites par l'Institut Montaigne dans son rapport Données personnelles, comment gagner la bataille ? publié en décembre 2019.
Mise en conformité, mode d'emploi
Comment échapper à ce marronier du web qu'est la mise en conformité du RGPD quand on tient un blog traitant de ces sujets ? Je vais donc en profiter pour en remettre une couche parce que les amendes, ça ne tombe pas que sur Google !
Voici une check-list basique qui vous permettra de vérifier certains points essentiels vis-à-vis du RGPD. Vous ne serez peut-être pas 100% raccord mais au moins, vous aurez faite la démarche de vous rapprocher de la conformité. Et dans de très nombreux cas, cela devrait suffire. Par contre, si vous voulez réellement vous assurer d'être conforme, il vous faudra demander conseil auprès d'avocats spécialisés dans ce domaine.
Installer un certificat SSL
Concrétement, installer un certificat de sécurité de type SSL permet de rassurer l'internaute en affichant le fameux petit cadenas vert dans la barre du navigateur de l'internaute. Cela permet aussi à Google de comprendre que vous êtes responsable et bienveillant (Don't be evil). Comme ce certificat est (généralement) gratuit, il n'y a pas de raison de s'en priver.
Vous trouverez plus d'informations à ce sujet dans cet article Comment sécuriser son site ? et vous pouvez (devez si vous êtes perfectionniste) tester votre certificat SSL avec https://www.ssllabs.com/ssltest/.
Protéger son site
J'imagine que vous n'avez surement pas attendu le RGPD pour sécuriser votre site, n'est ce pas... Donc, tout va très bien :) Mais si le doute vous habite, il n'est peut-être pas inutile de refaire un point sur cette question sensible parce que... la fuite des données personnelles, ça n'arrive pas qu'aux autres.
Là aussi, la lecture de l'article 10 outils en ligne pour tester la sécurité de votre site pourra vous être utile.
Gérer les cookies
Le bandeau d’information sur les cookies est devenu obligatoire. Son acceptation ne peut plus être forcée, c'est à dire qu'il faut que l'internaute clique sur le bouton "j’accepte" ou"je refuse" pour que le bandeau disparaisse. L'ajout d'un bouton du type "En savoir plus" redirigeant vers une page d’information est également vivement conseillé.
Il existe de (très) nombreuses extensions permettant de gérer les cookies. Attention, toutes ne se valent pas et il convient d'abord de lister vos besoins en la matière avant de faire votre choix. La CNIL recommande tarteaucitron.io (au moins, vous vous souviendrez de ce nom loufoque) qui propose une version gratuite basique et une version payante très complète.
Si vous utilisez Google Analytics, vous pouvez et devez paramétrer l'outil de Google pour qu'il soit RGPD compliant en suivant ce très bon tutoriel.
Informer ses visiteurs
C'est le moment douloureux où il va falloir éditer vos mentions légales (c'est obligatoire les mentions légales, je pense que vous le savez) pour rajouter un passage complet sur votre politique en matière de confidentialité et de gestion des données. Ne vous contentez pas de copier des mentions légales pompées sur un site au hasard (qui aura peut-être lui aussi pompé les siennes).
Vous devez également informer vos utilisateurs en cas d'intrusion (piratage) que leurs données peuvent potentiellement avoir été exposées. Bien souvent, cela ne concerne que les gros sites mais si l'on tient à être RGPD compliant, il faut s'astreindre à respecter tous les articles du règlement.
Protéger ses visiteurs
Il suffit que vos visiteurs vous envoient un mail via votre formulaire de contact pour que vous deveniez dépositaire de données personnelles (au moins leurs noms et leurs adresse mail). De ce fait, vous devez veiller à ce que tous vos formulaires disposent bien d'une case à cocher concernant votre politique de confidentialité.
Je remercie ici mon amie Raphaelle Baut de m'avoir indiqué ce point important.
Accéder aux données
Si vos internautes peuvent laisser des données personnelles sur votre site (nom, prénom, email, etc), ils doivent pouvoir y accéder pour les modifier et/ou les supprimer. Depuis Joomla 3.9, vous disposez de tous les outils pour cela puisque cette version intègre la suite "Confidentialité". Tout est expliqué dans cet article.
Je vous conseille dans ce cas de veiller à ce que l’utilisateur puisse vous en faire la demande clairement et facilement.
Adapter à sa situation
Si vous avez un site vitrine ou un site e-commerce, il y a nécessairement des différences dans l'application du RGPD. Dans le cas où votre site est professionnel, qu'il collecte des données sensibles sur vos utilisateurs, il reste encore de nombreuses étapes à atteindre avant d'être parfaitement en conformité : la désignation d'un DPO, la tenue d'un registre des documents contenant des données personnelles, etc.
Encore une fois, ne vous contentez pas de lire et d'appliquer les conseils de cet article (merci au passage) si votre situation requiert une démarche juridique complète. Consulter un.e avocat.e n'est pas une dépense, c'est un investissement et une sage précaution.
Sources et ressources
- Règlement Général sur la Protection des Données - Commission Européenne
- Comprendre le RGPD - Dossier CNIL
- Les données personnelles - La Quadrature du Net
En conclusion
Avouons-le, personne n'a envie d'éplucher les articles du RGPD pour devoir passer ses soirées et ses week-end à mettre son site web en conformité (moi, le premier). Pourtant, quand on est utilisateur, on est bien content de savoir que nos données sont protégées et non diffusées. Aussi, je pense que mes visiteurs (et les vôtres dont je fais peut-être partie) méritaient bien ces marques de confiance et de respect.
Si cet article vous a plu et vous a eté utile, il pourrait l'être également à votre entourage. N'hésitez pas à le partager pour en faire profiter vos réseaux. Merci d'avance !
