Une rentrée sous le signe du RGPD

Et si vous profitiez de la rentrée pour vous repencher sur le RGPD ? Il s'agit en effet d'un sujet qui s'inscrit sur la durée, à travailler de manière continue. Pour Florent Gastaud, data protection officer (DPO), CEO et fondateur de Mon DPO externe, "il est utopique de penser qu'on peut être conforme. En effet, travailler la conformité, notamment les données personnelles, se fait de manière continue et sur le long terme".

Un travail continu

En effet, l'article 25 du RGPD prévoit que chaque nouveau projet soit mis en conformité. Il faut donc régulièrement adapter sa conformité. "Il y a également un travail de contrôle à faire sur les projets existants qui peuvent évoluer et ne plus être conformes", avertit Florent Gastaud.

Il met également en exergue l'évolution des réglementations autour du RGPD. Il donne l'exemple de l'EDPD (European data protection board) qui publie régulièrement de nouvelles lignes directrices qui ont un impact sur la manière dont le RGPD doit être mis en oeuvre. "La CNIL publie quant à elle des référentiels", ajoute Florent Gastaud. Autant de textes à prendre en compte au sein de son entreprise au fur et à mesure de leur publication. Ce qui oblige, là encore, de travailler de manière continue sur le sujet du RGPD.

Gare aux sanctions

Florent Gastaud alerte par ailleurs sur le fait que les sanctions prononcées par les autorités de contrôle sont de plus en plus lourdes, ce qui prouve que les entreprises ne sont pas conformes sur le sujet et qu'il reste du travail à accomplir. "Si les médias se font le relai d'amendes extrêmement élevées prononcées à l'encontre des GAFAM, toutes les entreprises sont concernées, les grosses comme les plus petites", met-il en garde.

Il donne l'exemple de Carrefour, dont deux entités ont été sanctionnées à plus de 3 millions d'euros, et de Bricoprivé qui a écopé d'une amende de 500 000 euros. Pour rappel, le niveau de sanction maximum prévu est la somme plus élevée entre 20 millions d'euros ou 4% du CA mondial. C'est ainsi que WhatsApp a dû payer 225 millions d'euros.

Contrôles en ligne

Dans ce contexte, sur quels sujets se concentrer ? Florent Gastaud conseille de traiter en priorité la conformité en ligne. "La part des contrôles à distance est de plus en plus importante par rapport aux contrôles sur place ; la conformité visible à distance est donc devenue prioritaire, comme les mentions informatives fournies aux personnes", précise-t-il.

Ce sujet de l'information est d'autant plus important que, comme le rapporte Florent Gastaud, la CNIL se montre de plus en plus exigeante en la matière. "L'information ne doit pas seulement être complète mais également claire, accessible et compréhensible", note-t-il.

Autre sujet auquel faire attention : les cookies, à propos desquels la CNIL a publié de nouvelles recommandations en septembre 2020, applicables au premier trimestre 2021. Il faut donc se montrer vigilant à ce propos, d'autant plus que les cookies sont contrôlables à distance. "Plusieurs dizaines d'entités ont déjà été mises en demeure par la CNIL", raconte Florent Gastaud. Les amendes risquent encore de pleuvoir à ce sujet.