Le RGPD (Règlement Général sur la Protection des Données), ou GDPR en anglais, est entré en vigueur le 25 mai 2018. Il vise à renforcer et harmoniser la protection des données personnelles de tous les citoyens européens. Quelques mois avant sa mise en application, nous avions rassemblé pour vous les informations essentielles de ce règlement et les obligations à connaître en tant qu’e-commerçant.
Un an plus tard, où en sommes-nous ? Le RGPD a-t-il permis de mieux encadrer le traitement des données personnelles en France et en Europe ? Quel est le bilan pour les TPE/PME, et quels outils ont été mis en place pour vous accompagner ? Réponses dans cet article !
Une prise de conscience forte du côté des consommateurs
Indéniablement, l’entrée en vigueur du RGPD aura permis de réveiller la conscience des internautes quant à la valeur de leurs données personnelles, et à l’importance de les protéger. 6 mois après, 66% des Français se disent plus sensibles à ce sujet aujourd’hui qu’au cours de ces dernières années, selon un sondage IFOP réalisé pour la CNIL. Conséquence : le nombre de plaintes a explosé en France et dans toute l’Europe. En un an seulement, plus de 100 000 plaintes ont été déposées dans l’Union européenne par des citoyens et des associations. En France, ce sont plus de 11 000 plaintes qui ont été enregistrées par la CNIL, alors qu’elle en recevait environ 3 000 par an dans les années 2000.
Une grande partie de ces plaintes est liée à des demandes de suppression de données non satisfaites, des litiges commerciaux (démarchages abusifs notamment), ainsi que des salariés inquiets d'être vidéosurveillés ou géolocalisés par leurs employeurs. Avec cette prise de conscience accrue, les marchands qui respectent les obligations du RGPD sont d'autant plus attractifs pour les acheteurs ! Utilisez ces contraintes à votre avantage, par exemple en rendant bien visible et en personnalisant la bannière dédiée aux cookies, pour montrer à vos visiteurs que vous êtes attaché au respect de leurs droits.
Bannière de consentement à l'utilisation des cookies du site Yooji
Après la tolérance, la CNIL entend renforcer les contrôles
Malgré l’augmentation des plaintes, le nombre de sanctions prononcées par la CNIL et les autres organismes européens n’a pas augmenté drastiquement. En effet, en 2018, l’autorité française s’inscrivait davantage dans une démarche d’accompagnement, pour aider les entreprises à intégrer le RGPD dans leur mode de fonctionnement. Isabelle Falque-Pierrotin, son ex-présidente, déclarait que “la CNIL fera preuve de souplesse et de pragmatisme” durant les premiers mois d’application du RGPD (Les Echos).
Mais en 2019, la CNIL entend asseoir son cadre juridique et faire pleinement respecter ses obligations. Elle a d’ailleurs donné le ton en début d’année, en infligeant à Google une amende record de 50 millions d’euros au titre du RGPD.
Alors, comment vous mettre en conformité dès aujourd'hui ?
6 mois après l’entrée en vigueur du RGPD, près d'un dirigeant de TPE/PME sur deux (48%) n’était pas certain d’être en conformité selon un sondage OpinionWay réalisé pour Captain Contrat. En effet, l’application du RGPD induit des chantiers complexes qui doivent toucher tous les services : des systèmes d’information aux ressources humaines, en passant par la relation client et le marketing. C’est un sujet de gouvernance qui doit se diffuser dans toute l’organisation, ce qui prend du temps et des ressources.
Ainsi, pour être en conformité avec le RGPD, le meilleur moyen est de nommer dès que possible un responsable de la sécurité des données personnelles. Cette personne, que ce soit vous-même ou l’un de vos employés, est garante de l’application du RGPD au sein de votre entreprise. Même si elle n’est pas toujours obligatoire, la désignation d’un responsable peut être très bénéfique pour la maîtrise des données collectées. Il est notamment en charge de faire l’inventaire et contrôler le traitement des données personnelles (que ce soit celles de vos clients, de vos salariés ou de vos fournisseurs), piloter la mise en conformité de votre entreprise et dialoguer avec les autorités de contrôle.
Par ailleurs, vous êtes dans l’obligation de nommer un délégué à la protection des données (DPO) si votre activité de base vous amène à :
- Réaliser un suivi régulier et systématique des personnes à grande échelle ;
- Traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Pour en savoir plus, vous pouvez consulter l’article de la CNIL à ce sujet.
Sachez que de nombreuses TPE/PME ont fait le choix de nommer un DPO externalisé plutôt que d’attribuer cette fonction à l’un de leurs salariés. Cette collaboration a l’avantage de leur apporter une vision neutre et globale sur l’ensemble des traitements effectués par leurs différents services. Pensez-y si vous êtes concerné !
Les initiatives de la CNIL pour accompagner les professionnels
Afin d’accompagner les TPE et PME dans leur appropriation du RGPD, la CNIL a mis en place plusieurs outils :
- Un Guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises, qui rassemble les grandes étapes pour protéger les données personnelles de votre entreprise. Vous y trouverez notamment une fiche dédiée à la communication et la vente en ligne p. 47.
- Un modèle de registre pour recenser les traitements de données personnelles réalisés par votre organisation (pour rappel, la tenue d’un registre est une obligation du RGPD). Il peut devenir un réel outil de pilotage de votre mise en conformité.
- Un MOOC (formation en ligne) pour vous aider à mieux comprendre et intégrer les principes fondamentaux du RGPD.
Pour aller plus loin, vous pouvez également consulter les pages de la CNIL dédiées à la sécurité des données personnelles.
Même si la mise en œuvre du RGPD est un chantier ardu, elle est nécessaire pour assurer la sécurité de votre commerce en ligne et la protection des données de vos clients, employés et fournisseurs. C’est un investissement sur le long terme, qui vous permettra de gagner la confiance de vos visiteurs !
