En appliquant le RGPD, les entreprises traitent mieux leurs données

Le règlement général de la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Il a  imposé une révision en profondeur du traitement et de la manipulation des données personnelles. Quel est le bilan, plus d’un an après ?

« Le RGPD a une grande vertu : il a permis de recartographier l’ensemble des risques pris par une entreprise lorsqu’elle utilise des données et une analyse de son utilisation des flux de données. Les entreprises avaient des systèmes d’information poussiéreux et le RGPD a permis de revoir les processus de protection »,  relève Bertrand Plau, juriste consultant RGPD pour SGS, cabinet expert de l’application du RGPD. Depuis l’entrée en vigueur du RGPD, la Cnil (Commission nationale de l’informatique et des libertés) a prononcé la condamnation d’un courtier mais d’autres contrôles ont pu faire apparaître des manquements, sans qu’ils aient été rendus publics. En juillet, le courtier a été condamné parce que les comptes de ses clients étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. Les documents et les données des clients étaient aussi accessibles en modifiant des numéros figurant à la fin d’adresses URL. Par ce biais, il était possible d’accéder à des photocopies de permis de conduire, de cartes grises, des relevés d’identité bancaire ainsi qu’à des documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou si elle avait commis un délit de fuite.

Plus d’un an après l’entrée en vigueur du RGPD, on constate que la dimension sécurité a pris une place importante dans le traitement des données, que ce soit pour un traitement informatique ou papier. Il faut bien avoir en tête la possibilité de la Cnil de contrôler un site Internet à distance. La gestion des cookies, ces fichiers déposés sur le disque dur d’un internaute par le serveur d’un site visité, entre également dans le champ d’application du RGPD. La Cnil teste l’étanchéité des sites et étudie les dispositifs de protection appliqués.

Ayant pour mission de s’assurer que l’utilisation des données à des fins commerciales ou internes au sein d’une entreprise respecte la législation en vigueur,  les data protection officers ont été mis en avant depuis mai 2018. Pour Bertrand Plau, ceux-ci sont de véritables chefs d’orchestre de la protection des données. Afin de se documenter sur le RGPD, outre les informations émanant de la Cnil, le juriste renvoie vers la documentation du G 29 qui regroupe les autorités de supervision européennes en la matière et vers celle de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP).

Au final, « des zones d’ombres demeurent après l’entrée en vigueur du RGPD qui nécessiteraient quelques éclaircissements, notamment lorsqu’un courtier utilise la plate-forme d’un assureur. Faut-il y voir une relation de sous-traitance ou de coresponsabilité ? », s’interroge Bertrand Plau.

Geneviève Allaire