«Un an après, le RGPD n'a pas fait pschitt». Pour Me Sylvain Staub, avocat spécialiste de la question, «le bilan est positif et les entreprises françaises ont fourni des efforts pour se mettre en conformité, mais cela ne signifie pas qu'elles le sont forcément».
Le 25 mai 2018, l'entrée en vigueur du Règlement général sur la protection des données avait fait trembler les entreprises, des géants du CAC 40 à la start-up, en passant par les PME. Surtout, l'Union Européenne entendait réveiller les consicences face à l'usage des données privées des salariés, des clients ou des utilisateurs de services en ligne collectant toujours plus d'informations, parfois revendues à prix d'or à des sociétés tierces.
«Du fait de la large médiatisation du RGPD, il y a eu une vraie prise de conscience, analyse Me Staub. C'est un challenge compliqué pour les sociétés et toutes sont concernées, quelque soit leur taille. Il existe aujourd'hui de très grosses entreprises qui ont tout juste démarré leur mise en conformité».
Une amende de 50 millions pour Google
Et la CNIL, chargée de veiller à la protection des données, a déjà commencé ses visites dans les sociétés et à distribuer ses premières condamnation. En témoigne, celle du géant amércain Google, condamné début janvier à une amende record de 50 millions d'euros pour «pratiques abusives dans la collecte et l'utilisation de données personnelles à des fins publicitaires sur Android».
La fin d'une période de tolérance
Surtout, la CNIL a mis fin à une certaine période de tolérance vis-à-vis des retardataires. Celle-ci se déplace pour différentes raisons dans les entreprises. «Si une entreprise n'est pas transparente sur la collecte des données et s'il y a un risque autour du traitement de ces données, la CNIL peut effectuer un contrôle sur place ou bien à distance», rappelle Sylvain Staub.
«Il existe quatre étapes à suivre pour une entreprise : a-t-elle identifiée tous les traitements de l'information, a-t-elle fait son registre, a-t-elle tout gérer digitalement et tout centralisé et a-t-elle établie une méthodologie globale (mise à jour des clauses...) ?», souligne Me Staub, qui a lancé Data Legal Drive, un logiciel de pilotage des données.