Auteur : Me Caroline Sandler-Rosental – Avocat et DPO – RSC Avocat
Niveau général de compliance au RGPD des entreprises à améliorer
Selon le dernier baromètre de l’Association Française des Correspondants à la Protection des Données (AFCDP) de mai 2022, 43% des personnes en charge de la conformité au RGPD considèrent qu’il « reste encore beaucoup de chemin à faire » dans leur organisation pour être en conformité. Et l’AFCD indique dans son Index du droit d’accès de 2022, que 63% des responsables de traitement ne donnent pas suite aux demandes de droit d’accès à leur données personnelles par les personnes concernées. Et parmi celles qui y donnent suite, seules 45,9% d’entre elles le font en moins d’un mois.
Or, peu de sociétés peuvent utilement se targuer d’échapper au RGPD tant la définition d’un « traitement » de données personnelles au sens du RGPD (Art. 4 – Définitions ») est extensive (collecte, stockage, transfert…). Les entreprises sont en général soumises au RGPD en qualité de Responsable de traitement et/ou de Sous-traitant RGPD selon qu’elles prennent, ou pas, l’initiative des traitements et qu’elles définissent, ou pas, les moyens de ces traitements.
La non conformité au RGPD fait-elle vraiment courir des risques aux entreprises?
Le non-respect de la réglementation relative à la protection des données personnelles fait-il vraiment courir un risque aux entreprises ? Est-ce uniquement un risque à l’égard de la Commission Nationale Informatique et Libertés (CNIL) ou le risque est-il plus large pour les entreprises ?
La réponse est sans conteste positive ! Les risques en cas de non-conformité d’une entreprise au RGPD constituent une somme de risques cumulés que les dirigeants d’entreprises ne peuvent ignorer : risque administratif, pénal, financier, civil, opérationnel, prud’hommal et risque d’atteinte à l’image de l’entreprise.
En vertu du RGPD, les entreprises ont des obligations à la fois juridiques et techniques destinées à les aider à protéger les données personnelles, tant de leurs salariés, que de leurs partenaires et de leurs clients. Le Règlement européen impose et/ou favorise notamment la prise de mesures organisationnelles et techniques de sécurité (Plan de continuité d’Activité, Charte informatique, mesures de cryptage, d’anonymisation, gestion des accès, formation des employés…) destinées à lutter contre les violations de données personnelles, l’atteinte à leur confidentialité et à leur intégrité.
Risque sécurité
Ne pas respecter le RGPD, au moins sur ses aspects sécurité, équivaut donc à exposer son entreprise à un risque accru de violations de données et donc à la fragiliser. Les violations potentielles sont nombreuses et peuvent être le fait de négligences involontaires d’employés (phishing, mots de passe non protégés, divulgations orales d’informations…), d’incendies accidentels des locaux, de cyber-attaques.
Le risque qui en découle est la perte ou l’altération de données de l’entreprise et donc la perte d’éléments incorporels des plus précieux pour son activité.
Risque de défaillance
Pour 54% des PME victimes d’une cyber-attaque, le cout financier moyen par cyber-attaque est supérieur à 500K€ (1) et le risque de défaillance des entreprises attaquées augmente de 40% dans les 6 mois de l’attaque.
Risque commercial
Une autre des sanctions les plus impactantes pour les sociétés, qu’elles soient des prestataires de service ou des fabricants ou distributeurs de biens matériels par exemple, est également la perte de chance de remporter des marchés du fait d’un niveau de conformité au RGPD insuffisant. De plus en plus d’acheteurs sont sensibilisés au RGPD et intègrent dans leurs critères de sélection des soumissionnaires le respect de ces aspects.
Par ailleurs, les clients intègrent de plus en plus une clause d’audit dans les contrats et procèdent de plus en plus fréquemment à des audits de conformité au RGPD au cours de l’exécution des contrats afin de vérifier le niveau réel de conformité de leurs prestataires et fournisseurs. De même, les responsables de traitements vérifient-ils aussi de plus en plus le niveau de conformité de leurs sous-traitants, en raison de leur propre responsabilité à l’égard de leurs clients. Aussi, toute non-conformité au RGPD ou toute violation de données personnelles sera-t-elle susceptible d’entrainer des pénalités, voire la résiliation des contrats concernés ainsi que des demandes d’indemnisation du préjudice subi (souvent sans plafond du montant de l’indemnisation).
A contrario, s’afficher en tant qu’entreprise particulièrement soucieuse de la protection des données de ses clients et partenaires renforce la confiance à l’égard de l’entreprise et constitue un avantage compétitif sur le marché.
Risque de sanctions CNIL
En ce qui concerne le risque de sanctions de la CNIL, celles-ci peuvent être liées, ou pas, à des plaintes de personnes estimant que leurs droits n’ont pas été respectés concernant leurs données personnelles.
La CNIL peut prononcer notamment un simple rappel à l’ordre, l’interdiction de procéder aux traitements litigieux, la suspension des flux de données, la prononciation d’astreintes et à une sanction pécuniaire pouvant aller jusqu’à jusqu’ à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (article 83 RGPD), avec ou sans publication des décisions prises à l’encontre de la société.
Le montant cumulé d’amendes jamais atteint a dépassé les 214 millions d’euros en 2021, versus139 millions d’euros en 2020, selon le Rapport annuel de la CNIL de 2021 publié en mai 2022. Devant l’augmentation des saisines, la CNIL a d’ailleurs annoncé entre janvier et avril 2022 une externalisation du traitement de certaines plaintes et la mise en place d’une action répressive simplifiée afin de renforcer son efficacité – https://www.cnil.fr/fr/reforme-des-procedures-correctrices-de-la-cnil-vers-une-action-repressive-simplifiee. Il faut donc s’attendre à une recrudescence des contrôles et des sanctions.
Conclusion : mieux vaut anticiper !
Vous l’aurez compris, mieux vaut investir quelques ressources en 2023 dans la mise en conformité de son entreprise au RGPD que d’attendre d’y être contraint soit par un incident de sécurité soit par une sanction, voire par les deux … Alors, que signifie en pratique se mettre en conformité au RGPD ? Quel plan d’action mettre en oeuvre ? La réponse dans un prochain article sur le sujet…
