RGPD : 3 ans après, quel bilan tirer du dispositif ?

18 mai 2021 à 08h30
30
RGPD

Le texte référence dans l'Union européenne sur le traitement des données caractère personnel et à la libre circulation de ces données, le RGPD, fête bientôt son anniversaire. Et son aura semble de plus en plus importante.

Entré en vigueur il y a près de trois ans jour pour jour, le 25 mai 2018, le Règlement général sur la protection des données, plus connu sous le nom de RGPD, a mis sur le devant de la scène la question du traitement des données personnelles des citoyens de l'Union européenne, qu'il régit d'ailleurs. L'entreprise fondée par l'avocat Sylvain Staub lors de l'entrée en vigueur du texte, Data Legal Drive, a publié lundi son nouveau baromètre anniversaire, au terme d'une enquête réalisée sur 348 DPO (délégué à la protection des données ) internes, externes et des juristes. Et les entreprises, ainsi que leurs salariés, paraissent de plus en plus attentifs à la protection des données personnelles.

La crise sanitaire et les dernières directives de la CNIL sur les cookies ont aidé à renforcer l'application du RGPD

Si le RGPD a parfois été critiqué à ses débuts, la crise sanitaire semble avoir eu un effet coup de fouet. En 2019 et en 2020, 1 site internet sur 3 seulement était en conformité avec le règlement. Désormais, ce sont 53 % des sites (soit plus d'1 sur 2) qui sont en conformité.

Cet effort est en partie à mettre au crédit des organismes publics et entreprises qui ont mis à jour leur politique de confidentialité et leurs mentions légales. Et qui ont veillé à améliorer la configuration de leur gestionnaire de cookies.

Les dernières directives de la CNIL liées aux cookies, qui ont abouti à l'émergence de nombreux variants de « murs de traceurs », ont facilité le recueil du consentement des internautes. C'est du mois ce que pensent 65 % des professionnels de la protection des données interrogés.

Des secteurs avancent encore à pas feutrés, mais les entreprises accélèrent la formation de leurs salariés au RGPD

Si l'on doit s'attarder sur la cartographie des traitements, plusieurs secteurs ont encore des progrès à faire. Car si la digitalisation des données personnelles progresse, les secteurs de la banque (et assurance), de la santé et de la formation peuvent mieux faire. 38 % des professionnels de la donnée œuvrant dans le secteur de la santé disent par exemple réaliser leur cartographie des traitements de façon parcellaire, et sous forme de tableur Excel.

Il est à saluer en contrepartie une vraie amélioration dans la formation des collaborateurs. Près de 8 salariés sur 10 (76 %) font davantage attention à la protection de leurs données personnelles au sein de leur entreprise. Et si 3 entreprises sur 10 seulement révélaient former leurs collaborateurs en 2020, elles sont désormais 6 sur 10 à profiter de la crise et des nouvelles dispositions pour former leurs salariés.

De façon plus globale, les entreprises sont donc deux fois plus nombreuses à former leurs salariés au RGPD.

Chamboulé le mois dernier avec l’entrée en vigueur des nouvelles lignes directrices de la CNIL, le modèle du « cookie wall » a évolué vers celui du « cookie alternative wall ». Une solution à mi-chemin entre la défense du modèle publicitaire du Web, et le consentement offert aux internautes. Découvrez notre dossier exclusif, fourni de nombreux témoignages

Modifié le 21/05/2021 à 12h09
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
30
19
ivico
53% des sites en conformité? Non.<br /> 53% a avoir mis un cookie wall et un bout de texte sur la protection des données oui.<br /> Combien ont réalisé une AIPD (analyse des risques propre au RGPD)?<br /> Combien ont listé TOUS les traitements? Ont pris le soins de detailler la base legale pour chaque traitement?<br /> Combien utilise du Google analytics, captcha… ou une autre solution americaine et sont dans la plus totale ILLÉGALITÉ depuis la fin du Privacy shield?<br /> Le RGPD est complexe. Je traite de ce sujet depuis 3 ans et je m’étonne découvrir des situations nouvelles chaque jour. Alors non 53% certainement pas. 2/3% oui.<br /> Pour ceux qui veulent se rendre compte du problème dans son endemble et de ce qui doit changer grâce au RGPD je vous invite à regarder le prochain numero de Cash Investigation.<br /> mobile.france.tv<br /> Cash Investigation Nos données personnelles valent de l'or !<br /> Dans cette nouvelle enquête, l’équipe de Cash va vous révéler comment vos téléphones vous espionnent et collectent des données très personnelles sur votre religion, votre moral ou votre grossesse sans votre consentement. Par exemple, lorsque vous...<br /> PS: vous aurez surement envie de contacter le dpo de IQVIA apres cette émission en faisant usage de votre droit d’accès. J’attends personnellement sa réponse.<br /> Edit modo : pas d’adresse mail en public.
clockover
+1<br /> J’ajouterais qu’une très grande majorité des TPE/PME ne seront jamais en conformité.<br /> Trop lourd en ressource et veille…
thurim
Je bosse dans l’IT sur ce sujet. A mon sens, c’est juste une vaste blague qui vise avant tout à faire passer à la caisse les grands groupes.<br /> Les petits, ceux qui font vraiment du mal (genre les conseillers fiscaux / indépendants RH / Arnaqueurs et co), ils ne risquent strictement rien. Refus de suppression de données personnelles, absence de constitution de fichiers pour revente etc… ? Tu peux te brosser pour qu’ils prennent en compte tes demandes, et pour que la CNIL joue son rôle (par contre, taper sur un grand groupe et afficher ça dans la presse, là ils sont présents, d’autant que la loi est tellement contraignante qu’elle est difficilement respectable, comme par exemple avec l’anonimisation des environnements hors Prod.<br /> Concrètement, cette loi contribue surtout à gêner l’internaute, et passe complètement à côté de vrais sujets.
Wen84
Effectivement, cette loi est juste une nouvelle pierre à l’édificie de la grande infrastructure bureaucratique. Elle a de bonnes intentions, mais comme d’habitude, elle vise totalement à coté de la plaque et ne change pas grand chose au problème.
dredd
Dans beaucoup d’entreprises petites et moyennes et d’administration, ça équivaut à foutre un digicode ultra sécurisé avec scanner rétinien sur la porte d’une cabane en bois dont les fenetres ne ferment pas.<br /> ça par exemple:<br /> «&nbsp;Les Entreprises seront obligées de signaler à une autorité compétente et aux personnes concernées tout piratage de données à caractère personnel dans un délai de 72 heures au maximum, à partir de mai 2018&nbsp;»<br /> Pour beaucoup, c’est impossible à appliquer. Il ne sont tout simplement pas techniquement caable de savoir s’il y a eu une intrusion et un piratage des données.
norwy
Le GPDR est une direction avant d’être un dogme. Tout le monde n’a pas les moyens ni envie de passer du temps sur ce sujet. En plus, cela nécessite bien plus de moyen, de temps et de compétences que ce que chacun est capable de mettre en place en moyenne.<br /> Il faut donc un écosystème d’acteurs intermédiaires qui participent à principes et fondamentaux forts et clairs pour tous autour de solutions libres et réplicables.<br /> Une sorte de GPDR 2021, 2022, 2023 qui fournirait tous les ans ces explications et des solutions techniques simples comme base de départ à reprendre par les novices.
Goodbye
Je ne suis pas d’accord, leur formulaire est très simple à répondre, et généralement la sommation qu’il envoie derière calme tout de suite (utilisé pour un forum privé qui refusait de supprimer les comptes et messages), bref personellement heureux d’avoir ce genre de protection en Europe.
Goodbye
oui enfin, j’imagine que le délai commence quand on découvre le piratage…
nicgrover
Que proposez-vous ? Là est la question…
Wen84
Parfois, il faut mieux s’abstenir que de créer une usine à gaz, qui créé plus de complexité qu’autre chose. Ce que je propose ce serait plutot de réfléchir à comment l’Europe pourrait devenir une puissance qui aide aux développement d’entreprises innovantes, plutot que de dépendre de technologies provenant de l’extérieur, dont aura bien du de mal à se protéger. Mais c’est un vaste sujet, que je ne compte pas déveloper ici, car autre chose à foutre quand meme que de donner des coups d’épées dans l’eau
nicgrover
Je comprends bien alors autant rester dans le contexte actuel et même si le RPDG n’a pas de grands résultats, il a peut-être le mérite d’exister (pour les GAFA…).
ivico
Attention nuance et imprécision de l’article: C’est 72h à partir du moment où tu as pu le constater. Potentiellement bien après ladite intrusion donc.
Wen84
Perso, je suis assez sceptique sur le bénéfice contre les GAFAM. C’est ça qui est génial avec l’administratif, une fois la main dans le rouage, on vantera toujours le statu quo, jusqu’à ce qu’on nous vende une prochaine usine à gaz. D’ailleurs, c’est pas directement lié, mais à l’epoque d’hadopi c’était un peu la meme conclusion : C’est là autant le garder à peu près en l’état.
yam103
Il y a deux aspects du RGPD:<br /> Le premier est celui qui orchestre et cadre les données personnelles gérées par les entreprises. Il permet à l’entreprise de se poser les bonnes questions: est-ce que j’ai besoin de capter une donnée, combien de temps, qui va la détenir, la traiter; des restrictions concernant l’export de données hors UE; et quelques obligations en cas de fuite. Normaliser cela au niveau européen va dans le bon sens.<br /> Le second, en effet de bord, c’est la gestion de cookies. Du coup, les entreprises sont obligés d’avoir l’acceptation de l’utilisateur, et on voit aujourd’hui les dérives par vengeance: Des formulaires d’acceptation à profusion (surtout quand perso on supprimer les cookies à la fermeture du navigateur), très confus, compliqué à refuser dans son intégralité, et l’arrivée maléfique des Cookies Wall qui pourrit «&nbsp;l’expérience utilisateur&nbsp;» des récalcitrants.<br />
Wen84
Bah… Peut etre poser des questions sur ce qui est contreproductif et ce qui ne l’est pas. En fait, c’est un peu comme lors du developpement d’un soft. Après la première version, tu peux soit refactorer ce qui merde, soit continuer sur ta lancé. Quel est le bon choix ?
elminster44
En effet le 53% parait un peu élevé.<br /> J’ai un site informatif créé par mes petites mains via Wordpress pour ma TPE, je me suis contenté d’installer une extension RGPD…
Mel92
Désolé de mettre les pieds dans le plat, mais je ne comprends rien. La RGPD est en place depuis 3 ans, et alors ? Ça a apporté quoi à part une case à cocher obligatoire sur certains sites ?<br /> La publicité est toujours aussi ciblée (le but unique de la récupération de données personnelles à mon avis) et je ne vois même pas en quoi le fait que la publicité soit ciblée ou non puisse faire l’objet d’une directive.<br /> Donc à l’évidence, la RGPD ne sert à rien d’autre qu’à embêter les utilisateurs et justifier l’existence d’organismes régulateurs (la CNIL ?). Pourquoi dés lors se réjouir de sa mise en place et de son anniversaire ?
nicgrover
C’est l’éternelle guerre du pot de terre contre le pot de fer… Les US veulent imposer leur modèle dé$uet, modèle en voie de perdition face à une Chine qui n’a même jamais été émergeante mais qui les supplantera dans l’avenir. Alors autant commencer à apprendre le chinois^^
ld9474
ivico:<br /> Combien utilise du Google analytics, captcha…<br /> La RGPD ne concerne pas les informations personnelles? Dans ce cas GA et autres n’ont pas à entrer dans ce cadre sauf si on remonte des données sur les personnes.
ld9474
Mel92:<br /> La publicité est toujours aussi ciblée<br /> Ce n’est pas l’objectif de la RGPD à priori. Son souci sont les données personnelles. Si on vous identifie par un élément technique mais qu’il est impossible à partir de cet identifiant de savoir qui (physiquement) vous êtes ca ne pose pas de soucis.<br /> yam103:<br /> Le second, en effet de bord, c’est la gestion de cookies<br /> Quel rapport avec la RGPD?
Comcom1
A part un message agaçant pour chaque site visité nous obligeant à indiquer si on veut ou non être suivi, j’ai pas constaté grand chose… Nos données sont toujours revendu, les appels de démarcheurs toujours aussi relou, les publicités toujours ciblés bref manquerait peut-être que ce soit appliqué…<br /> Quand la dernière fois que je suis tombé sur une plateforme à la c** je dis à la nénette vous me marquez explicitement dans votre base de donner de ne plus me rappeler, elle me répond je peux pas le faire, j’ai beau lui dire que c’est une obligation de sa part de prendre note de ce que je lui demande : écho vide lol<br /> Bon ce sont des plateformes à tatawin les oies ils en ont rien à faire d’être en conformité ou non
Shinpachi
Ça a changé que toutes les semaines, tu reçois un mail de changement de CGU que tu ne liras de toute façon pas
yam103
Je bosse sur un gros site faisant appel à un formulaire de consentement des cookies, qui est d’ailleurs externalisé comme une majorité de sites. On parle souvent de mise en conformité au RGPD, mais je suis d’accord avec toi, il y a peut-être un abus de langage, il n’y a pas que le RGPD qui entre en jeu.<br /> J’ai cherché un peu sur internet, on a le RGPD, la loi ePrivacy européenne qui est plus axée sur la navigation internet , et la CNIL qui en a rajouté une couche pour les sites français. On est passé d’un simple «&nbsp;ce site utilise des cookies, cliquez sur OK&nbsp;», à un formulaire de consentement complexe, et qui ne traite pas que des cookies tiers d’ailleurs (acceptation de la localisation, identification par fingerprinting du device…).
ivico
Si.<br /> C’est justement parce que tout le système de ciblage de google n’est pas conforme au RGPD que google essaye de passer à FLOC
cyrano66
Comcom1:<br /> Quand la dernière fois que je suis tombé sur une plateforme à la c** je dis à la nénette vous me marquez explicitement dans votre base de donner de ne plus me rappeler, elle me répond je peux pas le faire,<br /> Ça doit dépendre de la boîte.<br /> Quand J’ai demandé à l’opératrice de Bouygue telecom (des vrais morpions ceux là) de me supprimer de leur fichier en citant la RGPD ça a parfaitement fonctionné.<br /> Depuis c’est le silence…reposant.
Rumpelstiltskin
Un peut dans le sujet , personnellement j’utilise des addons qui me facilite un peut la vie en dehors de ublock<br /> -consent o Matic<br /> ninja cookie<br /> -qookiefix<br /> Pour le tout je rajoute canvasblocker<br />
Googoole
C’est n’importe quoi cette rgpd, tout ce que ça change c’est que vous avez une grosse bannière qui vient vous emmerder sur chaque site où vous allez, soit vous acceptez et c’est comme avant, soit vous refusez et on vous réclame un abonnement.<br /> Par contre les FAI qui n’ont aucune transparence sur vos données qu’ils collectent, ça la CNIL n’en a rien à faire, c’est comme tous les organismes gouvernementaux, ils vous font croire qu’ils vous mettent en sécurité mais en réalité c’est juste pour cacher tout le reste qui est réellement dangereux.
Voir tous les messages sur le forum

Lectures liées

Le réseau social de Trump aurait pompé beaucoup du code de Mastodon
Des produits dérivés d'artistes bientôt en vente sur Spotify
Cybersécurité : les entreprises délaissent le mot de passe et se tournent vers l'authentification biométrique
Le shopping bientôt sur Pinterest ? PayPal en discussion pour le rachat de la plateforme
Rachat de Giphy par Facebook : ce sera 70 millions pour avoir caché des informations stratégiques
AliExpress détaille sa logistique monstre, mise en place pour son célèbre
Pourquoi le marché des jeux d'argents en ligne est-il en pleine ébulition ?
Leak Twitch :
Wix permet désormais de créer un site web qui accepte les paiements en crypto
Plus de la moitié des produits étudiés par la DGCCRF après des achats sur des marketplaces présentent des anomalies
Haut de page