IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

74% des experts affirment que les autorités chargées de la protection des données trouveraient des "violations du RGPD" dans les entreprises
Si elles les examinaient, selon Noyb

Le , par Jade Emy

18PARTAGES

11  0 
Pour marquer la Journée mondiale de la protection des données de cette année 2024, le 28 janvier, noyb a mené une enquête auprès de plus de 1000 professionnels de la protection des données travaillant dans des entreprises européennes. Cette enquête a permis d'obtenir une vision unique de l'intérieur : 70 % des personnes interrogées estiment que les autorités doivent prendre des décisions claires et appliquer le GDPR pour garantir la conformité, tandis que 74 % déclarent que les autorités chargées de la protection des données (DPA) trouveraient des "violations pertinentes" si elles franchissaient la porte d'une entreprise moyenne.

Lorsque le GDPR est entré en vigueur en 2018, la nouvelle et brillante loi sur la protection des données a été saluée comme un changement vers une application plus stricte - garantissant que dans l'UE, le droit fondamental à la protection des données n'existe pas seulement sur le papier. Dans une tentative d'évolution vers une "application fondée sur des preuves", cette étude montre également que les autorités devraient changer fondamentalement leur approche de l'application pour amener les entreprises à se conformer.


Les mesures d'application strictes n'ont pas tenu leurs promesses.

Lorsqu'il est entré en vigueur en mai 2018, le règlement général sur la protection des données (RGPD) a promis de passer de l'approche "douce" actuelle de la protection des données à une application sérieuse. Pour atteindre cet objectif, les politiques de l'UE ont doté les autorités de sérieux pouvoirs d'enquête et de la possibilité d'infliger de lourdes amendes.

Selon une nouvelle enquête menée par noyb auprès de plus de 1 000 professionnels de la protection des données, la plupart des participants estiment que l'introduction du RGPD a "considérablement amélioré" la manière dont les entreprises traitent les données personnelles, mais 74 % d'entre eux affirment encore que si les autorités devaient effectivement mener une enquête sur place dans une entreprise moyenne traitant des données d'utilisateurs, elles trouveraient des "violations pertinentes".

Max Schrems, président honoraire de noyb : "Il est extrêmement alarmant de constater que 74 % des professionnels de la protection des données au sein des entreprises déclarent que les autorités trouveraient des violations importantes dans une entreprise moyenne. De tels chiffres seraient inimaginables s'il s'agissait de se conformer à la législation fiscale ou à la réglementation en matière de sécurité incendie. La non-conformité ne semble être la norme que lorsqu'il s'agit des données personnelles des utilisateurs."
Des données objectives d'initiés sur la conformité au RGPD.

Afin d'obtenir un aperçu aussi complet que possible de l'application pratique du RGPD, l'enquête de noyb comprenait 65 questions couvrant un éventail de sujets dans le domaine de la conformité et de l'application du RGPD. Cela a permis d'obtenir des données fiables et objectives sur les dynamiques internes qui empêchent les délégués à la protection des données (DPD) de mettre en œuvre des mesures visant à renforcer la conformité au RGPD, ainsi que sur les facteurs externes qui pourraient pousser les entreprises à se conformer davantage au RGPD à l'avenir. Ces données semblent cruciales pour concentrer le travail d'application et de mise en conformité sur des stratégies qui fonctionnent réellement et soutiennent le travail des DPD internes.

En conflit avec les services de marketing et la direction.

Les entreprises opèrent souvent dans un espace conflictuel entre la recherche du profit, les coûts de mise en conformité de leurs systèmes avec le RGPD et l'obligation de se conformer à la loi. L'enquête de noyb montre clairement que les DPD subissent des pressions pour limiter la conformité au RGPD dans l'intérêt de l'entreprise : 46 % des personnes interrogées ont déclaré que les ventes et le marketing faisaient activement pression sur eux pour limiter la conformité, tandis que 32 % se sentaient poussés par les membres de la direction générale.

Sans surprise, convaincre ces parties prenantes de procéder aux changements nécessaires pour améliorer la conformité s'avère également très difficile. Une proportion choquante de 56 % des personnes interrogées a déclaré qu'il était difficile de convaincre le service marketing, tandis que 38,5 % ont eu des problèmes avec la direction générale. 51 % ont également déclaré qu'il était difficile de convaincre les fournisseurs des pays non membres de l'UE/EEE de fournir des produits conformes aux entreprises clientes de l'UE.

Max Schrems : "Les DPD sont censés être indépendants et assurer la conformité au sein de l'entreprise. En réalité, nombre d'entre eux font état de pressions exercées par diverses parties pour qu'ils donnent la priorité aux intérêts commerciaux."
Application fondée sur des preuves : amendes et atteinte à la réputation.

L'absence de mesures d'application claires de la part des autorités n'aide pas les DPD à faire leur travail. Selon les résultats de l'enquête, une entreprise est plus susceptible d'améliorer sa conformité lorsqu'elle - ou même d'autres entreprises - est confrontée à des amendes importantes. 67,4 % des personnes interrogées ont déclaré que les décisions de l'autorité de protection des données à l'encontre de leur propre entreprise, assorties d'une amende, inciteront les décideurs à opter pour une plus grande conformité.

Il est intéressant de noter que 61,5 % des personnes interrogées ont déclaré que même les amendes infligées par le DPA à d'autres organisations influenceraient la conformité de leur propre entreprise au GDPR. Cet effet ("dissuasion") est bien connu et étudié, mais n'est pas vraiment utilisé par les autorités. Le deuxième meilleur outil semble être la publication des décisions. 52 % ont déclaré que la perte de réputation d'une autre entreprise a déjà un effet positif sur la conformité de leur propre entreprise. Toutefois, de nombreuses autorités ne publient pas leurs décisions (par exemple, en Allemagne) ou ne les publient que de manière sélective.

Max Schrems : "Les professionnels de la protection des données au sein des entreprises semblent conseiller d'imposer des amendes élevées et de les rendre publiques. L'approche commune consistant à s'appuyer sur des négociations "informelles" entre les autorités et les entreprises et sur des procédures secrètes semble être la moins efficace selon les initiés des entreprises."
Les lignes directrices de l'EDPB ou les classements de dossiers n'ont pas d'influence.

Alors que les autorités investissent des efforts, du temps et des ressources considérables pour fournir des lignes directrices aux entreprises, celles-ci semblent être largement ignorées par les entreprises. 46 % des personnes interrogées ont déclaré que les lignes directrices de l'EDPB n'avaient pas d'influence, tandis que 23 % seulement les trouvaient assez influentes. De même, les initiés estiment que les plaintes directes auprès des entreprises n'ont pas beaucoup d'influence. Cela contraste avec les plaintes déposées auprès des autorités chargées de la protection des données et la clôture informelle des dossiers (qui est actuellement la forme de décision la plus courante).

Malgré tous les signes indiquant qu'il est urgent d'appliquer strictement la législation, dans la pratique, les mesures prises par les autorités chargées de la protection des données sont l'exception. Ceci est facilement illustré par le travail de noyb : La plupart des plus de 800 dossiers de noyb sont en suspens depuis plus de deux ans. Mais même si l'on ne retient que les affaires que noyb a gagnées, il n'y a qu'une poignée de décisions qui prévoient une amende. Dans plus de 800 affaires, noyb déclare n'avoir vu une seule autorité procéder à une inspection sur place d'une entreprise.

Max Schrems : "Ces dernières années, les autorités européennes ont élaboré de nombreuses lignes directrices et engagé de longues discussions "informelles" avec les entreprises, avant de "classer" les dossiers sans suite. À en juger par les réactions des responsables de la conformité, ce n'est malheureusement pas la meilleure façon d'utiliser l'argent des contribuables.
L'opinion des initiés reste plus positive que l'expérience des utilisateurs.

Bien que le point de vue des initiés soit déjà alarmant, il reste plus optimiste que l'expérience moyenne des personnes concernées ne le permettrait. Par exemple, lorsque noyb a exercé son droit d'accès aux données personnelles, plus de 90 % des demandes n'ont pas reçu de réponse complète dans les délais. La plupart des demandes sont tout simplement ignorées. En comparaison, 59 % des personnes interrogées pensent que la plupart des entreprises se conformeraient "pour l'essentiel" aux "règles de base" du RGPD. L'expérience pratique suggère que le point de vue de l'extérieur peut être encore pire que celui de l'intérieur.

La seule solution : une "application fondée sur des preuves".

Si l'on en croit les personnes interrogées, la seule solution réaliste à ce problème est claire : une application plus stricte et des décisions plus claires des autorités de protection des données et des tribunaux qui obligent les entreprises à mettre leurs traitements de données en conformité. Une liste complète et détaillée des actions suggérées figure dans l'étude. Les résultats montrent également qu'il est urgent de rassembler d'autres preuves objectives pour s'assurer que les autorités (peuvent) s'engager dans un travail d'application efficace compte tenu de leurs ressources limitées.

Répéter des approches qui ne fonctionnent pas ne conduira pas à des changements concrets sur les téléphones et les ordinateurs des Européens. Les données recueillies dans le cadre de l'enquête de noyb constituent un excellent point de départ pour d'autres recherches. Le noyb s'engagera également dans d'autres recherches.

Les concepts de Noyb

Noyb utilise les meilleures pratiques des groupes de défense des droits des consommateurs, des militants de la protection de la vie privée, des pirates informatiques et des initiatives de technologie juridique et les fusionne en une plateforme européenne stable d'application de la loi. Grâce aux nombreuses possibilités d'application du règlement européen sur la protection des données (RGPD), noyb est en mesure de soumettre des cas de protection de la vie privée de manière beaucoup plus efficace qu'auparavant. En outre, noyb suit l'idée d'un litige ciblé et stratégique afin de renforcer le droit à la vie privée. Noyb utiliserons également des initiatives de relations publiques et médiatiques pour souligner et garantir le droit à la vie privée sans avoir à aller devant les tribunaux. Enfin, noyb est conçu pour joindre ses forces à celles des organisations, ressources et structures existantes afin de maximiser l'impact du RGPD, tout en évitant les structures parallèles.

Source : Noyb

Et vous ?

Pensez-vous que cette étude est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

5 ans après, 15 experts du stockage des données se prononcent sur le RGPD : le RGPD a-t-il été un succès, un échec ou quelque chose entre les deux ? Le RGPD a-t-il atteint les objectifs fixés ?

NOYB dépose une plainte contre la Commission européenne concernant une campagne publicitaire ciblée sur le Contrôle des chats

L'Union européenne se prépare à corriger le RGPD en améliorant la façon dont il est appliqué. Un texte est attendu avant cet été, selon une page récemment publiée sur son site Web

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de totozor
Membre expert https://www.developpez.com
Le 29/01/2024 à 16:20
Je travaille dans une entreprise industrielle et je traite de données personnelles occasionnellement.
Mon impression est simple :
on est pas 100% RGPD compliant mais on rentre dans le rang au fur et à mesure, ça demande une certaine énergie que nos responsable ne veulent pas financer.
Les sujets sensibles ne sont pas donnés aux plus rigoureux d'entre nous et les managers du traitement de ces données sont plus ou moins volontairement ignorants et évitent plus ou moins volontairement le DPO.
Ces gens sont surchargés pourquoi suivraient ils une formation en protection des données ou en réglementation? De toute façon ils savent, ils sont (les) responsables.
Ils n'ont même pas le temps pour le briefing accéléré du DPO.

Je penses que nous sommes globalement propres sur 90% de périmètre, il reste 5% à régulariser et 5% qui naviguent dans un brouillard assez opaque.
4  0 
Avatar de Pierre Louis Chevalier
Expert éminent sénior https://www.developpez.com
Le 29/01/2024 à 15:18
Il y a aussi des parties du RGPD qui me paraissent exagérées voir néfastes, comme la durée maximale de conservation des données, parfois notifiées à 6 mois ou 2 ans pour certaines applications, et d'une façon générale à 3 ans. Si j'ai envie de commander quelque chose à une société pour qui j'ai déjà un compte, plus de 3 ans après, je n'ai pas envie de devoir recréer un compte à chaque fois parce que je me suis fais virer automatiquement au bout de 3 ans comme une merde à cause du RGPD, et encore moins me faire virer d'un jeux en ligne pour cette raison, si j'ai envie d'y revenir plus de 3 ans après. Je pense que c'est a moi de choisir, si j'ai envie de supprimer un compte, ou de le garder c'est pas au RGPD de m'imposer ça péremptoirement. Et pour les entreprises et les sites web c'est juste un cauchemar à gérer.

Donc pour améliorer la situation il faudrait peut être revoir à la baisse certaines exigences trop extrémistes du RGPD, et dans l'autre sens faire mieux appliquer les règlements pertinents.
2  0 
Avatar de Pierre Louis Chevalier
Expert éminent sénior https://www.developpez.com
Le 29/01/2024 à 17:37
Tu reconnais que ta boite est à 90%, je pense que c'est une belle réussite, bravo à l'équipe informatique, et au patron qui a donné les moyens à cette équipe, mais imagine le nombre de boites dont une tonne de PME qui sont encore à 0%, faute de moyens voir de volonté...
1  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 29/01/2024 à 14:44
Pensez-vous que cette étude est crédible ou pertinente ?
Cela ne m'étonne qu'à moitié quand on voit que la CNIL ne s'est vu attribuer qu'une petite dizaine de personnes en plus pour l'application du RGPD.

Quel est votre avis sur le sujet ?
Il ne faut pas taper comme un sourd mais si les DPD le disent, alors il faut sévir pour que le RGPD soit appliqué. L'investissement est là pour les entreprises de tailles moyennes. Mais qu'en est-il des petites ?
L'enquête est néanmoins intéressante car vue de l'intérieur. Et sur indeed, ça recrute des DPO. Maintenant s'agit-il de fusibles en cas de flagrant délit de violation du RGPD comme les RSSI en cas d'attaque ?
En tout cas, ce qui m'a le plus choqué est le tiers de direction freinant à son adoption alors même qu'ils ont recruté en interne ou en externe pour le faire appliquer. Le marketing passe encore mais la direction est irresponsable dans ce cas là : le contrôle peut avoir lieu à tout moment et mettre à mal l'entreprise.
En tout cas, Max Schrems, comme toujours en pointe de la défense de nos libertés. 5 ans et demi après je comprends son désarroi : nous ne sommes plus dans la nouvelle, on a laissé le temps. Dorénavant, il faudrait penser à sévir.
0  0 
Avatar de totozor
Membre expert https://www.developpez.com
Le 31/01/2024 à 7:51
Je suis un peu moins optimiste que toi:
Nous sommes à 90% parce que nous avons un DPO et nous sommes une équipe très indépendants. Nos responsables savent peu de choses sur le RGPD (et certains restent volontairement ignorants) et penseraient que passer du temps la dessus est une perte de temps (jusqu'au jour d'un hypothétique audit).
Dans les 5% restants il y a un brouillard bien opaque géré par ceux qui ne veulent pas connaitre le RGPD parce que ce qu'ils font est bien plus sensible et discutable. Il y a des indicateurs dont on connait le nom (pas toujours explicite) mais dont on ne connait pas la teneur. Pourquoi ces indicateurs sont réalisés par des managers peu compétents dans les outils qu'ils manipulent alors qu'ils ont une armée qui le ferait mieux et plus vite? (Nous avons vu l'un de ces indicateurs par accident et en quelques minutes nous avons vu à quel point il est éthiquement discutable et avons vu des visuels dont on est sûr qu'ils sont erronés)

Et cette situation nous frustre pas mal. Le jour de l'audit (qui ne viendra potentiellement jamais) le travail bien fait servira de paravent pour la merde que font certains en sous marin. Et si cet audit arrive ce n'est pas sur notre épaule qu'on tapera mais sur la leur.
0  0