Le RGPD en 2022 : Tout savoir sur les nouveautés du RGPD

Article mis à jour le 31/07/2023. 

rgpd 2022

Le RGPD, pour règlement général sur la protection des données, est une obligation. Que vous soyez une entreprise, association, organisme public ou privé, vous êtes obligatoirement concerné par le RGPD. Il est nécessaire de respecter le RGPD sous peine de sanctions ! Voici tout ce qu’il faut savoir sur le RGPD 2022.

 

RGPD 2022 : Rappel sur les fondements du règlement général sur la protection des données

Le RGPD est le nouveau cadre juridique ayant pour but de protéger les données personnelles. Il est applicable depuis le 25 mai 2018 et a été renforcé en Avril 2021.

2022 rgpd

Comme nous vous l’indiquions dans un précédent article, une donnée revêt un caractère personnel dès lors qu’elle désigne toute information se rapportant à une personne physique identifiée ou identifiable. Une personne physique peut être identifiée :

  • Directement (exemple : nom et prénom)
  • Indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image).

Le RGPD cherche à protéger l’ensemble de ces données. Ainsi, dès lors que votre entreprise utilise ce genre de données, vous devez tout mettre en œuvre pour respecter le RGPD.

Pour en savoir plus, nous vous invitons à lire notre article sur comment se mettre en conformité RGPD.

 

Quelles sont les nouveautés RGPD 2022 ?

Encore plus de sanctions pour non respect du RGPD

Derrière le RGPD, il y a la CNIL, la Commission nationale de l’informatique et des libertés. En 2018, la CNIL se montrait conciliante avec les organismes ne respectant pas le RGPD. Cette réglementation, nouvelle et parfois longue et difficile à appliquer, était compliquée pour certaines structures. La CNIL ne sanctionnait alors que rarement et jouait plus un rôle de conseillère.

sanction rgpd 2022

Aujourd’hui, la CNIL garde son rôle de conseil. Sur son site internet, on trouve de nombreux articles et pages très utiles permettant de faciliter la mise en conformité RGPD. Toutefois, la CNIL sanctionne beaucoup plus en cas de non respect du RGPD ! 2018, c’était il y a 4 ans et vous devez être en conformité aujourd’hui.

Voici quelques exemples récents de sanctions qui ont été infligées par la CNIL :

Pour 2022, il est donc primordial d’être en conformité RGPD sous peine de sanctions importantes.

 

Les contrôles effectués par la CNIL en 2022

En 2021, la CNIL a effectué 384 contrôles. La CNIL a communiqué sur ses thématiques prioritaires de contrôle 2022. Elle s’axe sur trois sujets importants :

  • La prospection commerciale : La prospection commerciale non sollicitée fait partie des irritants du quotidien des français et est un sujet récurent de plaintes et d’appels à la permanence téléphonique de la CNIL, c’est pourquoi elle décide d’y concentrer des moyens importants afin de s’assurer de la conformité des pratiques des acteurs concernés.
  • Les outils de surveillance dans le cadre du télétravail : Le recours au télétravail massif a entraîné le développement d’outils spécifiques, parmi lesquels figurent des outils permettant aux employeurs d’assurer un suivi plus étroit des tâches et activités quotidiennes des salariés. […] La CNIL considère aujourd’hui nécessaire de vérifier sur le terrain la conformité des pratiques des employeurs.
  • L’utilisation de l’informatique en nuage (cloud) : Au regard de ces enjeux, la CNIL considère nécessaire que ces technologies [De cloud], devenues incontournables, fassent l’objet d’une attention particulière. Elle approfondira, tout au long de l’année, les questions relatives aux transferts de données et à l’encadrement des relations contractuelles entre responsables de traitement et sous-traitants fournisseurs de solution cloud.

Il sera donc impératif, pour toute entreprise, d’être en conformité vis à vis des sujets liés à la prospection commerciale, les outils de surveillance du télétravail ou encore l’utilisation du cloud. Tout cela va de pair avec le RGPD qui, pour rappel, vise à protéger les données personnelles, et donc la vie privée, des individus.

Pour en savoir plus, cliquez ici pour consulter l’article de la CNIL à ce sujet.

 

La mise en conformité RGPD de votre site internet

Vis à vis du RGPD 2022, il est impératif que votre site web soit en conformité avec le règlement général sur la protection des données. La règlementation a évolué depuis Avril 2021 et de nombreux sites ne respectent pas le RGPD.

rgpd 2022 site web

Pour que votre site internet soit en conformité RGPD, celui-ci doit respecter de nombreuses obligations. Celles-ci sont définies par trois grands axes :

  • La protection des données personnelles.
  • Le respect des règles en matière de cookies et de traceurs.
  • La cybersécurité des sites web.

Ce sujet fait et fera partie des contrôles de la CNIL en lien avec le RGPD. Il convient donc de ne surtout pas le négliger.

Nous vous invitons à lire notre dossier très complet et récent sur la mise en conformité RGPD de votre site internet.

 

Google Analytics est-il illégal ? La CNIL se prononce.

MAJ Juillet 2023 : Depuis juillet 2023, la CNIL a changé son fusil d’épaule concernant Google Analytics. En cause, des changements positifs dans le traitement des données de l’outil. Nous vous invitons à consulter le paragraphe suivant Google Analytics RGPD : les évolutions en cours pour tout savoir.

C’est une petite bombe qui a été lancée par la CNIL en février 2022. Un gestionnaire de site web a été mis en demeure pour l’utilisation de Google Analytics.

google analytics cnil

Pour information, Google Analytics est une solution permettant d’obtenir des statistiques très détaillées (et utiles) sur la fréquentation de votre site internet. Chaque visiteur se voit attribué un identifiant unique (derrière lequel on retrouvera l’adresse IP, des données de géolocalisation, etc…) et cet identifiant, qui constitue une donnée personnelle, ainsi que les données qui lui sont associées, sont transférés par Google aux États-Unis.

Le gros problème ici, c’est que les données recueillies par Google, dans le cadre de Google Analytics, sont transférées vers les Etats-Unis. La CNIL estime que ces transferts sont illégaux. Comme indiqué sur le site de la CNIL sur son article dédié à ce sujet : « La CJUE (Cour de Justice de l’Union européenne) avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux États-Unis, si les transferts n’étaient pas correctement encadrés ».

À l’heure actuelle, il semble donc que Google Analytics ne respecte pas le RGPD en 2022… Chose très embêtante quand on sait que c’est la solution de mesure d’audience de sites internet la plus utilisée sur le marché.

Il est donc intéressant de se renseigner sur les solutions alternatives de mesure d’audience de sites internet. Toutefois, il sera important de voir quelle sera la réaction de Google également. Google risque de réagir et de se mettre en conformité (ou pas).

Attendons donc d’en savoir plus du côté de Google, ou encore de la CNIL, pour voir quelles seront les mesures à adopter pour se mettre en conformité sur ce sujet. Google risque de réagir et la CNIL d’apporter des précisions. Nous mettrons à jour cet article dès que nous aurons des informations supplémentaires (mise à jour  publiée dans le paragraphe suivant).

 

Google Analytics RGPD : les évolutions en cours

Mise à jour Juillet 2023

Depuis Juillet 2023 Google Analytics est validé par la CNIL. C’est une grande nouvelle suite aux nombreuses précédentes communications allant à l’encontre de l’utilisation de Google Analytics pour les sites web en France.

Concrètement, la CNIL a annoncé que la Commission européenne constate que les États-Unis assurent un niveau de protection des données personnelles équivalent à celui de l’Union européenne. Les transferts de données personnelles depuis l’UE vers certains organismes étatsuniens peuvent désormais s’effectuer librement, sans encadrement spécifique. Cela couplé à la nouvelle version de Google Analytics, plus respectueuse du RGPD, rend l’utilisation de Google Analytics conforme au RGPD.

Nous vous invitons à lire notre article Google Analytics est validé par la CNIL pour tout savoir sur le sujet. C’est la fin d’un long épisode juridique qui aura tenu en haleine de nombreux gestionnaires de sites internet.

 

Mise à jour du 29/03/2022

Google a annoncé que Google Universal Analytics (la version actuelle de Google Analytics) allait disparaître complètement le 1er juillet 2023 et ce, au profit de Google Analytics 4. Cette nouvelle version de Google Analytics semble mieux respectueuse des données personnelles. Si votre site internet utilise Google Analytics, il faudra donc obligatoirement le faire évoluer pour le faire passer sur la nouvelle version avant juillet 2023.

Il convient également de noter qu’un accord de principe a été trouvé pour « un nouveau cadre pour les flux de données transatlantiques ». Pour rappel, comme indiqué dans la partie précédente de cet article, c’est le transfert des données personnelles recueillies par Google Analytics vers les Etats-Unis qui pose problème et qui rend Google Analytics non compatible avec le RGPD. Il est donc possible que ce nouveau cadre (qui est le successeur de Privacy Shield), couplé à la nouvelle version de Google Analytics, permettra aux sites internet de conserver leur compatibilité RGPD tout en utilisant Google Analytics.

Là encore, il faudra attendre d’en savoir plus sur plusieurs points :

  • Comment bien paramétrer Google Analytics 4 pour le rendre compatible RGPD ?
  • Quel sera exactement le nouveau cadre pour les flux de données transatlantiques ?

Dès que nous en saurons plus, nous vous proposerons un dossier détaillé pour vous permettre de vous mettre en conformité Google Analytics RGPD.

 

Mise à jour du 21/06/2022

Dans un article publié sur son site internet le 7 Juin 2022, la CNIL a donné quelques précisions concernant la mise en conformité RGPD de Google Analytics. La Commission Nationale de l’Informatique et des Libertés y indique notamment que Google Analytics n’est pas compatible RGPD même par le biais de certains paramétrages internes à l’outil. À l’heure actuelle, il n’existe donc aucun paramétrage dans Google Analytics permettant de le rendre compatible RGPD.

La CNIL précise qu’il est toutefois possible d’utiliser une solution « tierce » permettant de rendre l’outil conforme. Cette solution, c’est la proxyfication. Pour résumer, il s’agit de la mise en place d’un serveur proxy permettant d’éviter tout contact direct entre le terminal de l’internaute et les serveurs de Google.

Il s’agit ici d’une solution très coûteuse et très complexe à mettre en place (nous vous renvoyons vers l’article de la CNIL pour en savoir plus). Il est donc difficile de la conseiller en l’état… Selon nous, il est préférable, à l’heure actuelle, pour une mise en conformité immédiate, d’utiliser une autre solution d’analyse d’audience de site Web. La CNIL a dressé une liste des solutions compatibles RGPD sur son site internet.

Autre solution possible : attendre que Google communique et propose une véritable solution pour la mise en conformité de Google Analytics. Il serait étonnant que Google ne bouge pas sur ce point et nous serons attentifs aux futures communications de Google sur le sujet. Toutefois attention, à l’heure actuelle, tant que Google ne se met pas en conformité, si votre site internet utilise Google Analytics, celui-ci n’est pas compatible RGPD.

 

La cybersécurité

La cybersécurité est une notion primordiale du RGPD. La CNIL indique dans son document sur la cybersécurité que ‘le RGPD est le seul texte à imposer des obligations de cybersécurité précises, de façon transversale, et soumises au pouvoir de contrôle et de sanction d’une autorité’.

rgpd cybersécurité

Avec le contexte géopolitique actuel et la situation en Ukraine, on peut s’attendre à ce qu’il y ait encore plus d’attaques informatiques. Il est donc primordial pour toute structure de tout mettre en œuvre pour assurer une protection maximale vis à vis du risque cyber.

Preuve de l’engagement de la CNIL sur ce sujet, celle-ci devient membre de Cybermalveillance.gouv.fr. La cybersécurité est donc un maillon essentiel du RGPD qu’il conviendra de respecter impérativement en 2022 sous peine de sanctions ou, encore pire, de risque de piratage.

Consultez notre article comment se protéger des virus informatiques pour en savoir plus.

 

Les arnaques RGPD toujours présentes

En 2022, le RGPD est toujours considéré comme un sujet compliqué pour de nombreuses structures. Ainsi, des arnaques surfent sur ce sujet. L’objectif :

  • Vous proposer de faux services de mise en conformité.
  • Vous faire télécharger des applications de mise en conformité (qui se révèlent être des virus informatiques).
  • Vous arnaquer…

Soyez donc très vigilants vis à vis des mails, courriers ou appels téléphoniques que vous pourriez recevoir.

Il ne s’agit pas ici d’une nouveauté RGPD 2022 en tant que telle mais d’un point de vigilance à retenir. Nous vous invitons à consulter notre dossier sur les arnaques RGPD pour savoir comment vous protéger.

 

Ce contenu a été publié dans Actualité générale. Vous pouvez le mettre en favoris avec ce permalien.