Actualité mise à jour le 01/08/2023.
Le RGPD, pour Règlement Général sur la Protection des Données, est en vigueur depuis 2018. Celui-ci est applicable pour toutes les entreprises et organisations, quelle que soit leur taille. En 2023, le RGPD sera encore sur le devant de la scène et les entreprises, associations et organisations devront s’y conformer ! Voici tout ce qu’il faut savoir sur le RGPD 2023 dans cet article.
Les fondements du RGPD
Pour pouvoir appliquer le RGPD, il faut en comprendre les fondements. Comme nous l’expliquions dans notre précédent article sur le RGPD 2022, le RGPD a pour but principal de protéger les données personnelles des citoyens de l’Union européenne.
Concrètement, le RGPD s’applique à toutes les entreprises et organisations, quelle que soit leur taille, qui traitent des données à caractère personnel de citoyens de l’Union européenne. Mais il s’applique également aux entreprises et organisations situées en dehors de l’Union européenne qui traitent des données à caractère personnel de citoyens de l’Union.
Une donnée revêt un caractère personnel dès lors qu’elle désigne toute information se rapportant à une personne physique identifiée ou identifiable. Une personne physique peut être identifiée :
- Directement (exemple : nom et prénom)
- Indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, l’adresse IP, mais aussi la voix ou l’image).
L’objectif du RGPD est de protéger l’ensemble de ces données et votre entreprise, ou association / organisation, est forcément concernée.
Pour en savoir plus, vous pouvez consulter notre article, RGPD votre entreprise est forcément concernée.
RGPD 2023 : Les nouveautés à connaitre
Le RGPD plus que jamais obligatoire en 2023 : Toujours plus de sanctions
Initialement, en 2018, lors de l’apparition du RGPD, la CNIL se montrait conciliante avec les entreprises et organisations.
En effet, la mise en place du RGPD est longue et pas forcément simple :
- Changer l’intégralité des process de traitement des données.
- Sécuriser les données.
- Désigner un Délégué à la Protection des Données (DPO).
- Etablir un registre de traitement des données.
- Mettre en conformité son site internet (cookies).
- Etc…
De très nombreuses actions à mettre en place que vous pouvez retrouver dans notre article comment se mettre en conformité RGPD.
La CNIL accompagnait donc les entreprises sans forcément les sanctionner en cas de manquement. Aujourd’hui ce n’est plus le cas ! Si la CNIL conserve son rôle d’accompagnement, elle sanctionne énormément les entreprises qui ne respectent pas le RGPD. Voici quelques exemples de sanctions :
- Cookies : sanction de 60 millions d’euros à l’encontre de MICROSOFT IRELAND OPERATIONS LIMITED.
- Sécurité des données et droits des personnes : sanction de 300 000 euros à l’encontre de la société FREE.
- Prospection commerciale et droits des personnes : sanction de 600 000 euros à l’encontre d’EDF.
- Sanction de 800 000 euros à l’encontre de la société DISCORD INC.
- Reconnaissance faciale : sanction de 20 millions d’euros à l’encontre de CLEARVIEW AI.
- Sanction de 250 000 euros à l’encontre d’INFOGREFFE.
- Prospection commerciale et droits des personnes : sanction de 600 000 euros à l’encontre d’ACCOR.
- Géolocalisation de véhicules de location : sanction de 175 000 euros à l’encontre d’UBEEQO INTERNATIONAL.
- Prospection commerciale et droits des personnes : sanction de 1 million d’euros à l’encontre de TOTALENERGIES.
- Fuite de données de santé : sanction de 1,5 million d’euros à l’encontre de la société DEDALUS BIOLOGIE.
- Cookies : la CNIL sanctionne GOOGLE à hauteur de 150 millions d’euros.
- Cookies : sanction de 60 millions d’euros à l’encontre de FACEBOOK IRELAND LIMITED.
Toutes ces sanctions sont à retrouver sur le site de la CNIL rubrique sanctions. Comme on peut le remarquer, le périmètre du RGPD est large et les sociétés peuvent être sanctionnées pour de nombreux motifs. De plus, les amendes peuvent monter très haut, il est donc important de se mettre en conformité. Focus sur certains points importants dans la suite de cet article sur le RGPD 2023.
Un plan stratégique 2022 / 2024 pour la CNIL
La CNIL a publié un plan stratégique allant de 2022 à 2024. Dans ce plan, le RGPD et la protection des données occupent une place prépondérante avec des axes spécifiques.
Si l’on résume les informations en lien avec le RGPD dans ce plan stratégique, la CNIL va encore renforcer son offre d‘accompagnement en facilitant la compréhension et la prévisibilité du cadre légal, en développant des outils de conformité et en aidant à se prémunir contre les risques cyber. La CNIL communique les 5 axes suivants à ce sujet :
- Renforcer la sécurité juridique des responsables de traitement par des orientations pratiques et claires.
- Développer les outils de certification et de code de conduite.
- Faire de la conformité RGPD la meilleure prévention contre les risques cyber.
- Renforcer et faire évoluer la stratégie d’accompagnement.
- Assumer un rôle de régulateur ayant un impact économique.
On remarque donc que la CNIL continue encore et toujours d’accompagner les entreprises et organisations sur le sujet du RGPD.
Par contre, comme indiqué dans le paragraphe précédent, la CNIL sera très vigilante quant à la bonne application du RGPD et pourra sanctionner lourdement en cas de manquement. Celle-ci a sélectionné des axes importants sur lesquels elle va se focaliser :
- Les caméras augmentées et leurs usages.
- Les collectes de données personnelles dans les applications smartphones.
- Les transferts de données dans l’informatique en nuage (« cloud »).
Soyez donc très vigilants sur ces sujets ! Par exemple, savez-vous que l’utilisation de WeTransfer n’est pas compatible RGPD ? Cet outil transfère des données sans aucun chiffrement… (les données personnelles présentes dans les documents sont donc accessibles) Chez Axens, nous utilisons Teemsi Transfert, un service français payant mais compatible RGPD.
Attention, ce n’est ici qu’un exemple et des sujets comme votre site internet, Google Analytics ou encore la cybersécurité sont également primordiaux vis-à-vis des données personnelles et de leur éventuel transfert. Focus sur tout ce qu’il faut savoir dans la suite de cet article RGPD 2023.
Vous pouvez également consulter le plan stratégique de la CNIL dans le détail directement sur le site internet de la CNIL.
La mise en conformité de votre site internet pour être en accord avec le RGPD 2023
La mise en conformité des sites internet était un point important en 2022 et il le sera tout autant, si ce n’est plus, en 2023.
En effet, en 2021, le RGPD a évolué quant à la mise en conformité RGPD des sites internet. Les sites internet, par le biais de modules, d’outils d’analyse ou encore des cookies, récoltent énormément de données sur les internautes. Le RGPD vous oblige donc à mettre votre site en conformité pour que celui-ci soit plus respectueux des données personnelles des internautes qui le visitent. Il y a trois grands principes à respecter ici :
- La protection des données personnelles.
- Le respect des règles en matière de cookies et de traceurs.
- La cybersécurité des sites web.
Ainsi, en 2022, de nombreuses entreprises ont été sanctionnées notamment sur le sujet des cookies et traceurs (voir paragraphe précédent). Il est donc primordial pour votre entreprise de se mettre en conformité. Pour cela, nous avons rédigé un guide pour vous accompagner dans la mise en conformité RGPD de votre site internet.
RGPD 2023 : L’épineuse question de Google Analytics
Mise à jour Août 2023 : Google Analytics semble désormais en conformité RGPD. Nous vous invitons à consulter le lien précédent pour tout savoir sur les changements qui ont eu lieu du côté de Google et du coup de la CNIL pour rendre l’outil RGPD compatible.
Google Analytics est un outil permettant d’avoir accès à des données d’analyse précises concernant votre site internet.
Cet outil est un incontournable pour suivre les statistiques de visites de son site web. Malheureusement, en 2022, la CNIL a annoncé que Google Analytics n’était pas compatible RGPD. En cause, le transfert vers les États-Unis des données collectées par Google Analytics. Ainsi, tout site utilisant Google Analytics transfère les données de ses visiteurs vers les Etats-Unis. Ce transfert n’est pas conforme RGPD.
Pour être en conformité RGPD avec Google Analytics, il n’y a que deux solutions :
- Retirer totalement Google Analytics de son site web et le remplacer par un autre module compatible RGPD : Matomo, Piwik PRO Analytics, et bien d’autres à découvrir sur le site de la CNIL.
- Mettre en place la proxyfication pour ses données Google Analytics. La CNIL détaille tout ça dans cet article.
Aujourd’hui, il est difficile d’adopter l’une des deux solutions :
- Se débarrasser totalement de Google Analytics est très compliqué. L’outil est le plus performant sur le marché.
- Mettre en place la proxyfication est une solution compliquée et coûteuse.
Malgré cela, Google Analytics reste non compatible RGPD. Vous devez donc vous en débarrasser, ou adopter la proxyfication, pour être conforme au RGPD en 2023.
Toutefois, selon nous, il est impossible que Google ne corrige pas le tir dans les mois qui arrivent. Cela fera bientôt un an que la CNIL a communiqué sur la non conformité RGPD de Google Analytics. À cause de cela, Google Analytics se voit retiré de nombreux sites web et perd des parts de marché… De ce fait, c’est Google qui perd de la donnée ! Une denrée bien trop importante pour que la société américaine ne réagisse pas rapidement.
Il est également à noter qu’un accord de principe entre les Etats-Unis et l’Union Européenne a été trouvé pour « un nouveau cadre pour les flux de données transatlantiques ». Est-ce que cet accord permettra à Google Analytics de récolter et envoyer les données vers les Etats-Unis ? Réponse prochainement…
Nous mettrons donc à jour cette partie lorsqu’il y aura eu d’autres informations à ce sujet de la part de Google ou de la CNIL.
À noter : Désormais Google Analytics est compatible RGPD. Consultez le lien précédent pour tout savoir.
La cybersécurité toujours plus importante d’année en année
Comme nous l’avions déjà indiqué en 2022, la cybersécurité est une notion primordiale du RGPD. La CNIL indique dans son document sur la cybersécurité que ‘le RGPD est le seul texte à imposer des obligations de cybersécurité précises, de façon transversale, et soumises au pouvoir de contrôle et de sanction d’une autorité’.
La cybersécurité sera un élément essentiel de cette année 2023. Renforcer la cybersécurité de son entreprise, c’est participer à la mise en conformité RGPD de celle-ci. C’est une bonne chose… mais ce qui est réellement important, c’est que le risque cyber que votre entreprise court au quotidien n’a jamais été aussi important !
- Contexte géopolitique actuel (guerre en Ukraine) qui favorise les attaques informatiques.
- Développement de l’intelligence artificielle qui sera, à coup sûr, utilisée par les pirates.
- Les attaques informatiques qui ont été multipliées par 10 en trois ans.
Votre entreprise et vous même êtes plus que jamais des cibles pour les pirates informatiques.
La cybersécurité est donc un maillon essentiel du RGPD 2023 que vous devrez respecter sous peine de sanctions ou, encore pire, de risque de piratage.
À lire : 5 astuces pour se protéger des piratages informatiques.
RGPD 2023 : En conclusion
Il est primordial pour votre entreprise d’être en conformité RGPD. En ne respectant pas le RGPD 2023, vous vous exposez à de lourdes sanctions de la CNIL.
De plus, il faut bien comprendre que respecter le RGPD, c’est comprendre que votre entreprise doit travailler de manière éthique avec les données personnelles qu’elle traite. Ce sujet n’a jamais été aussi important à l’heure où tous nos outils de travail sont interconnectés : Ordinateurs, smartphones, tablettes, réseaux sociaux, cloud, emails, etc… et cela dans un contexte où le risque cyber n’a jamais été aussi élevé.
De nombreuses entreprises travaillent sur la responsabilité sociétale des entreprises (RSE) pour travailler de manière plus éthique au quotidien. Il vous est d’ailleurs possible d’acquérir un audit RSE facilement pour évaluer votre entreprise sur ce sujet. Il est donc logique d’en faire de même pour le traitement des données qui est aujourd’hui primordial.
N’hésitez plus et mettez vous en conformité avec le RGPD 2023 !
À noter : Attention, si vous passez par un prestataire externe pour votre mise en conformité RGPD ! De très nombreuses arnaques RGPD existent. Soyez donc vigilants.