11 décembre 2018

RGPD : où en est-on, 6 mois après ?

Six mois après l’entrée en application du RGPD, le 25 mai 2018, il est temps de faire un petit bilan de ce que ce nouveau règlement sur les données a changé pour les entreprises, et plus particulièrement pour celles du secteur des relations presse.

Prise de conscience sur la sécurité des données personnelles

Au printemps 2018, il était quasiment impossible de passer à côté du principal sujet d’actualité entreprise et technologie : le RGPD. Depuis, l’été est passé par là, et les articles sur le sujet sont quelque peu retombés.

Néanmoins, alors que le RGPD vient de célébrer son 6ème mois d’existence, l’heure du premier bilan a sonné. À commencer par celui de la CNIL publié fin septembre, dont voici les principaux chiffres :

• 24 500 organismes affirment avoir désigné un délégué à la protection des données (DPO pour « data protection officer» en anglais), qui est « LA » fonction au centre de la mise en conformité des entreprises au RGPD ;

• 600 notifications de violations de données, touchant 15 millions de personnes, ont déjà été reçues ;

• 3767 plaintes ont été déposées depuis le 25 mai, soit une augmentation de 64% par rapport à l’année précédente, témoignant du fait que les citoyens se sont fortement saisis du RGPD.

Ces chiffres prouvent qu’il y a une réelle prise de conscience des risques qui pèsent sur la sécurité des données personnelles, grâce notamment à l’affaire Cambridge Analytica, qui concernait, pour rappel, l’utilisation illégale des données personnelles de 87 millions d’utilisateurs Facebook pour influencer la campagne électorale américaine de 2016. Selon la CNIL, les entreprises s’adaptent progressivement ; il y a également une prise de conscience plus forte de la part des citoyens sur les questions de protection et de sécurisation de leurs données personnelles.

Ce bilan plutôt positif est venu contraster une étude de Talend, publiée quelques jours avant, affirmant que 70% des sociétés européennes ne parviennent pas encore à répondre à l’une des obligations imposées par le RGPD, à savoir répondre aux demandes d’accès aux données personnelles et de portabilité dans le délai d’un mois qui leur est imparti, dès réception de la demande. Ainsi donc, si prise de conscience il y a, celle-ci n’est pas forcément doublée d’un respect absolu des obligations du RGPD en matière de procédures de stockage, d’organisation et de récupération des données.

Différences entre secteurs sur la procédure d’application du RGPD 

Il semble néanmoins y avoir des disparités quant à l’application du règlement européen en fonction des secteurs. Les entreprises du secteur commercial auraient en effet plus de difficultés à appliquer le RGPD, avec 76% d’entre elles incapables de répondre aux demandes formulées, contre une moyenne de 70% en France. Cela s’explique par les pratiques d’achat en ligne et notamment l’enregistrement des coordonnées bancaires pour les paiements. En comparaison, le secteur des services financiers semble être le plus performant en ce qui concerne l’application du RGPD, même si le taux de réponse aux demandes n’atteint pas plus de 50%.

Il n’est pas surprenant de constater que les sociétés qui parviennent à répondre aux demandes dans les délais impartis sont davantage celles qui fournissent des services technologiques ou en ligne, comme les banques en ligne ou les fournisseurs de contenus « online » par exemple.

Du côté de la santé, les défis à relever et les difficultés à surmonter sont également nombreux, en particulier dans le cadre de l’essor de la e-santé. Ce secteur est amené à concentrer sur lui une bonne partie des regards en matière d’application du RGPD dans les prochains mois.

L’application du RGPD dans notre métier des RP

Du côté des relations presse, nous sommes bien placés pour témoigner de ce que le RGPD a pu changer dans notre pratique quotidienne. En effet, à cause de la surcharge d’informations envoyées chaque jour aux journalistes par les agences de presse, 27% d’entre eux se sont récemment dits prêt à recourir au RGPD s’ils se sentaient trop sollicités.

En bonne agence de RP, nous nous sommes bien entendu renseignés en amont de l’entrée en vigueur du RGPD sur les nouvelles obligations qui nous incombaient dans nos contacts quotidiens avec les journalistes. Nous avons ainsi nommé une personne en charge de ces questions au sein de l’agence qui nous informe et n’hésite pas à nous taper sur les doigts si on ne respecte à la lettre les nouvelles pratiques liées au RGPD. Nous avons notamment ajouté à nos échanges avec les journalistes un lien mailto de désabonnement, sur lequel il suffit à nos destinataires de cliquer s’ils souhaitent être retirés de notre liste de distribution. Il s’agit d’une pratique très facile à mettre en place et à expliquer à tous les membres de l’équipe, ainsi qu’une bonne façon de nous protéger des plaintes relatives aux listes de diffusion. Par ailleurs, nous utilisons Hors Antenne pour l’envoi de nos communiqués (son concurrent Datapresse fonctionne très bien aussi). Avant l’entrée en vigueur du RGPD, nous avons pris contact avec ces derniers afin de nous assurer de la bonne conformité de la plateforme au nouveau règlement.

De manière générale, les PME et TPE, qui sont le format d’entreprise le plus répandu parmi les agences de relations presse, ont tendance à considérer l’application du RGPD comme une difficulté, un poids conséquent face à la petitesse de leur structure, car cela leur impose des coûts supplémentaires. Il leur est plus volontiers conseillé d’opter pour un système externalisé et de mutualisation pour limiter les coûts et les risques.

Six mois après son application généralisée en France, et dans les autres pays d’Europe, le RGPD reste très présent dans l’esprit de chacun, aussi bien à titre personnel que professionnel. Le règlement a forcément eu un impact, à plus ou moins grande échelle, sur le quotidien de chaque employé, et finira très certainement par devenir un réflexe pour protéger encore mieux nos données personnelles. Ce qui est certain, c’est qu’il n’y a pas eu de vague massive de rejet de ces dispositions, ni de blocage inattendu venant discréditer le bienfondé du règlement. On peut donc s’attendre à voir le RGPD s’instaurer progressivement comme une norme, ouvrant la voie à une nouvelle ère de protection des données.

 

Elodie Buch