Un avant-goût du RGPD

Même si le RGDP nourrit toutes les réflexions depuis plusieurs mois, qui est vraiment prêt ?

Le 8 janvier 2018, au titre de son pouvoir de sanction, la CNIL (Commission nationale de l’informatique et des libertés) a infligé une amende de 100 000 € à une grande enseigne de distribution pour avoir manqué à son obligation « de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel traitées dans le cadre de la gestion des demandes de service après-vente de ses clients ». A l’origine de cette affaire, une brèche de sécurité dans un formulaire client en ligne (formulaire développé par un sous-traitant de l’enseigne) permettant ainsi d’accéder à des données personnelles.

S’appuyant sur les textes aujourd’hui applicables (article 34 de la loi du 6 janvier 1978), la CNIL a considéré que le fait que le développement incriminé ait été réalisé par un prestataire ne déchargeait pas la société – en sa qualité de responsable de traitement – de son obligation de préserver la sécurité des données traitées pour son compte.

Ainsi, le RGPD, avant d’être une révolution, est avant tout le prolongement d’un dispositif existant qui met le responsable de traitement au centre de la protection des données personnelles. Les changements majeurs portent d’une part sur les obligations qui pèsent sur le responsable de traitement et d’autre part les montants des sanctions prévues, qui sont significativement revues à la hausse.

Le présent cas confirme aussi que les sanctions prévues par la Loi pour une République numérique du 7 octobre 2016 sont bien appliquées. La mise en application du RGPD alourdira toutefois la peine pour les entreprises défaillantes, puisque l’amende maximale sera le plus élevé des deux montants suivants : 20 millions d’euros ou 4% du chiffre d’affaires monde de l’exercice précédent.

L’obligation qui pèse sur le responsable de traitement de se porter garant de ses sous-traitants va nécessairement engendrer une multitude de recours. Ce sujet, qui nécessite par ailleurs de sécuriser la chaîne contractuelle client / fournisseur, ainsi que l’augmentation des attaques cyber, accroissent les risques informatiques sur les entreprises. De leur côté, les volets RC des polices d’assurance attendent la date fatidique du 25 mai 2018 pour passer le baptême du feu.