Logo Oratio Avocats
Expertises Nos équipes Bureaux Enjeux À propos Actualités Recrutement
Expertises Droit des sociétés Fiscalité Contrat, distribution, consommation Droit social Restructuration Contentieux des affaires, arbitrage, médiation IT, protection des données, IP Droit immobilier Droit pénal Droit rural Droit patrimonial Toutes nos expertises
Bureaux Angers Anglet Chartres Cholet La Rochelle Le Mans Les Sables d'Olonne Lorient Lyon Montaigu Nantes Paris Rennes Saumur Strasbourg Toulouse Tours Vienne Villefranche-sur-Saône
Enjeux Levée de fonds Création d’entreprise Financements structurés Innover, développer une start-up Mobilité internationale Tous les enjeux
À propos Qui sommes-nous ? Baker Tilly International Politique RH Notre engagement RSE Fondation Baker Tilly & Oratio Usurpation d’identité
Réseaux sociaux
linkedin youtube
Now, for tomorrow
Logo Oratio Avocats
Recrutement Recrutement Nous contacter
AccueilActualitésBilan et avenir du RGPD

Regard d'experts

Bilan et avenir du RGPD

Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 24 mai 2016 et s’applique depuis le 25 mai 2018, avec pour objectif d’encadrer la manière dont les différentes organisations publiques et privées, en ce compris les entreprises, traitent les données personnelles. Cédric Berto, avocat associé du cabinet Oratio avocats nous fait un bilan de l’application du RGPD et va évoquer les perspectives…

Contacter un expert chevron

Publié le : 7 juin 2024

Auteur

Cédric BERTO
back link

En premier lieu, pouvez-vous nous faire un bref rappel de ce qu’est le RGPD ?

Cédric Berto : Le Règlement général sur la protection des données (RGPD) est un texte européen, applicable depuis le 25 mai 2018, visant à définir un cadre juridique unifié au sein de l’Union européenne (UE) en matière de protection des données personnelles.

En France, cela s’est traduit par la suppression, à quelques exceptions près, des obligations déclaratives auprès de la CNIL, autorité de régulation en la matière. À la place, les organisations, dont les entreprises, ont été responsabilisées à travers le principe d’« accountability ». Concrètement, elles ont l’obligation de mettre en œuvre des mécanismes et des procédures internes permettant de respecter les règles relatives à la protection des données personnelles et d’être en mesure d’en justifier à tout moment.

En résumé , le RGPD comporte quelques grands principes :

  • finalité et minimisation : seules les données personnelles strictement nécessaires pour atteindre un objectif légitime peuvent être collectées  ;
  • transparence : les personnes concernées doivent être informées clairement de l’utilisation qui est faite de leurs données personnelles dès leur collecte, de leurs droits, ainsi que de leurs modalités d’exercice ;
  • droit des personnes : les personnes concernées doivent pouvoir exercer leurs différents droits (accès, rectification, suppression, opposition) ;
  • durée de conservation : les données personnelles utilisées doivent être conservées uniquement le temps nécessaire à la réalisation de l’objectif légitime poursuivi ;
  • sécurité des données : toutes les mesures utiles doivent être mises en œuvre pour garantir la sécurité des données personnelles, notamment la sécurité physique et informatique ;
  • démarche continue : la mise en conformité doit être faite dans une démarche continue afin d’adapter les procédures et les mesures de sécurité, le cas échéant.

Par ailleurs, selon les situations, les entreprises peuvent être tenues de nommer un Délégué à la Protection des données (ou « Data Protection Officer » – DPO). Celui-ci peut être interne à l’entreprise (donc un salarié de l’entreprise) mais également une personne extérieure.

Cela fait désormais plus de 5 ans que le RGPD est applicable. Quel bilan peut-on en faire ?

Cédric Berto : Il est possible de faire un bilan chiffré depuis l’entrée en application du RGPD. Ainsi, entre mai 2018 et mai 2023, la CNIL indique avoir reçu 17 483 notifications de violations de données. Elle précise toutefois que ce volume ne reflète pas le nombre réel d’incidents puisqu’un même évènement, tel qu’un piratage, peut donner lieu à de multiples notifications, notamment lorsqu’un prestataire est touché par une attaque et la notifie à ses clients, conformément au RGPD, lesquels vont ensuite eux-mêmes effectuer leurs propres notifications. Par ailleurs, toutes les violations de données ne sont pas forcément notifiées à la CNIL…

Dans tous les cas, les notifications n’ont pas cessé d’augmenter pendant cette période, ce qui laisse supposer un nombre important d’atteintes aux données mais aussi une meilleure connaissance et prise en compte du RGPD par les différentes organisations.

Quant aux origines des violations de données, plus de la moitié des notifications résultent de situations de piratage (rançongiciels, hameçonnages, etc.). Les autres sources de violations de données les plus fréquentes sont les pertes ou les vols d’équipements, les envois indus et les publications involontaires.

 Et comment la CNIL traite-t-elle les notifications de violation de données ?

Cédric Berto  : À l’heure actuelle, la CNIL privilégie l’accompagnement des organisations plutôt que la répression. Son but est de les aider à prendre les mesures nécessaires pour limiter les conséquences d’une violation pour les personnes concernées et pour les organisations elles-mêmes. Elle apporte également un conseil sur les mesures préventives en matière de cybersécurité.

Il faut tout de même noter une accélération des sanctions. En effet, depuis janvier 2024, la CNIL a rendu 15 nouvelles décisions de sanctions dans le cadre de la procédure simplifiée, contre seulement 24 décisions de ce type pour la totalité de l’année 2023.

Pour rappel, la procédure simplifiée permet à la CNIL de sanctionner les organisations qui ne sont pas en conformité avec le RGPD d’une amende d’un montant maximum de 20 000 €.

Par ailleurs, la CNIL informe chaque année les organisations des sujets dont elle fera une priorité lors de ses contrôles de conformité au RGPD. Pour l’année 2024, il s’agit :

  • de la collecte de données personnelles dans le cadre des Jeux Olympiques et Paralympiques ;
  • des données des mineurs collectées en ligne ;
  • des programmes (notamment de fidélité) de la grande distribution ;
  • du respect des droits d’accès aux données.

 Y a-t-il d’autres choses à retenir sur le bilan que l’on peut faire du RGPD ?

Cédric Berto  : Oui, la CNIL s’est également intéressée aux conséquences économiques du RGPD sur les entreprises.

Elle a noté que les études économiques montrent que la mise en œuvre du RGPD a engendré des coûts inévitables pour les entreprises afin de se mettre en conformité avec la réglementation.

Ces coûts sont plus importants pour les petites entreprises car les grandes entreprises ont les moyens de se conformer au RGPD plus facilement, ce qui a pu créer un avantage concurrentiel. En revanche, les grandes entreprises sont plus souvent contrôlées par la CNIL.

Concernant les bénéfices économiques, peu d’études s’y sont encore intéressées en détail. En pratique, elles expliquent que ces bénéfices se traduisent par une amélioration de la réputation vis-à-vis des clients et des partenaires, un renforcement de la sécurité informatique et une meilleure compréhension de l’importance de la gestion des données au sein de l’entreprise.

Après avoir fait un bilan du RGPD, peut-on parler de l’avenir du RGPD. Y a-t-il des choses à anticiper ?

Cédric Berto  : Il y a deux enjeux liés au RGPD qui vont particulièrement concerner les entreprises dans les années à venir. Le premier est celui de la cybersécurité. En effet, les menaces cyber ne cessent de se développer, comme le montre une étude sur la cybercriminalité en 2023 publiée par Cybermalveillance.gouv.fr.

La méthode la plus utilisée en 2023 par les cybercriminels est celle des attaques par piratage de compte (+ 26 % par rapport à l’année 2022). Il est important de rappeler, à ce titre, que l’adoption d’une politique de mots de passe robuste est essentielle pour garantir une sécurité élémentaire. De plus, il peut être judicieux de mettre en place une solution de double authentification pour renforcer encore davantage la sécurité informatique de votre entreprise.

L’autre enjeu important est le développement de l’intelligence artificielle. À ce stade, il y a plusieurs choses à retenir : en premier lieu, l’« IA Act », texte européen encadrant l’IA en Europe, approuvé par le Conseil de l’Union Européenne le 21 mai 2024. Les entreprises doivent donc d’ores et déjà anticiper les conséquences juridiques de son application à venir et du développement/déploiement de ces technologies (cartographie, révision des contrats et des CGV, CGU, mise en place d’une charte d’usage, le cas échéant, analyse d’impact, obligation de transparence, protection de la propriété intellectuelle, dépendance technologique etc.), notamment en cas de recours à des technologies d’intelligence artificielle générative.

Par ailleurs, pour concilier le développement de systèmes d’IA avec les enjeux de protection de la vie privée, la CNIL a publié ses premières recommandations sur le sujet pour notamment :

  • déterminer le régime juridique applicable ;
  • définir une finalité ;
  • déterminer la qualification juridique des acteurs ;
  • définir une base légale ;
  • réaliser une analyse d’impact si nécessaire ;
  • tenir compte de la protection des données dès les choix de conception du système d’IA ;
  • tenir compte de la protection des données dans la collecte et la gestion des données.

En second lieu, il est important de rappeler que le lien entre la notion d’IA et celle de données personnelles est très fort. Dans ce cadre, comme vient de le rappeler la CNIL au début du printemps 2024, il existe deux normes ISO utiles à connaître afin de renforcer la protection des données personnelles : la norme ISO/IEC/ 27701 qui définit un « système de management de la protection de la vie privée » et la norme ISO/IEC/420001 qui définit un « système de management pour l’intelligence artificielle ».

Et pour compléter ces normes, en lien avec la cybersécurité cette fois-ci, il existe, depuis de nombreuses années, deux autres normes ISO qui peuvent vous servir :

  • la norme ISO/IEC 27001, qui certifie un système de management de la sécurité de l’information ;
  • la norme ISO/IEC 27002, qui détaille les bonnes pratiques pour la mise en œuvre des mesures de sécurité nécessaires.

 

Auteur

Cédric BERTO

Associé

Partager cet article

Logo Facebook Logo X Logo Linkedin Logo Mail
Oratio Avocats
Création d’entreprise Financements structurés Levée de fonds Mobilité internationale
Contentieux des affaires Contrat, Distribution, Consommation IP/IT Droit des sociétés Fiscalité
Droit patrimonial Droit pénal Droit rural Droit social Droit immobilier
Nos cabinets Nos avocats Fondation Baker Tilly & Oratio
Now, for tomorrow Flèche vers le haut
Logo Linkedin Logo Youtube

Ce site web a été développé dans une démarche d’écoconception.

En savoir plus sur l’écoconception

La société SELAS Oratio Avocats qui exerce ses activités sous le nom d’Oratio Avocats est membre du réseau mondial Baker Tilly International Ltd, dont les membres sont des entités juridiques distinctes et indépendantes.

Mentions légales • Politique de protection des données • Plan du site

© 2026 Oratio Avocats | Tous droits réservés