Retour au Magazine du numérique

Protection des données personnelles : bilan de l’adoption du RGPD par les TPE PME

Actualité | Publié le 27 janvier 2025 | Mis à jour le 28 janvier 2025

Photo illustrative

Six ans se sont écoulés depuis l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018. Cette règlementation européenne, conçue pour renforcer et harmoniser la protection des données personnelles au sein de l'Union Européenne (UE), est devenue un pilier de notre environnement numérique. Mais quel est son impact réel, notamment pour les TPE PME ? A-t-il véritablement transformé la protection de la vie privée ?

Le RGPD : un changement profond pour le traitement des données

Le Règlement Général sur la Protection des Données (RGPD) a opéré une transformation majeure dans la façon dont les entreprises gèrent les données personnelles. Avant son application, la collecte et l'utilisation de ces informations, encadrées en France par la loi Informatique et Libertés de 1978 (révisée en 2004), étaient souvent peu respectées, et le cadre juridique variait considérablement au sein de l'UE. Le RGPD a instauré des obligations harmonisées pour les entreprises, tout en consolidant les droits des citoyens européens.

Parmi les principes clés du RGPD, on retrouve :

  • la licéité du traitement : les entreprises doivent justifier la collecte et le traitement des données, sans que le consentement soit systématiquement requis ; 
  • le droit à l'oubli : chacun peut demander la suppression de ses données personnelles sous certaines conditions ;
  • la portabilité des données : il est possible de récupérer ses données dans un format lisible et de les transférer à un autre service ;
  • la notification des violations de données : les entreprises doivent informer rapidement les personnes concernées en cas de faille de sécurité grave ;
  • des sanctions financières importantes : le non-respect du RGPD peut entrainer des amendes allant jusqu'à 4 % du chiffre d'affaires mondial d'une entreprise.

Des sanctions de plus en plus fréquentes et de plus en plus lourdes en cas de non conformité au RGPD

Si les premières années d'application du RGPD ont été marquées par une certaine indulgence des autorités de contrôle, qui ont privilégié l'accompagnement, la tendance s'est inversée. Depuis 2020, le nombre et le montant des amendes pour non-respect du RGPD ont considérablement augmenté.

Des amendes records ont été infligées à des géants comme Amazon (746 millions d'euros au Luxembourg en 2021) et Meta (265 millions d'euros en Irlande en 2022). En France, la CNIL a également sanctionné Google (100 millions d'euros) et Amazon (35 millions d'euros) pour des manquements liés aux cookies.

Ces sanctions, largement médiatisées, ont renforcé la sensibilisation des entreprises, y compris les PME TPE, à l'importance de la conformité au RGPD.

Un bilan positif, des efforts à poursuivre

Six ans après son entrée en vigueur, le RGPD présente un bilan globalement positif. Il a renforcé la protection des données personnelles et sensibilisé le public à ces enjeux. Il a également eu un impact significatif sur les pratiques des entreprises et est devenu une référence mondiale.

Des effets concrets pour les entreprises... et les utilisateurs

Le RGPD a indéniablement influencé les pratiques des entreprises, y compris les TPE PME, en matière de gestion des données. Elles ont largement adapté leurs processus internes, leurs systèmes d'information et leurs politiques de confidentialité pour se conformer à la règlementation.

Pour les utilisateurs, cela s'est traduit par des changements visibles : multiplication des bandeaux cookies sur les sites web, mise à jour des conditions générales d'utilisation et des politiques de confidentialité, apparition d'outils pour gérer les préférences en matière de données, et communications plus fréquentes des entreprises sur leurs pratiques de protection des données.

Au-delà de ces aspects visibles, le RGPD a également incité de nombreuses entreprises à repenser leur approche globale de la gestion des données, en intégrant le principe de protection de la vie privée dès la conception (en anglais privacy by design) dans le développement de leurs produits et services.

Un modèle qui inspire à l'international

L'un des succès majeurs du RGPD est son influence mondiale. Cette règlementation européenne est devenue une référence, inspirant de nombreux pays à adopter des lois similaires, comme le California Consumer Privacy Act (CCPA) aux États-Unis, la LGPD au Brésil, et même une loi sur la protection des informations personnelles en Chine.

Cette influence contribue à l'émergence d'un standard international en matière de protection des données, bénéficiant ainsi aux citoyens du monde entier.

Des défis persistants et de nouvelles problématiques

Malgré ces avancées, l'application du RGPD rencontre encore des difficultés : 

  • la mise en conformité qui représente pour de nombreuses TPE PME un défi technique et financier important est loin d'être généralisée ;
  • le volume croissant de plaintes auquel sont confrontés les autorités de contrôle entrave le traitement rapide des dossiers ;
  • l'émergence de nouvelles technologies, comme l'intelligence artificielle et la blockchain, soulève de nouvelles questions en matière de protection des données ;
  • L'articulation avec les autres règlementations numériques  est également un point important : législation sur les marchés numériques (DMA), règlement sur les services numériques (DSA), règlement sur l’intelligence artificielle, etc.) ;
  • l'application extraterritoriale du RGPD aux entreprises non européennes opérant sur le territoire de l'UE reste également complexe, notamment pour les géants du numérique basés aux États-Unis ; 
  • la sensibilisation des citoyens reste un enjeu majeur, et de nouvelles difficultés sont apparues, comme la question du transfert des données hors de l'UE, avec l'incertitude juridique liée à la succession des accords entre l'UE et les États-Unis.

Vers une évolution du RGPD ?

Face à ces défis, la Commission européenne a lancé en 2024 une évaluation du RGPD, qui pourrait aboutir à des ajustements pour l'adapter aux évolutions technologiques et aux nouveaux enjeux. 

Des pistes envisagées incluent le renforcement des moyens des autorités de contrôle, la simplification des procédures pour les TPE PME et un encadrement plus strict des transferts de données hors de l'UE.

Être accompagné par un professionnel de la protection des données personnelles

Des défis importants subsistent, notamment pour les TPE PME, et des efforts constants sont nécessaires pour garantir une application effective et uniforme du RGPD. Ces entreprises ont un rôle à jouer en restant vigilantes et en exerçant leurs droits. C'est ainsi que nous pourrons pleinement bénéficier de la protection offerte par le RGPD et contribuer à un environnement numérique plus respectueux de la vie privée.

Être accompagné par un expert de la gestion des données personnelles, est un moyen de s’assurer à la fois du respect des obligations légales et de la protection des droits et libertés des personnes, salariés, prospects ou clients. L'expert apporte ses conseils et ses recommandations pour atteindre le meilleur niveau de protection des données personnelles traitées par l’entreprise. 

Faites appel à un délégué à la protection des données (DPD)

Le recours à un délégué à la protection des données (DPD ou DPO pour « Data Protection Officer »), s'il n'est obligatoire selon le RGPD que dans certains cas précis (notamment le traitement de données massives ou de données sensibles), doit être considéré comme un moyen privilégié de s’assurer, à la fois du respect des obligations légales et de la protection des droits et libertés des personnes, salariés, prospects ou clients.

Selon ses missions, définies par le RGPD, le DPD apporte ses conseils et ses recommandations pour atteindre le meilleur niveau de protection des données personnelles traitées par l’entreprise. Il est également chargé de la sensibilisation des salariés sur ces sujets. 

S’il n’est pas toujours possible pour une TPE PME de recruter un DPD (à temps plein ou en complément d’une autre mission) pour assurer cette fonction essentielle faire appel à un DPD externe, à qui vous sous-traitez cette mission, est une solution alternative souvent adaptée à ce contexte.

Recherchez un expert spécialisé en gestion des données personnelles près de chez vous

Les Activateurs France Num sont des experts du numérique, publics ou privés, qui se sont référencés auprès de France Num et se sont engagés à réaliser un premier entretien gratuit.

Sous-domaine

En savoir plus

Article rédigé par Patrick Blum, délégué général de l'Association Française des Correspondants à la protection des Données à caractère Personnel. L'AFCDP, partenaire de France Num, regroupe plus de 6 500 professionnels de la conformité au RGPD et à la Loi Informatique et Libertés : Délégués à la Protection des Données (DPD/DPO), juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.

Julien Karachehayas | Tous droits réservés

Dans la même thématique

Cette page vous a-t-elle été utile ?

Suivez-nous sur les réseaux sociaux et Abonnez-vous à notre lettre d’information