Même des années après l'entrée en vigueur du RGPD, de nombreuses entreprises commettent des erreurs graves en matière de protection des données. Nous présentons les 15 infractions les plus fréquentes et comment y remédier de manière conforme.
La protection des données n'est pas un projet mais un état permanent
Le Règlement Général sur la Protection des Données (RGPD) s'applique directement dans tous les États membres de l'UE depuis mai 2018. Pourtant, les rapports d'audit des autorités de contrôle dressent un tableau préoccupant : de nombreuses entreprises, en particulier les PME, présentent des déficits considérables dans la mise en œuvre. Les amendes ne cessent d'augmenter. Rien qu'en Allemagne, les autorités de protection des données ont infligé en 2024 des amendes se chiffrant en dizaines de millions d'euros.
La bonne nouvelle : la plupart des erreurs sont évitables si vous connaissez les pièges typiques et les abordez de manière systématique. Nous vous présentons ci-après les 15 erreurs les plus fréquentes en matière de RGPD et montrons des solutions concrètes.
Les 15 erreurs les plus fréquentes en matière de RGPD
Erreur 1 : Politique de confidentialité absente ou incomplète
Chaque site internet, application et formulaire en ligne nécessite une politique de confidentialité complète conformément aux art. 13 et 14 RGPD. Les manquements fréquents incluent l'absence d'informations sur le responsable du traitement, l'énumération incomplète des finalités du traitement ou des bases juridiques obsolètes.
Solution : Vérifiez votre politique de confidentialité au moins tous les six mois. Chaque nouveau traitement, tel qu'un nouvel outil d'analyse ou un service de newsletter, doit être intégré rapidement.
Erreur 2 : Gestion du consentement non conforme
Les bannières de cookies qui n'affichent qu'un bouton « Tout accepter » ou qui utilisent des cases pré-cochées enfreignent le RGPD et le TDDDG (anciennement TTDSG). Les autorités de contrôle et les tribunaux agissent de plus en plus contre les « dark patterns ».
Solution : Mettez en place une plateforme de gestion du consentement (CMP) telle que Usercentrics, Cookiebot ou Borlabs Cookie, offrant des options équivalentes pour accepter et refuser. Assurez-vous qu'aucun cookie de suivi n'est effectivement déposé avant le consentement.
Erreur 3 : Contrats de sous-traitance (AVV) absents ou déficients
Chaque prestataire qui traite des données personnelles pour votre compte nécessite un contrat de sous-traitance conformément à l'art. 28 RGPD. Cela concerne les fournisseurs de cloud, les prestataires informatiques, les bureaux de paie, les services de newsletter et bien d'autres.
Solution : Établissez une liste complète de tous les sous-traitants. Vérifiez qu'un AVV valide existe pour chacun d'entre eux. De nombreux prestataires proposent des AVV standardisés que vous devez néanmoins vérifier au regard de vos exigences spécifiques.
Erreur 4 : Registre des activités de traitement manquant
Le registre des activités de traitement conformément à l'art. 30 RGPD est obligatoire pour la quasi-totalité des entreprises. Il documente l'ensemble des processus de traitement des données et constitue le fondement de toute démonstration de conformité.
Solution : Créez un registre structuré contenant au minimum les informations suivantes : désignation de l'activité de traitement, finalité, catégories de personnes concernées et de données, destinataires, transferts vers des pays tiers, délais d'effacement et mesures techniques et organisationnelles. Mettez-le à jour à chaque modification.
Erreur 5 : Traitement insuffisant des données des employés
Le traitement des données des employés est soumis à des exigences strictes en vertu du § 26 BDSG. Les erreurs fréquentes incluent l'utilisation privée de messageries instantanées pour la communication professionnelle, la surveillance illicite des e-mails ou l'absence de consentement pour les photos des employés sur le site internet.
Solution : Élaborez une directive interne relative au traitement des données dans le cadre de la relation de travail. Réglementez clairement l'utilisation des systèmes informatiques et recueillez des consentements valables pour les traitements non nécessaires.
Erreur 6 : Absence d'analyse d'impact relative à la protection des données (AIPD)
Une AIPD conformément à l'art. 35 RGPD est obligatoire pour les traitements présentant un risque élevé pour les droits et libertés des personnes physiques. Les autorités de contrôle ont publié des listes positives identifiant les traitements concrets pour lesquels une AIPD doit être réalisée.
Solution : Vérifiez sur la base de la liste positive de votre autorité de contrôle compétente si une AIPD est requise pour vos activités de traitement. C'est régulièrement le cas pour la vidéosurveillance, les procédures de scoring ou le profilage étendu.
Erreur 7 : Transferts de données illicites vers des pays tiers
Le transfert de données personnelles vers des pays situés en dehors de l'EEE nécessite des mesures de protection particulières. Suite à l'arrêt « Schrems II » et au EU-US Data Privacy Framework, des incertitudes considérables persistent, notamment concernant l'utilisation de services cloud américains.
Solution : Documentez la base juridique de chaque transfert vers un pays tiers. Utilisez les clauses contractuelles types de l'UE dans leur version actuelle et réalisez une évaluation d'impact du transfert (TIA) pour chaque transfert.
Erreur 8 : Mesures techniques et organisationnelles (MTO) insuffisantes
L'art. 32 RGPD vous oblige à mettre en œuvre des MTO appropriées. De nombreuses entreprises ne disposent d'aucune politique de sécurité informatique documentée, utilisent des mots de passe non sécurisés ou ne chiffrent pas les données sensibles.
Solution : Documentez vos MTO de manière exhaustive et actualisez la documentation régulièrement. Les exigences minimales comprennent : contrôle d'accès physique et logique, chiffrement, pseudonymisation lorsque c'est possible, sauvegardes régulières et un concept d'autorisation.
Erreur 9 : Absence de procédure en cas de violation de données
Conformément à l'art. 33 RGPD, les violations de données doivent être notifiées à l'autorité de contrôle dans un délai de 72 heures. De nombreuses entreprises ne disposent ni d'un système de détection ni d'une procédure de notification définie.
Solution : Mettez en place un plan de réponse aux violations de données. Définissez qui doit être informé en interne, qui effectue la notification à l'autorité de contrôle et comment les personnes concernées sont informées conformément à l'art. 34 RGPD. Testez le processus au moins une fois par an.
Erreur 10 : Non-respect des délais d'effacement et de conservation
Le RGPD exige l'effacement des données personnelles dès que la finalité du traitement a cessé (art. 17 RGPD). Parallèlement, des obligations légales de conservation existent, notamment en vertu du HGB et de l'AO. Cette tension est une source fréquente d'erreurs.
Solution : Élaborez un concept d'effacement prenant en compte tous les délais de conservation pertinents. Mettez en place des routines d'effacement automatisées dans vos systèmes informatiques et documentez les opérations d'effacement.
Erreur 11 : Absence de réponse aux demandes des personnes concernées
Les demandes formulées au titre des art. 15 à 22 RGPD (accès, rectification, effacement, portabilité) doivent recevoir une réponse dans un délai d'un mois. De nombreuses entreprises n'ont pas de processus défini et dépassent les délais.
Solution : Établissez un processus standardisé pour le traitement des demandes des personnes concernées. Préparez des modèles de réponse et formez vos collaborateurs à l'identification et à la transmission de ces demandes.
Erreur 12 : Délégué à la protection des données absent ou non qualifié
Les entreprises comptant au moins 20 personnes régulièrement occupées au traitement automatisé des données doivent désigner un délégué à la protection des données (DPO) conformément au § 38 BDSG. Le DPO doit disposer des compétences requises.
Solution : Vérifiez si votre entreprise est soumise à l'obligation de désignation. Évaluez si un DPO interne ou externe est plus approprié pour votre situation. Assurez-vous que le DPO bénéficie de l'indépendance et des ressources nécessaires.
Erreur 13 : Protection des données négligée dans les actions marketing
L'e-mail marketing sans consentement valable (double opt-in), le tracking illicite ou l'achat de fichiers d'adresses restent des infractions répandues.
Solution : Mettez en place une procédure de double opt-in conforme pour les newsletters. Documentez tous les consentements de manière infalsifiable et proposez un mécanisme de désinscription simple.
Erreur 14 : Absence de formation des employés à la protection des données
Les meilleures mesures techniques sont de peu d'utilité si vos collaborateurs ne sont pas sensibilisés. Les e-mails mal adressés, les mots de passe non sécurisés et les attaques d'ingénierie sociale sont des causes fréquentes de violations de données.
Solution : Organisez au moins une fois par an des formations obligatoires à la protection des données. Complétez-les par des informations régulières sur les menaces actuelles et les nouvelles exigences.
Erreur 15 : Protection des données non prise en compte dans les projets (Privacy by Design)
L'art. 25 RGPD exige la protection des données dès la conception et par défaut. Les nouveaux systèmes informatiques, applications ou processus doivent être conçus de manière conforme à la protection des données dès le départ.
Solution : Intégrez un contrôle de protection des données dans votre processus de planification de projet. Impliquez votre DPO dès le début des nouveaux projets et documentez les décisions prises en matière de protection des données.
Évaluer de manière réaliste les risques d'amende
Le RGPD autorise des amendes pouvant atteindre 20 millions d'euros ou quatre pour cent du chiffre d'affaires annuel mondial. En pratique, les autorités de contrôle échelonnent les amendes selon la gravité de l'infraction :
- Amendes faibles (1 000 à 50 000 euros) : Infractions formelles telles que l'absence de registre ou des politiques de confidentialité incomplètes.
- Amendes moyennes (50 000 à 500 000 euros) : Absence d'AVV, MTO insuffisantes ou notifications tardives.
- Amendes élevées (à partir de 500 000 euros) : Infractions systématiques, transferts de données illicites ou non-respect des injonctions de l'autorité de contrôle.
Conclusion : la protection des données comme avantage concurrentiel
La conformité au RGPD n'est pas un exercice ponctuel mais un processus continu qui doit être intégré à la culture d'entreprise. Les entreprises qui prennent la protection des données au sérieux bénéficient d'une confiance accrue de leurs clients, de risques de responsabilité réduits et d'un véritable avantage concurrentiel.
L'équipe de compleneo vous accompagne dans l'examen systématique et l'optimisation de vos mesures de protection des données. Qu'il s'agisse d'une analyse des écarts, de la mise en place d'un système de gestion de la protection des données ou de la formation de vos collaborateurs, nous vous accompagnons de manière pragmatique et orientée solutions.
