RGPD, un an après : des bonnes pratiques aux manquements
Un an après la mise en application du RGPD le 25 mai 2018, nous vous proposons un tour d’horizon des principales évolutions des interfaces front web et mobile des entreprises tirées de notre baromètre RGPD, un an après.
Des évolutions incontestables
Elément phare du RGPD, la charte des données personnelles s’est largement démocratisée. Aujourd’hui adoptée par 78% des acteurs, elle permet de communiquer clairement la politique d’utilisation des données auprès des utilisateurs. En 2017, 12% des sites audités ne donnaient aucune information sur les données collectées et traitées, 84% des acteurs ne précisaient ni les destinataires ni les informations de partage des données personnelles. Cette évolution va de pair avec l’adoption progressive de “Privacy Centers”, pour 67% des acteurs : ils permettent à un utilisateur de gérer les consentements qu’il aura préalablement donné ou non à l’entreprise.
Les utilisateurs ont aussi pu voir le bandeau cookies correctement implémenté chez 86% des acteurs. Globalement, ils sont aussi de mieux en mieux informés sur l’exercice de leurs droits.
Un constat plus mitigé sur des problématiques plus complexes
Si les interfaces privacy center constituent de réelles avancées, le consentement qui en est le prérequis ne reste que très peu implémenté. Par exemple, 70% des acteurs n’en demandent pas pour la prospection commerciale. Le sujet du consentement des mineurs, complexe à la mise en oeuvre, ne semble souvent que partiellement traité voire omis.
Par ailleurs, le degré d’information présenté à l’utilisateur peut également paraître insuffisant, avec des mentions dans les formulaires en deçà des recommandations “par strates” de la CNIL. De plus, les implémentations de ces mentions d’informations varient parfois selon le parcours du site, ce qui peut s’interpréter comme un manque de gouvernance transverse de l’entreprise quant au traitement du sujet RGPD.
Quels sont les nouveaux enjeux pour les Data Protection Officers (DPO) ?
Un an plus tard, on peut avoir l’impression que le pic d’énergie dédiée à la mise en conformité est derrière nous. Cependant, un effort continu est nécessaire.
Par exemple, le maintien et la mise à jour des registres des traitements sont essentiels, puisque c’est cette documentation qui permet au DPO de rester au contact des différents traitements métiers et d’assurer la bonne application des mesures opérationnelles dès la conception des nouveaux projets. Cette démarche “privacy by design” doit également prendre en compte la formation des métiers pour inculquer les bons réflexes.
De plus s’entourer d’experts et de ressources pouvant assister ces équipes est également important. Enfin, une dernière bonne pratique est de suivre l’évolution des sanctions et des jurisprudences (pour prioriser voire adapter certaines mesures) mais aussi de la réglementation elle-même, avec par exemple les travaux en cours sur ePrivacy qui pourrait impacter le dépôt de cookies lors de la navigation d’un potentiel client.
Pour en savoir plus, Converteo restituera le benchmark “les Consent Management Platforms (CMP) : les outils de la conformité RGPD” le Vendredi 24 mai à 11h25 lors du Digital Benchmark de l’EBG à Berlin.
Auteur : Charline Goret, Consultante, Practice Media x CRM