Vous n’avez normalement pas pu passer à côté du RGPD ou GDPR depuis fin mai 2018. Corrigeons tout de suite une erreur dans mon titre, il n’est pas entré en vigueur en mai 2018, mais il est devenu opposable et toutes les entreprises, associations et collectivités devaient avoir entamé leurs mise en conformité voir dans l’idéal l’avoir terminé au 25 mai 2018. Vous allez voir rapidement ce que cela a changé pour moi d’un point de vue opportunité, échange avec des dirigeants, mais aussi grogne sur Internet.
Ce que cela a impliqué directement pour moi ?
Comme beaucoup de mes collègues développeur / expert-cybersécurité le RGPD n’est pas uniquement un règlement supplémentaire pour venir ralentir nos travaux et nous faire perdre du temps. Les enjeux du RGPD sont importants et j’espère que nos concitoyens s’en rendront compte le plus vite possible.
En effet le RGPD a été pour moi une opportunité de travail, car j’ai eu à faire pas mal de développement de plugin notamment pour WordPress dans mon ancienne société. Pour cette société cela a été une aubaine commerciale pour mettre en conformité les sites d’avant 2016 (car l’entrée en vigueur du RGPD date de mai 2016). Pour d’autres structures cela à même permis la création d’emploi et de nouveau produit innovant.
Pour finir le RGPD m’a aussi permis de changer de travail dans une société qui a développé un produit primé pour répondre aux enjeux du RGPD ou du moins aider ces clients à y répondre le plus efficacement possible.
Le point de vue des dirigeants que j’ai rencontrés :
Vous m’avez peut-être croisé sur une conférence cybersécurité que je tenais dans la Nièvre ou encore lors d’un atelier RGPD. Ce qui suit ne va donc pas vous étonner un iota, sinon vous vous reconnaîtrez peut-être dans ce qui suit. Globalement les patrons de PME ne sont pas ou très mal informé sur le RGPD, notamment sur leurs obligations, certains estimant qu’ils ne sont pas concernés et qu’ils ne seront jamais inquiétés par la CNIL et que le RGPD c’est pour Google et autre GAFAM. Vous l’aurez compris, ils font une grave erreur en pensant cela c’est pour ça qu’il est vital de continuer de communiquer et d’expliquer le RGPD.
C’est vital aussi pour leur expliquer que sur de petite structure le coup de la mise en conformité sur la durée sera infime. Cependant il est vrai que la mise en place et surtout « les fouilles archéologiques » de toutes les données déjà stocké depuis des années par l’entreprise ou l’association sont les vrais freins et ce qui va prendre du temps, beaucoup de temps pour certaines entreprises. Elles vont surtout comprendre qu’elles stockent des données pour rien et leur fera gagner de la place physique et numérique .
Petit rappel en plus le RGPD ne vous dédouane pas des obligations de votre profession même si cela concerne des données personnelles. Je pense aux comptables qui doivent avoir une copie de la pièce d’identité du dirigeant, ou du transporteur qui travail avec la défense qui doit avoir les extrait de casier judiciaire de certain chauffeur.
Qu’il est beau ce bandeau cookie !
Vous voyez de quoi je parle ? Sûrement, en effet depuis le 25 mai 2018 ces bandeaux se sont multipliés comme des petits pains sur tous les sites Européens ou presque. En effet s'il n’y a pas de recueil de données personnels ou de service tiers qui le font il n’est pas nécessaire.
Par contre ce qui me fait profondément grogner c’est le manque de conformité et d’ergonomie de beaucoup de bandeau. Vous l’avez peut-être lu dans mon précédent article : 7 points d’éclaircissement sur le RGPD appliqué aux sites Internet, mais un bandeau cookie ou plutôt de paramétrage de collecte de données personnelle, doit :
- être compréhensible par un enfant (11 ans) c’est loin d’être toujours le cas,
- ne pas avoir activé par défaut l’autorisation de collecte et les services tiers ce qui est très très rarement le cas !
- Et pour finir on doit systématiquement de manière égale vous proposer un bouton pour « Refuser » à côté du bouton « Accepter ».
Vous en conviendrez avec moi ce dernier point sur l’absence du bouton « refuser » et de loin ce qui énerve le plus lors de la consultation d’un site Internet surtout sur mobile ou les bandeaux sont peu ergonomiques voir pas pensée du tout mobile…
Nombre de site activent par défaut tout un tas de services par défaut et ne vous propose qu’un bouton accepter et les refuser devient souvent un calvaire… J’espère que la CNIL et ces homologues Européens vont finir par sanctionner ou du moins faire des rappels.
Conclusion
Vous l’avez vu que ce soit dans la compréhension ou la mise en place du RGPD le chantier est encore vaste. Le plus important comme en cybersécurité c’est d’informer les internautes, de former les entreprises et associations pour que tous comprennent les avantages du RGPD.
Plus que tout vous devez comprendre que le RGPD n’est pas un frein, mais bien vitale pour notre sécurité et notre vie privée, mais aussi pour notre liberté et pas uniquement numérique. Un exemple de futur scandale à mon sens après un énième épisode de facebook [1] [2] se sont bien évidemment les assistants personnels qui ont fait fureur à Noël 2018. Je vous conseille à ce propos de lire ou relire mon article sur Ce que vous risquez à utiliser les objets connectés.
Sources :
[1] : Facebook aurait vendus vos données à pas moins de 150 entreprise de part le monde
[2] : Facebook les plus gros scandales de 2018
Voici deux livres sortis aux éditions ENI sur le RGPD :
Disponible directement sur Amazon (lien sponsorisé)
Crédit photo : Affaires vecteur créé par freepik - fr.freepik.com