RGPD, à quoi faut-il s'attendre en 2021 ?

En 2021, le RGPD est plus que jamais d'actualité avec les multiples cyberattaques auprès des centres hospitaliers, des collectivités et certaines TPE-PME. Le risque de perte et d'indisponibilité des données est de plus en plus pesant sur les organismes. Pour ceux qui n'ont pas encore franchi le pas de protéger leurs données personnelles, et d'entamer une démarche de conformité au RGPD – Règlement Général sur la Protection des Données, voici les points clés à retenir pour 2021.

Le risque de perte et d'indisponibilité des données est de plus en plus pesant sur les organismes. Pour ceux qui n'ont pas encore franchi le pas de protéger leurs données personnelles, et d'entamer une démarche de conformité au RGPD – Règlement Général sur la Protection des Données, voici les points clés à retenir pour 2021.

Les cookies sur les sites internet

La CNIL, l’autorité de contrôle de la protection des données en France, a publié dans sa délibération du 17 septembre 2020 les dernières recommandations en matière de gestion des cookies et traceurs sur les sites internet. Au plus tard fin mars 2021, tous les sites devront respecter ces recommandations :

-          Mettre en place un bandeau cookies pour informer les internautes des cookies et autres traceurs présents sur le site internet. Plusieurs gestionnaires de cookies existent à ce jour sur le marché, comme « Tarte au citron », « Cookiebot » ou encore « Axeptio » pour répondre à cette obligation ;

-          Permettre à l’internaute de sélectionner les cookies qu’il souhaite activer ou non, en fonction des finalités (publicité, géolocalisation, réseaux sociaux), et surtout lui laisser la possibilité de revenir sur son choix ;

-          Respecter les durées de conservation de ces cookies et autres traceurs. La CNIL recommande une durée de conservation de 13 mois maximum.

Il est préférable de faire le point avec l’équipe marketing ou le webmaster, afin de s’assurer de la conformité RGPD concernant la gestion des cookies sur le site internet. De plus, il est très fortement recommandé de publier sur un site internet la politique des cookies, la politique de confidentialité ainsi que de s’assurer de la mise à jour des mentions légales.

Les analyses d’impact, autrement appelées AIPD ou PIA ou EIVP

La conduite d’une analyse d’impact est obligatoire depuis le 25 mai 2018 pour tous les traitements présentant des risques élevés sur la vie privée des personnes physiques. Les traitements les plus courants qui nécessitent la conduite d’une analyse d’impact sont les suivants : la vidéosurveillance, la géolocalisation, les traitements avec des données de santé, le profilage…et bien d’autres encore.

Certains traitements, ayant déjà fait l’objet de formalité préalable auprès de la CNIL ou de réalisation d’analyse avant 2018, bénéficiaient d’une exemption pour conduire une AIPD, d’un délai de 3 ans . A compter du 28 mai 2021, tous les traitements étant exemptés jusqu’alors, devront à leur tour se plier à la réalisation d’une AIPD.

Pour les structures concernées par ce sujet, il est vivement conseillé de se rapprocher du Délégué à la Protection des Données (DPO / DPD) de la structure ou de son référent interne RGPD.

Les transferts de données hors Union Européenne (UE)

Suite à l’invalidation du Privacy Shield le 16 juillet 2020 et au BREXIT, les transferts en dehors de l’Union européenne génèrent en 2021 beaucoup d’interrogations de la part des spécialistes en protection des données. En effet, les transferts depuis l’UE vers les USA ne sont désormais plus encadrés, et les Clauses Contractuelles Types ne sont, à priori, pas suffisantes.

Concernant les transferts vers le Royaume-Uni depuis l’UE, nous sommes actuellement face à un statu quo. En effet, nous attendons avec impatience le 1er juillet 2021, date où une décision devrait être prise pour savoir si oui ou non l’Union Européenne reconnaît le Royaume-Uni comme pays adéquat en matière de protection des données.

La sensibilisation des acteurs à la cybersécurité

Face aux nombreuses cyberattaques qui font les actualités depuis début 2021, la CNIL et l’ANSSI insistent sur l’importance de sensibiliser les équipes aux risques de violations de données, de pertes ou d’indisponibilités des données.

Tous les acteurs d’une organisation ont un rôle majeur à jouer. En les formant à identifier une suspicion de dysfonctionnement ou de cyberattaques, à faire remonter rapidement l’information en interne auprès des équipes concernées, et à adopter les bonnes pratiques en matière de sécurité des données, ils deviennent de véritables alliés contre les menaces potentielles.

A ce titre, la CNIL et l’ANSSI ont sorti des guides à destination des entreprises pour sensibiliser leur personnel.
La question à se poser, cette année, n’est plus de savoir s’il faut engager ou non un projet de conformité RGPD, mais plutôt de s’interroger sur le plan d’actions à mettre en place afin de protéger les données personnelles traitées dans le quotidien professionnel des organismes. Le RGPD, en 2021, mettra en exergue l’importance de l’interprofessionnalité pour faire aboutir ce projet sur le triptyque suivant : juridique, opérationnel et technique.