BFM Business

RGPD : 80% des entreprises du commerce ne sont pas en règle

La Commission nationale de l'informatique et des libertés (Cnil), dirigée par Isabelle Falque-Pierrotin, se dit relativement bienveillante jusqu'à la fin de l'année.

La Commission nationale de l'informatique et des libertés (Cnil), dirigée par Isabelle Falque-Pierrotin, se dit relativement bienveillante jusqu'à la fin de l'année. - Crédit photo : Éric Piermont - AFP

Les commerces sont loin d'être à jour sur le RGPD. Six mois après l'entrée en vigueur du Règlement général sur la protection des données, 80% des commerces sont en retard sur leurs obligations, les PME comme les grandes enseignes.

Le RGPD oblige toutes les sociétés européennes à assurer une protection des données personnelles. Mais ce n'est pas si simple. Dans le secteur du retail, 80% des commerces ne sont pas totalement en conformité avec les nouvelles règles. Un sur deux n'aurait même pas enclenché le processus, selon les estimations du cabinet Staub et Associés.

Et pourtant, la date de l'entrée en vigueur était connue bien à l'avance. Les entreprises avaient deux ans pour se préparer. « Un réflexe naturel », nous explique Sylvain Staub, qui a créé Data Legal Drive, une plateforme numérique d’aide à la mise en conformité au RGPD. D'abord, parce que tant que les sociétés ne sont pas confrontées à l'urgence, surtout les PME, elles traînent des pieds. Ensuite, parce que le RGPD est vécu comme une contrainte, qui ne rapporte pas d'argent.

Le secteur du retail en première ligne

Les enseignes sont les premières concernées par le RGPD. Elles sont directement en relation avec les consommateurs, qui ont compris qu'ils avaient désormais des droits. Il y a eu une réelle prise de conscience. Les clients acceptent sans problème de donner des informations, mais ils demandent expressément des règles de confidentialité. 

Les entreprises sont directement concernées, aussi, parce qu'elles collectent de plus en plus de data. Avec le commerce en ligne, le paiement par téléphone, la géolocalisation ou les cartes de fidélité, les difficultés sont accrues : « Plus on avance en matière technologique, moins on connait la limite de ce qu'on peut faire ou ne pas faire », avance Sylvain Staub. 

Du coup, certaines sociétés ont du mal à cerner le périmètre qui entre dans le cadre du RGPD. D'autres ont bien commencé à se pencher sur la question: elles empilent une multitude d'analyses et de tableaux Excel, mais restent incapables de les consolider. Quand elles en ont les moyens, les entreprises nomment un DPO, un délégué aux données personnelles, qui sert parfois d'alibi pour gagner du temps et démontrer aux régulateurs que la procédure est lancée.

Sous la surveillance de la Cnil

Jusqu'ici la Commission nationale de l'informatique et des libertés (Cnil) a fait preuve de tolérance, et elle se dit relativement bienveillante jusqu'à la fin de l'année. Mais ce ne sera plus le cas à partir de janvier prochain. Les contrôles devraient s'accélérer, et la Cnil sera sans pitié, surtout sur le sujet de la protection des données. La sanction peut être sévère : jusqu'à 20 millions d'euros d'amende ou 4% du chiffre d'affaires mondial. Et les plaintes sont de plus en plus nombreuses : 6000 depuis l'entrée en vigueur du texte européen, contre 8360 sur toute l'année 2017. La Cnil a fait jusqu'à présent quatre mises en demeure auprès de start-up, Teemo, Fidzup, Singlespot et Vectaury. Des start-up capable de localiser géographiquement les internautes pour les inciter à se rendre vers des magasins à proximité, en leur envoyant sur leur smartphone des publicités ciblées.

Mais la plus grosse menace pour les enseignes vient des consommateurs eux-mêmes. Un faux pas et c'est la réputation de la marque qui est en jeu, avec la possibilité de perdre une partie de sa clientèle et d'engager d'énormes frais de procédures en cas de plaintes. La crainte est aussi de voir les donneurs d'ordre privilégier d'autres concurrents plus "RGPD compatibles".