Malgré la hausse des plaintes des citoyens auprès de la CNIL et les sanctions infligées par cette dernière, beaucoup d’entreprises ne se sentent toujours pas concernées par la conformité RGPD : « c’est trop cher », « ça ne m’apporte rien », « je ne risque rien », « j’ai pas le temps ».–
Et pourtant, saviez-vous que ne pas conformer au RGPD a un coût bien plus élevé que de s’y conformer ? Visionarist vous le prouve par A+B dans cet article.
Un environnement réglementaire de plus en plus strict
La multiplication des données dans le monde s’accompagne d’une intensification des règlementations relatives à la collecte et à l’utilisation des données personnelles, notamment depuis l’entrée en application du RGPD en mai 2018 : de nombreux pays se dotent de lois avec des champs d’application, des exigences et des sanctions propres à chacun.
Aux États-Unis, près de trente états disposent aujourd’hui d’une loi sur la protection des données personnelles ou sont en phase d’adoption d’une telle loi. La Californie dispose aujourd’hui de la réglementation la plus stricte du pays. Depuis l’année dernière, les législateurs fédéraux américains ont d’ailleurs commencé à travailler sur l’American Data Privacy and Protection Act (ADPPA), considéré comme une version américaine du RGPD. Mais cette loi se heurte déjà à une forte opposition de la part de nombreux défenseurs de la vie privée qui plaident pour une application plus stricte.
Au Canada, les législateurs poursuivent leur travail : la loi de 2022 sur la mise en œuvre de la Charte numérique clarifie la loi sur la conformité à la LPRPDE qui existe depuis longtemps déjà dans le pays en renforçant notamment les règles relatives à la transparence et au consentement. L’objectif annoncé du Canada est de faire en sorte que la réglementation nationale soit alignée sur les normes européennes, avec notamment l’accès aux mêmes droits pour les citoyens.
La multiplication de toutes ces réglementations rendent la conformité de plus en plus complexe pour les entreprises qui opèrent à l’international. Ces différents cadres réglementaires peuvent s’appliquer de manière différente en fonction de l’implantation de l’entreprise, de la nationalité de ses clients, du volume de données traitées, etc. Un véritable casse-tête 🤯
Ne pas se conformer au RGPD coûte (très) cher
Et pourtant, au fur et à mesure que ces réglementations s’intensifient et se durcissent, il devient impératif pour les entreprises de prendre la protection des données personnelles au sérieux. Si vous hésitez toujours, on vous donne l’ARGUMENT ULTIME pour démarrer votre mise en conformité de suite : le Ponemon Institute a indiqué que le coût moyen de la conformité était nettement inférieur que le coût de la non-conformité : 5,47 millions de dollars contre 14,82 millions de dollars. D’après IBM, le coût de la non-conformité continue d’augmenter d’une année sur l’autre, avec une hausse de 45% par rapport à l’année 2010, et de 12,6% par rapport à l’année 2020.
Et certains manquements peuvent coûter très chers…
Une des premières actions de groupe (class action) introduites en vertu du RGPD a été déposée contre Google en France. En janvier 2019, la Commission nationale de l’informatique et des libertés (CNIL), l’autorité française de protection des données, a infligé à Google une amende de 50 millions d’euros pour non-respect des obligations de transparence et d’information en vertu du RGPD. Suite à cela, une association de consommateurs française, La Quadrature du Net, a déposé une action de groupe contre Google en France, réclamant 1000 euros de dommages et intérêts pour chaque personne ayant utilisé un smartphone Android en France depuis mai 2018, date d’entrée en vigueur du RGPD. L’affaire est toujours en cours devant les tribunaux français.
Aux États-Unis, en 2022, Morgan Stanley s’est vu infliger une amende totale de 60 millions de dollars pour différentes violations de la confidentialité des données personnelles survenues entre 2016 et 2019, combinant des amendes civiles mais également un recours collectif concernant des équipements de data centers hors service qui n’avaient pas été effacés. Cet exemple nous montre bien que ce n’est pas uniquement les mesures actuelles qui donnent lieu à des sanctions mais également l’attitude antérieure des entreprises vis-à-vis de la vie privée des citoyens.
Dans une affaire canadienne, Ari c/ Insurance Corporation of British Columbia, il a été jugé que des dommages et intérêts punitifs étaient appropriés lorsque les entreprises n’avaient pas tiré les leçons des violations antérieures. Par conséquent, on peut en déduire qu’une violation de la réglementation peut entraîner une sanction immédiate mais que la manière dont l’entreprise réagit et la récidive sont des éléments aggravants faisant grimper de facto de la montant de l’amende.
Les coûts cachés de la non-conformité RGPD
Si le coût principal reste le montant de l’amende infligée par l’autorité de contrôle, la non-conformité entraîne plusieurs coûts cachés :
L’interruption de l’activité
La gestion d’une violation de données personnelles ou d’un contrôle de l’autorité de contrôle nécessite des ressources, et donc du temps. Et comme vous le savez, le temps c’est de l’argent. Un tel évènement entraîne des perturbations de votre activité en raison du temps perdu à se préparer au contrôle, rassembler les éléments de preuve, etc. très souvent par du personnel clé pour l’entreprise (direction, juriste, DPO, etc.).
L’atteinte à l’image et à la réputation
Les consommateurs sont de plus en plus préoccupés par la manière dont les entreprises collectent et traitent les données personnelles qu’ils leur confient. La non-conformité à la réglementation peut avoir des effets néfastes sur la confiance qu’accorde le consommateur à l’entreprise. D’après un rapport d’IBM de 2021 sur le coût des violations de données personnelles, 32% des pertes dues à la non-conformité résultent d’une atteinte à la réputation, en ce compris la perte de clients le coût d’acquisition des nouveaux clients qui s’élève.
La perte de revenus
Outre les pertes directes liées à une potentielle interruption de l’activité, la non-conformité au RGPD a également des impacts sur les revenus futurs de l’entreprise. Cela peut faire fuir vos clients et partenaires, vous empêcher de conclure de nouveaux contrats et vous faire rayer de la liste des prestataire fiables.
Les poursuites judiciaires
En sus des amendes infligées par l’autorité de contrôle, les entreprises peuvent être confrontées à des poursuites coûteuses et médiatisées de la part des personnes concernées par la violation de données personnelles (class action). Par exemple, Capital One a réglé un recours collectif de 190 millions de dollars à la suite d’une violation de données datant de 2019 pour ne pas avoir suffisamment protégé les données personnelles des utilisateurs, en plus des 50 millions de dollars versés aux autorités de contrôle pour le même incident.
Alors, comment calculer le coût de votre non-conformité RGPD ?
Coût de la non-conformité RGPD = combinaisons d’amendes + pénalités et frais + coûts indirects liés à l’interruption des activités, la perte de revenus, la perte de productivité et l’atteinte à la réputation
Soyez proactifs dans votre mise en conformité RGPD
D’après Gartner, d’ici 2023, 65 % de la population mondiale sera couverte par des réglementations similaires au RGPD. En parallèle, les menaces s’intensifient et évoluent. L’étau continue de se resserrer et le coût de la non-conformité ne cessera de grimper. Plus vous attendez, plus vous le paierez cher.
N’attendez plus pour démarrer votre mise en conformité : JE BOOK MON DPO