L’idee recue
“L’autorite de controle ne m’a jamais contacte. Tant qu’elle ne frappe pas a ma porte, tout va bien.”
Beaucoup d’entrepreneurs raisonnent ainsi. Et c’est comprehensible : si personne ne vous a jamais contacte au sujet du RGPD, cela semble etre un non-probleme. Mais ce raisonnement a un angle mort dangereux.
89% commence par une plainte
La majorite de l’application du RGPD ne commence pas par une autorite de controle qui decide d’enqueter sur votre entreprise. Elle commence par quelqu’un qui depose une plainte.
Ce quelqu’un peut etre :
- Un client qui demande a voir ses donnees et ne recoit pas de reponse
- Un ancien employe qui decouvre que son dossier du personnel a ete partage avec un tiers
- Un visiteur de votre site web qui remarque que des cookies de suivi sont places sans consentement
- Un concurrent qui signale que votre politique de confidentialite ne correspond pas a la realite
- Un destinataire de newsletter qui n’a jamais donne son consentement pour recevoir vos e-mails
Deposer une plainte est facile. Dans la plupart des pays de l’UE, c’est un formulaire en ligne qui prend 10 minutes a remplir. L’autorite de controle est alors obligee d’examiner la situation.
Ce qui se passe apres une plainte
Quand l’autorite de controle recoit une plainte :
- Elle vous contacte et demande votre version des faits
- Elle demande de la documentation : votre registre des traitements, politique de confidentialite, contrats de sous-traitance
- Elle evalue si vous respectez le RGPD
- Si vous n’etes pas conforme, elle peut emettre un avertissement, une injonction de mise en conformite, ou une amende
La question cle n’est pas de savoir si l’autorite de controle viendra a vous de maniere proactive. La question est : pouvez-vous demontrer votre conformite quand elle viendra, declenchee par une plainte ?
Le paysage des plaintes est en croissance
Le nombre de plaintes en matiere de vie privee augmente chaque annee :
- L’APD belge traite des milliers de plaintes annuellement
- La CNIL en France a recu plus de 16 000 plaintes en 2023
- L’AP neerlandaise a recu plus de 25 000 plaintes en 2023
- Le nombre de plaintes augmente de 15 a 30% par an dans la plupart des pays
Les consommateurs sont de plus en plus conscients de leur vie privee. Ils connaissent leurs droits. Et ils les exercent.
Les couts caches d’une plainte
Meme si une plainte n’aboutit pas a une amende, elle vous coute :
- Du temps : preparer la documentation, rediger des reponses, assister a des reunions
- De l’argent : conseil juridique si l’affaire est complexe
- Du stress : l’incertitude d’une enquete en cours
- De la reputation : si la plainte devient publique ou si la personne concernee partage son experience
Comparez cela au cout de la mise en ordre de vos bases : quelques heures de travail et un investissement modeste en outils. Le calcul est simple.
Que devez-vous faire ?
N’attendez pas que l’autorite de controle vienne a vous. Mettez vos bases en ordre maintenant :
- Registre des traitements : documentez quelles donnees vous traitez et pourquoi
- Politique de confidentialite : informez vos clients et visiteurs de votre site web
- Contrats de sous-traitance : contrats avec les parties qui traitent des donnees pour votre compte
- Procedure de demande : sachez comment reagir quand quelqu’un pose des questions sur ses donnees
- Procedure de violation de donnees : sachez quoi faire quand quelque chose tourne mal
Ce ne sont pas des projets complexes et couteux. C’est de l’hygiene d’entreprise de base qui vous protege quand une plainte arrive.
GDPRWise scanne votre site web et vous aide a constituer votre dossier de conformite. Soyez prepare quand quelqu'un pose des questions sur votre traitement de donnees.