L’idée reçue
“L’autorité de contrôle ne m’a jamais contacté. Tant qu’elle ne frappe pas à ma porte, tout va bien.”
Beaucoup d’entrepreneurs raisonnent ainsi. Et c’est compréhensible : si personne ne vous a jamais contacté au sujet du RGPD, cela semble être un non-problème. Mais ce raisonnement a un angle mort dangereux.
89% commence par une plainte
La majorité de l’application du RGPD ne commence pas par une autorité de contrôle qui décide d’enquêter sur votre entreprise. Elle commence par quelqu’un qui dépose une plainte.
Ce quelqu’un peut être :
- Un client qui demande à voir ses données et ne reçoit pas de réponse
- Un ancien employé qui découvre que son dossier du personnel a été partagé avec un tiers
- Un visiteur de votre site web qui remarque que des cookies de suivi sont placés sans consentement
- Un concurrent qui signale que votre politique de confidentialité ne correspond pas à la réalité
- Un destinataire de newsletter qui n’a jamais donné son consentement pour recevoir vos e-mails
Déposer une plainte est facile. Dans la plupart des pays de l’UE, c’est un formulaire en ligne qui prend 10 minutes à remplir. L’autorité de contrôle est alors obligée d’examiner la situation.
Ce qui se passe après une plainte
Quand l’autorité de contrôle reçoit une plainte :
- Elle vous contacte et demande votre version des faits
- Elle demande de la documentation : votre registre des traitements, politique de confidentialité, contrats de sous-traitance
- Elle évalue si vous respectez le RGPD
- Si vous n’êtes pas conforme, elle peut émettre un avertissement, une injonction de mise en conformité, ou une amende
La question clé n’est pas de savoir si l’autorité de contrôle viendra à vous de manière proactive. La question est : pouvez-vous démontrer votre conformité quand elle viendra, déclenchée par une plainte ?
Le paysage des plaintes est en croissance
Le nombre de plaintes en matière de vie privée augmente chaque année :
- L’APD belge traite des milliers de plaintes annuellement
- La CNIL en France a reçu plus de 16 000 plaintes en 2023
- L’AP néerlandaise a reçu plus de 25 000 plaintes en 2023
- Le nombre de plaintes augmente de 15 à 30% par an dans la plupart des pays
Les consommateurs sont de plus en plus conscients de leur vie privée. Ils connaissent leurs droits. Et ils les exercent.
Les coûts cachés d’une plainte
Même si une plainte n’aboutit pas à une amende, elle vous coûte :
- Du temps : préparer la documentation, rédiger des réponses, assister à des réunions
- De l’argent : conseil juridique si l’affaire est complexe
- Du stress : l’incertitude d’une enquête en cours
- De la réputation : si la plainte devient publique ou si la personne concernée partage son expérience
Comparez cela au coût de la mise en ordre de vos bases : quelques heures de travail et un investissement modeste en outils. Le calcul est simple.
Que devez-vous faire ?
N’attendez pas que l’autorité de contrôle vienne à vous. Mettez vos bases en ordre maintenant :
- Registre des traitements : documentez quelles données vous traitez et pourquoi
- Politique de confidentialité : informez vos clients et visiteurs de votre site web
- Contrats de sous-traitance : contrats avec les parties qui traitent des données pour votre compte
- Procédure de demande : sachez comment réagir quand quelqu’un pose des questions sur ses données
- Procédure de violation de données : sachez quoi faire quand quelque chose tourne mal
Ce ne sont pas des projets complexes et coûteux. C’est de l’hygiène d’entreprise de base qui vous protège quand une plainte arrive.
GDPRWise scanne votre site web et vous aide à constituer votre dossier de conformité. Soyez préparé quand quelqu'un pose des questions sur votre traitement de données.