La plupart des entreprises n'ont fait que le strict minimum en matière de traitement et de stockage des données. Pour résumer, elles ont principalement appliqué le règlement de deux façons. Premièrement en supprimant les données obsolètes. Deuxièmement en créant des formulaires de consentement sur Internet, qui demandent aux utilisateurs d'autoriser – ou non – la collecte et l'utilisation de leurs données. Plutôt que de revoir et d'adapter leur stratégie de gestion des données, ces entreprises se sont donc contentées d'agir de façon à éviter tout problème juridique.
Cette approche très simplifiée de la protection des données s'explique probablement par le peu d'amendes infligées aux entreprises qui ont enfreint la règlementation, malgré les avertissements formulés l'année passée concernant de lourdes amendes promises en cas d'infraction au regard de la loi. Le GDPR peine encore à être véritablement pris au sérieux.
Cependant, début 2019, la Commission Nationale de l'Informatique et des Libertés (CNIL) a annoncé une lourde sanction. Le géant du numérique Google doit payer une amende record de 50 millions d'euros en raison du manque d'informations données à ses utilisateurs sur l'exploitation de leurs données personnelles. Illustration parfaite de la maxime "tout vient à point à qui sait attendre", les sanctions commencent à tomber et les entreprises qui ont choisi de jouer avec les frontières de la règlementation pourraient alors le regretter.
Daniel de Prezzo, Head of technologies Southern Europe, Veritas Technologies