Blog, Stratégie

RGPD, un an après

Après l’effervescence liée à l’entrée en vigueur du Règlement européen pour la protection des données (RGPD) l’an dernier, place aujourd’hui au bilan.
Est-ce que la révolution annoncée est au rendez-vous ? Décryptage…
Rarement, dans l’histoire du droit de la protection des données, un texte n’a fait autant de bruit. Entré en vigueur le 25 mai 2018, le Règlement général européen pour la protection des données personnelles (RGPD ou, pour nos amis anglophones GDPR) vise à mettre en place un cadre européen harmonisé pour la protection des données personnelles. 

A l’heure de la Big Data et du traitement informatisé à échelle internationale des données des personnes, il est apparu indispensable de se doter d’un arsenal juridique efficace garantissant une plus grande transparence dans l’utilisation de nos données faite par les acteurs économiques notamment. C’est pour répondre à ce double enjeu que le RGPD a été adopté : responsabiliser les acteurs qui traitent des données personnelles d’une part, et renforcer les droits des personnes physiques en la matière d’autre part.

Où en est-on un an après ?
Des avancées à saluer

Une prise de conscience généralisée
Dans un sondage rendu public par la CNIL, 66% des Français estiment être plus sensibles à l’usage fait de leurs données personnelles depuis l’adoption du RGPD. Bien que le droit français de la protection des données était déjà plutôt avancé en la matière, la (sur)médiatisation du RGPD (aidée par quelques actualités comme le scandale Facebook/Cambridge Analytica) a permis aux particuliers de prendre conscience de l’importance de leurs données personnelles. 

Nous partageons tous les jours des données qui nous concernent, plus ou moins sensibles. Que ce soit pour passer une commande en ligne, prendre RDV chez un médecin ou encore souscrire un abonnement chez Netflix, il faudra nécessairement donner des informations personnelles. Parfois, les informations collectées sont clairement identifiées mais trop souvent, elles sont collectées à notre insu. Ainsi en est-il des données liées à nos habitudes lorsque nous naviguons sur internet.

Depuis l’entrée en vigueur du RGPD, les particuliers prennent de plus en plus conscience de la nécessité de protéger leurs données face aux entreprises qui les collectent. D’ailleurs, le nombre de plaintes déposées à la CNIL (Commission nationale informatique et libertés) a augmenté de manière significative (+34%), illustrant clairement une volonté des particuliers de reprendre en main leurs données et de faire respecter leurs droits (en particulier sur internet).

Par ailleurs, la possibilité offerte par le RGPD d’exercer des actions de groupe renforce cet arsenal juridique. Des associations (telles que la Quadrature du Net) et des ONG, représentant des centaines de consommateurs, n’ont d’ailleurs pas tardé à initier des actions contre des géants du Web tels que Google ou encore Facebook.
Un pouvoir de sanction renforcé 
Le RGPD a également renforcé le pouvoir de sanction des autorités nationales de protection des données. Ainsi, là où la CNIL ne pouvait prononcer qu’une sanction de 150 000 euros maximum, elle a désormais la possibilité de prononcer des sanctions beaucoup plus lourdes allant jusqu’à 20 millions d’euros ou 4% du CA mondial de l’entreprise concernées. Pour des sociétés comme les GAFAM, cela peut représenter plusieurs dizaines de millions d’euros. On est donc loin des 150 000 euros symboliques pré-RGPD…

La CNIL a d’ailleurs prononcé récemment une sanction administrative record à l’encontre de Google s’élevant à 50 millions d’euros pour violation des obligations posées par le RGPD.
  • Text Hover
  • Text Hover
Une responsabilisation accrue des acteurs économiques
Avec le RGPD, finies les déclarations préalables à la CNIL et autres formalités de ce type… Il revient désormais aux organismes eux-mêmes (publics ou privés) de se mettre en conformité avec le nouveau règlement. Et ce n’est qu’a posteriori que la CNIL interviendra. C’est d’ailleurs cela qui a conduit à la « panique » lors de l’entrée en vigueur du RGPD.

Depuis le RGPD, plusieurs entreprises se sont dotées de référents internes : les délégués à la protection des données (DPO). La CNIL en recensait 15 000 dans son bilan publié en novembre dernier.

Contraintes de cartographier les données qu’elles traitent, les entreprises sont désormais poussées à vérifier la finalité de leurs traitements. Est-il pertinent de collecter telle donnée ? Quel est l’objectif du traitement ? Telles sont les questions qui guident désormais les DPO dans leur travail et qui, en principe, devraient conduire à ne collecter que les données dont les entreprises ont réellement besoin pour leur activité.

Ce travail de mise en conformité peut être plus ou moins difficile selon les secteurs. C’est pourquoi, la CNIL s’efforce de faire un véritable travail de pédagogie en créant et partageant des guides, des bonnes pratiques ou encore en offrant un MOOC gratuit complet sur le RGPD afin d’accompagner les acteurs dans leur mise en conformité. Parallèlement, la CNIL s’est engagée dès l’entrée en vigueur du règlement à faire preuve de clémence (du moins durant les premiers temps…) en cas de non-conformité.

Quelques efforts restent à faire

Plus d’informations, notamment pour les publics sensibles
Nous l’avons dit, le RGPD accorde désormais de nouveaux droits aux personnes physiques. Quels sont-ils exactement ? Chaque citoyen devrait savoir répondre (au moins globalement) à cette question. Pourtant, selon un récent sondage Ifop, plus de la moitié des Français connait ses droits mais ne sait pas comment les exercer.
 
Certes, cela ne fait qu’un an que le texte est entré en application. Il n’empêche qu’un travail de pédagogie auprès du grand public sera nécessaire pour rendre les droits proclamés par le RGPD effectifs. Pour que les personnes puissent faire valoir leurs droits, encore faut-il qu’elles sachent qu’elles en ont…

D’ailleurs, la majorité numérique ayant été fixée à 15 ans, il sera indispensable de faire ce travail d’instruction particulièrement auprès des jeunes. De la même manière que les cours d’éducation civique ont pour objectif de former des citoyens suffisamment « éclairés » sur leurs droits et devoirs, des cours d’éducation civique numérique devraient peut-être être envisagés…

  • Text Hover
Marie-Laure Denis // Source : DR-CSA


Affaire à suivre 

Cet été, l’autorité de protection irlandaise rendra ses premières conclusions concernant la conformité au RGPD de Facebook, Twitter, Apple ou encore LinkedIn (pour rappel, la plupart des géants du web ont leur établissement principal en Irlande…). La CNIL irlandaise, va-t-elle emboiter le pas à la CNIL française et aller vers une condamnation historique des géants d’internet ?
  • Text Hover
Les inégalités dans la mise en conformité au RGPD
Par ailleurs, il ne faut pas se cacher… toutes les entreprises ne sont pas égales face à la mise en conformité au RGPD. Les grandes sociétés ont généralement les moyens financiers et humains (experts, juristes) pour se mettre en conformité… alors qu’il n’en est pas de même pour les entreprises de plus petite taille. Les études d’impact ont un coût, de même que le recensement, la cartographie des données ou encore la mise en place de plans d’actions pour renforcer la sécurité des données. 

En même temps, la présidente de la CNIL, Marie-Laure Denis, annonce un durcissement de ton côté CNIL

Même si le ton devient plus dur, il n’empêche qu’on ne pourra pas traiter de la même manière un géant du Web et une TPE… Certains ont par ailleurs pu s’inquiéter de l’impact du RGPD sur l’innovation en Europe. En effet, pour faire décoller leurs produits, les start-up ont souvent besoin de manipuler de la donnée. Mais comment le faire tout en restant dans les clous ? Un accompagnement est nécessaire. Chez nos voisins outre-Manche, une initiative intéressante a d’ailleurs été mise en place pour répondre à cette problématique. Il s’agit “d’ouvrir un cadre d’expérimentation aux entreprises innovantes placé sous l’égide du régulateur national”. Autrement dit, l’entreprise peut tester ses innovations tout en échangeant avec le régulateur sur les résultats obtenus et les correctifs nécessaires. Il pourrait être intéressant de généraliser cela en Europe.


Les inégalités dans la mise en conformité au RGPD
Enfin, rappelons qu’un des objectifs du RGPD est de garantir une meilleure transparence dans le traitement des données personnelles. Concrètement (et en résumé), les acteurs qui utilisent nos données personnelles doivent nous dire : - quelles sont les données qu’ils collectent, – pourquoi ils les collectent et – quel est le sort de ces données. Cela se traduit classiquement par d’infinies conditions générales d’utilisation. Certes, beaucoup d’entreprises ont procédé à la refonte de leurs conditions générales pour respecter le RGPD. Pour autant, rares sont les particuliers qui lisent ces CGU… D’autant plus que l’utilisation des services reste subordonnée à l’acceptation de ces conditions générales. En d’autres termes, on préfère utiliser les services tout de suite plutôt que de lire des centaines de pages de conditions générales… Cela pose le problème de l’effectivité de cette obligation de transparence introduite par le RGPD.
En résumé : Même si quelques efforts seront nécessaires pour que le RGPD soit un outil de protection efficace de nos données, un de ses apports majeurs est le changement de paradigme et la prise de conscience collective concernant l’importance de la transparence dans le traitement des données personnelles.
Pour rester informé de nos dernières actualités,
suivez-nous sur les réseaux sociaux
Twitter
LinkedIn
Youtube
Facebook