RGPD - 1 an après

Le Règlement Général sur la Protection des Données Personnelles, mieux connu sous son acronyme, le RGPD, est entrée en vigueur le 25 mai 2018.

Ce règlement vise à protéger les données en ligne des particuliers au sein de l’UE. Cependant, le RGPD s’étend bien au-delà des frontières de l’Europe, car même les entreprises étrangères, si elles traitent les données des citoyens européens, relèvent de son champ d’application.

Par conséquent, étant donné l’étendue du RGPD, il est facile de voir comment il a fait des vagues dans l’industrie de la technologie.

La vie avant le RGPD

Avant sa mise en œuvre, la majorité des entreprises ont fait preuve d’un certain degré d’inquiétude à l’égard du RGPD, et pour de bonnes raisons. La mise en conformité avec le RGPD n’est pas une simple tâche pour les sociétés. Ces derniers devaient apprendre et comprendre la terminologie du RGPD, comprendre les droits des personnes concernées en vertu de la loi et s’organiser plus que jamais. Par conséquent, la conformité exige une attention constante et la recherche d’un personnel compétent pour s’occuper de ces questions sensibles qui peuvent coûter des millions d’euros à l’entreprise.

État des lieux en quelques chiffres

Néanmoins, au cours de la première année d’application de la loi, les autorités nationales de contrôle de l’Espace économique européen ont reçu plus de 144 000 questions et plaintes (dont 11 900 de ces plaintes ont été adressées à la CNIL – l’autorité française) et ont enregistré plus de 89 000 « data breach ». Tout considérés, un peu plus de 280 000 dossiers ont été ouverts par rapport au RGPD au cours de sa première année, dont 37 % d’entre eux ne sont même pas encore réglés.

Bien que le nombre de questions et de plaintes semble inquiétant, il y a une lueur d’espoir. De plus en plus, les citoyens européens sont conscients de leurs droits en matière de protection des données. En effet, plus des deux tiers de la population européenne ont entendu parler du RGPD et plus de la moitié de ces personnes ont une compréhension avancée de leurs droits sous la nouvelle loi.

Également, la plupart des Européens connaissent les autorités publiques qui ont été créées et mandatées pour protéger leurs données en ligne. Ces statistiques démontrent que bien que nous soyons en présence non seulement d’une nouvelle loi, mais aussi d’un domaine du droit en développement, la population est bien informée. Ces prétentions sont surtout vraies en France, où 70% de la population française disent qu’ils éprouvent une sensibilité envers les enjeux entourant la protection des données.

Une approche “Soft-Touch” par les autorités de contrôle ?

Toutefois, malgré le grand nombre de plaintes susmentionnées, le RGPD et les autorités compétentes ont fait preuve, au cours de sa première année d’existence, d’une certaine gentillesse à l’égard de ceux qui se trouvent sous sa juridiction. Sur l’ensemble des plaintes et « data breach », seules 91 sociétés ont été condamnées à des amendes s’élevant à un total de 56 millions d’euros. Pourtant, si l’on tient compte du fait que 50 millions d’euros de ce montant ont été attribués par la CNIL à une seule entreprise, le moteur de recherche préféré de tous, cela met vraiment tout en perspective.

Dans ce contexte, certains ont critiqué la souplesse des autorités lorsqu’elles ont infligé des amendes dans le cadre du RGPD.

Pourtant, nous préférons dire qu’ils ont été justes. Les autorités auraient pu facilement utiliser toute la force de la loi et infliger des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires global de l’entreprise.

Toutefois, leur objectif dans le cadre du RGPD n’est pas de ruiner financièrement les entreprises et de les envoyer sur la voie de l’insolvabilité et de la faillite. L’idée derrière la mise en œuvre du RGPD est d’inciter les entreprises à mettre en place de meilleures pratiques dans le but de protéger les données de la population européenne. Ceci est évident en regardant les amendes qui ont été infligées sous la loi. Les sociétés qui ont avisé les autorités et les personnes concernées et qui ont pris toutes les mesures appropriées lorsqu’ils ont fait face à un « data breach » ont reçu des amendes qui reflètent leurs efforts pour remédier la situation. D’autre part, les sociétés qui n’ont pas tenu compte du RGPD dans le cas d’un « data breach » se sont vu imposer des amendes plus élevées, même si l’atteinte à la vie privée des personnes concernées a eu lieu à une plus petite échelle.

On estime cependant que ces amendes « raisonnables » ne seront pas là pour rester. Étant donné que le RGPD est encore relativement nouveau, les autorités donnent aux entreprises une chance de se mettre à niveau pendant une sorte de période transitoire.

Des amendes plus lourdes avec toute la force du RGPD derrière elles verront sûrement le jour plus tôt que nous ne l’espérons.

La CNIL, en confirmant que la période dite transitoire tire à sa fin et que des amendes plus conséquentielles seront vues dans les années à suivre, nous assure que la bonne foi des entreprises aura toujours un impact dans l’attribution de leur peine.  

Et l’avenir ?

Si l’on se tourne maintenant vers l’avenir, on peut dire avec confiance que le RGPD a eu un impact à l’échelle mondiale au cours de la dernière année. Alors que l’Europe renforçait ses lois sur la protection des données en ligne, plusieurs autres pays ont suivi l’exemple.

Le Canada a notamment mis à jour sa propre loi sur la protection des données pour suivre plusieurs idées de sa contrepartie européenne.

Le PDG de Microsoft a offert ses compliments au RGPD et a exprimé son espoir non seulement d’une future loi inspirée du RGPD pour les États-Unis, mais d’une norme mondiale unifiée utilisée par tous. Tim Cook d’Apple, s’inspirant de l’essence du RGPD, a suggéré la mise en place d’un « Data Brokers Registry » aux États-Unis qui permettrait aux personnes concernées d’avoir accès à leurs données vendues en ligne et, si elles le souhaitent, de les supprimer.

Nous pensons que l’on peut dire sans crainte que la première année du RGPD a été un grand succès.

Les entreprises prennent des mesures pour protéger les personnes concernées, ces derniers sont sensibilisés à la question et connaissent leurs droits, et même le reste du monde se tourne vers l’UE comme une source d’inspiration pour leurs propres règles de protection des données.

Pour plus de renseignements sur le RGPD ou pour des conseils sur la conformité de votre entreprise en matière du respect de la vie privée, n’hésitez pas à nous contacter.

Article par: Justin Boileau, Consultant juridique @ Gerrish Legal, juin 2019.