C’est l’heure de souffler les bougies des 4 ans passés de l’application du RGPD. Un moment solennel pour un enfant que de souffler ces bougies, de passer une année de plus et de gagner en maturité. C’est le moment pour cet enfant de regarder derrière lui, de juger son parcours, mais également de se projeter sur l’avenir. Alors quel jugement pouvons-nous porter sur la jeune existence du RGPD ?
RGPD : Ça vous inspire quoi ?
4 ans que le RGPD est appliqué (et applicable) et 6 ans que l’on en parle. Si en 2018, « RGPD » était un nouveau terme qui faisait trembler les directions de France, de Navarre et d’Europe, aujourd’hui il est devenu un sigle que l’on entend partout. Qui en entreprise, à l’école, ou encore aux informations télévisées, n’a pas entendu parler du RGPD ? S’il y a un premier constat à faire sur le RGPD, c’est qu’il s’est très vite imposé en tant que document de référence - celui que tout le monde connaît et doit connaître. Le parlement européen, dans son rapport d’évaluation de la commission sur la mise en œuvre du RGPD - deux ans après son entrée en application - s’en félicite. Mais alors que le RGPD serait un terme que l’on entendrait à la machine à café, que l’on lirait dans nos mails et qui ferait partie de nos vies à tous, ce règlement suffirait-il à protéger nos données ? Malgré ce RGPD bashing, portons-nous toujours la même attention à ce règlement qu’en 2018 ?
Depuis le 31 mars 2021, les utilisateurs peuvent constater sur de nombreux sites, une pop-up différente sur l’utilisation des cookies, permettant de faciliter leur suppression. Mais ont-ils noté les sites où ces pop-ups, si elles existent, ne permettent pas de faciliter la suppression des cookies dispensables ?
Les utilisateurs se sentent en sécurité, mais cette impression de sécurité n’est-elle pas la pire position possible pour un utilisateur et ses données personnelles ?
Ce n’est pas du respect ça !
Le dernier rapport du parlement européen ne fait pas que se féliciter des bons résultats que l’on peut octroyer au RGPD. Dans ce rapport de mai 2021, ce dernier dit « prendre acte qu’environ 275 000 plaintes ont été introduites et 785 amendes administratives imposées ». Un automobiliste ne ralentit que lorsqu’il y a un radar. Le taux de répression semble beaucoup trop faible pour que les géants du numérique se penchent de façon plus concrète - et plus honnête - sur leur mise en conformité avec le RGPD et la protection des données personnelles.
Pour ce qui est de la CNIL, elle s’est récemment félicitée (le 28 janvier 2022) de l’augmentation du nombre de sanctions, et du montant total des amendes. Dix-huit sanctions dont la moitié comportant un manquement en lien avec la sécurité des données personnelles. Cependant, deux informations font l’objet d’un avis de recherche dans ce communiqué : le nombre de dossiers et le nombre de plaintes. Deux informations pourtant essentielles afin d’estimer la performance de ce dit règlement et des autorités de protection des données.
Ainsi, entre les déclarations de la CNIL et les aveux de faiblesse du parlement européen, on comprend que les moyens mis à disposition des autorités - même s’ils sont importants et augmentent chaque année - ne suffisent pas à garantir le monde meilleur que nous promettait le digne descendant de la directive 95/46 CE. L’accessibilité, la modification et la suppression des données personnelles sur les applications, mises à disposition des consommateurs du monde entier, restent aujourd’hui un parcours sinueux.
« Tous concernés, tous responsables »
Alors oui, les autorités de protection des données manquent de moyens pour combattre entreprises et organisations qui ne respectent pas la réglementation, mais les utilisateurs sont-ils irréprochables ? Il semble qu’à cette question, il faille répondre par le négatif. En effet, la majorité des utilisateurs d’internet ne semble que peu préoccupée par l’utilisation de ses données personnelles.
Les conditions générales ne sont pas lues, ils ont la souscription aux abonnements facile, remplissent des formulaires sur internet, acceptent des cookies et exposent leur vie privée - et celle des autres - sur leurs réseaux sociaux. Mais peut-on leur en vouloir ? Tout le monde sait que les données personnelles sont utilisées par des multinationales - dont on ne doit pas prononcer le nom au-delà du domaine légal, mais personne ne recherche d'alternatives aux applications que ces entreprises proposent.
Faites un vœu…
En réponse au nouveau monde qui arrive plus vite que prévu - notamment suite à la pandémie engendrant l’explosion des prises de rendez-vous, achat de billets en ligne et l’augmentation du télétravail, la CNIL a publié son plan stratégique 2022-2024. Malgré l’utilisation importante des mots « poursuivre » et « renforcer », n’annonçant aucune révolution tangible, plusieurs axes de travail y sont décrits - dans lesquels le RGPD est omniprésent.
Le troisième axe identifié par la CNIL - « Nos priorités face à l’intensification des usages des données personnelles » - est sûrement le plus intéressant : caméras augmentées et leurs usages, transferts de données dans l’informatique en nuage et collectes de données personnelles dans les applications des smartphones, tout y passe. Mais la CNIL, est-elle suffisamment armée pour mener ces luttes face aux géants du numérique ?
Un autre passage attire l’œil : « C’est au niveau européen que se joue la prise en compte de la protection des droits des personnes par les grands acteurs du numérique. La CNIL y a, traditionnellement, un rôle moteur. » Le terme « traditionnellement »traduit, ici, l’impuissance de la CNIL - face aux autorités de protection des données d’autres pays - à faire valoir sa vision de la protection des données dont elle est la créatrice originelle.
On peut notamment rapprocher ce terme de « l’épisode » de mars 2021. Au moment où la CNIL a publié ses « lignes directrices modificatives » en lien, notamment, avec l’acceptation des cookies - précédemment cités et que certaines autorités de protection des données d’autres nationalités ont pris la décision de ne pas faire de même. Cela permet de soulever plusieurs points : une autorité de protection des données nationale peut-elle publier des « modifications » sur un règlement européen ? Pourquoi les autorités de protection des données d’autres pays n’ont pas suivi la France qui souhaite clarifier le RGPD et, ainsi, protéger les données de ses concitoyens ?
Vous l’aurez compris, le RGPD apporte beaucoup, mais ne résout pas toutes les problématiques. La prise de conscience et les efforts déployés par la CNIL sont réels et louables, et les amendes sont élevées, mais tout cela semble ne pas faire vaciller la politique de gestion des données personnelles des géants du numérique. Les utilisateurs doivent être plus investis et les autorités de protection des données doivent être mieux armées pour cette lutte du 21ème siècle. L’Europe de la défense numérique se doit de devenir une réalité !
Par Yann Entemeyer, consultant Gouvernance, risques et conformité chez Synetis