Après un peu plus de cinq ans d’application, le RGPD n’a pas atteint tous ses objectifs, mais le bilan reste « globalement positif » pour le respect des droits des personnes et de sécurité juridique dans le marché intérieur. Il a en outre servi de base aux négociations avec les États-Unis sur le transfert des données.
Le règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 dans l’Union européenne, pour renforcer les droits des personnes concernées par le traitement de leurs données personnelles, responsabiliser les acteurs de ce traitement et à harmoniser les règles au niveau européen. Après cinq années de mise en œuvre, le bilan est positif, même si tous les problèmes — notamment celui du transfert des données hors des frontières de l’UE — ne sont pas encore réglés.
Parmi ses bénéfices, le RGPD a permis de sensibiliser les citoyens, les entreprises et les autorités publiques à l’importance de la protection des données personnelles. Déjà en 2021, une enquête Eurobaromètre révélait que 73 % des Européens se disaient conscients de l’existence du RGPD et 69 % savaient qu’il existe une autorité nationale chargée de veiller au respect de leurs droits en matière de données.
Renforcer le contrôle et la sanction des pratiques non conformes
Le RGPD a également renforcé la coopération entre les autorités de protection des données (APD) des États membres, qui doivent se coordonner et se consulter pour traiter les cas transfrontaliers impliquant des acteurs opérant dans plusieurs pays. Le Comité européen de la protection des données (CEPD), qui réunit les représentants des APD nationales et du Contrôleur européen de la protection des données (CEPD), joue un rôle clé dans cette coopération et dans l’élaboration de lignes directrices communes.
Le RGPD a enfin permis de renforcer le contrôle et la sanction des pratiques non conformes à la législation. Les APD disposent de pouvoirs accrus pour mener des enquêtes, ordonner des mesures correctives ou infliger des amendes administratives pouvant atteindre 4 % du chiffre d’affaires annuel mondial des entreprises. Depuis 2018, plus de 600 amendes ont été prononcées dans l’UE pour un montant total de plus de 300 millions d’euros.
L’Association française des correspondants à la protection des données à caractère personnel (AFCDP) a mené un sondage auprès des DPO de l’association pour faire ressortir les cinq temps forts de ces cinq premières années de mise en application du Règlement Général sur la Protection des Données (RGPD).
1. L’évolution de la sévérité des sanctions des autorités de contrôle, et en particulier le montant des amendes
Il s’agit d’une mise à l’échelle, une mise à niveau, selon deux axes différents : d’un côté, la considération du poids économique de l’acteur sanctionné. En effet, la sanction de plus d’un milliard d’euros pour Meta en est une illustration. De l’autre, la reconnaissance de la valeur des données personnelles.
« Nous avons aujourd’hui une vie qui est marquée par la génération de données à caractère personnel, ce n’est donc qu’un ajustement équitable face à des enjeux de plus en plus conséquents pour les particuliers ». Dans l’exemple de Meta, divisée par le nombre de mois et le nombre de personnes concernées, la sanction ne semble finalement pas disproportionnée.
2. L’invalidation du Privacy Shield, et le projet de remplacement en cours
L’invalidation du Privacy Shield est une source majeure d’insécurité juridique depuis l’été 2020 : soit on accepte de ne pas être au même niveau technologiquement que ses concurrents, soit on prend un risque juridique. Donc tout ce qui va dans le sens d’une solution est une bonne chose. La solution retenue avec le Data Privacy Framework (DPF) sera-t-elle la bonne ? Cela reste à confirmer, car les écarts de perception de chaque côté de l’Atlantique fragilisent tout nouvel accord.
3. La crise du Covid et ses conséquences en particulier sur les modes de travail
La crise sanitaire a démontré que nous étions désormais capables et assez mûrs pour déplacer les informations et les données et non plus les personnes. Ce qui a eu des conséquences importantes sur la protection des données personnelles : nos échanges laissent des traces bien plus importantes que lors d’une réunion physique où les personnes présentes pouvaient être contrôlées. Les DPO ont dû travailler dans l’urgence (cyberassurance des domiciles, charte de télétravail, sécurisation du BYOD, …). Aujourd’hui, l’avènement du travail hybride demande de trouver de nouveaux équilibres et de nouvelles règles pour gérer cette situation ambivalente.
4. Les décisions rendant illégale l’utilisation de Google Analytics
L’exemple de Google Analytics est une illustration concrète de la situation de monopole de certains acteurs, qui peut engendrer des problématiques d’envergure pour les professionnels. En effet, ici, l’outil est passé d’un suivi de fréquentation des sites, au moteur de la publicité de tous les acteurs du e-commerce, des médias, et bien d’autres. Pour les responsables marketing, se passer de Google Analytics représente une perte de performance, donc un enjeu de taille. Cet exemple illustre également les difficultés de prise de décision des autorités face à ces acteurs en situation de monopole. L’adoption du DPF a rendu caduques les décisions d’invalidation de Google Analytics, mais avec les risques de nouveau revirement juridique, de nombreux DPO recommandent de rester prudent et de préférer des solutions alternatives.
5. La recommandation de la CNIL sur les cookies
Les recommandations de la CNIL sur les cookies sont intellectuellement très pertinentes, mais leur mise en œuvre demande un investissement énorme pour en comprendre les attentes et comment les mettre en application. Peut-être présentent-elles trop de subtilités par rapport à la capacité d’adaptation des entreprises ? De plus se pose la question de savoir s’il s’agit d’une technologie pérenne. Dans ce cas, est-ce intéressant de règlementer ?