RGPD : un an après ….

…des objectifs non atteints

Le 25 mai 2018 entrait en application un nouveau règlement européen visant à mieux protéger les données personnelles des Européens : le RGPD. Rares sont les réglementations qui ont fait l’objet d’une médiatisation équivalente par le passé.

Première certitude, le RGPD aura permis de favoriser la sensibilisation des citoyens aux enjeux liés aux traitements de leurs données. Conséquence directe, le nombre de plaintes a très largement augmenté en France et partout ailleurs dans l’Union européenne. Lorsque, dans les années 2000, la CNIL recevait environ 3.000 plaintes par an, elle en a reçu plus de 11.000 en 2018. En Europe, ce sont plus de 100.000 plaintes qui auront été déposées par des citoyens et associations en l’espace d’une année.

Derrière ce nombre grandissant de plaintes, les sanctions prononcées par la CNIL et ses homologues européens n’ont pourtant pas encore réellement augmenté en volume. Or, c’est bien souvent le risque de sanction qui incite les acteurs privés comme publics à se mettre en conformité. Le RGPD a pourtant muni les autorités de nouveaux pouvoirs de sanction bien plus dissuasifs : des amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial.

La CNIL a été la première autorité en Europe à réellement utiliser ses nouveaux pouvoirs, en prononçant une amende administrative de 50 millions d’euros à l’encontre de Google LLC. Mais à titre de comparaison, cette sanction reste bien en deçà de celles prononcées par la Commission européenne à l’encontre de Google sur les années 2018-2019 – respectivement 4,34 et 1,49 milliard d’euros – pour d’autres violations : renforcement de position dominante et pratiques anticoncurrentielles. En Europe, la majorité des sanctions prononcées sont de l’ordre de quelques milliers d’euros. Le respect de certaines obligations réglementaires est, il faut bien le reconnaître, parfois inefficace. Une très bonne illustration en la matière concerne le droit d’information.

Les organismes traitant des données personnelles ont l’obligation d’informer les personnes concernées lors de la collecte de leurs données : des finalités du traitement de données, de leur durée de conservation, etc. Pour le citoyen, cette obligation se manifestera en de longues mentions d’informations qu’il aura gré de retrouver au niveau de formulaires de collecte de données, ou au sein de politiques dédiées à la protection des données personnelles. A l’instar des conditions générales d’utilisation d’un service, la première des réactions d’un individu consistera à ne pas lire ces mentions et à les accepter le plus rapidement possible pour en être tout bonnement débarrassé. Une réaction somme toute parfaitement compréhensible puisque, dans de nombreux cas, ces mentions informatives sont trop longues, pas très intéressantes, ni compréhensibles pour les non-initiés.

L’intention de transparence était bonne, mais l’objectif n’est sans doute pas atteint. Certes, les citoyens sont globalement mieux informés et armés en 2019 face aux pratiques des organismes traitant leurs données personnelles. Pourtant, il existe encore un sentiment d’impuissance des citoyens face aux pratiques de certains organismes, qui n’ont pas encore pris toute la mesure de l’importance de la protection des données, ou qui, volontairement, en applique les règles assez librement.

Un long chemin reste encore à parcourir pour que les objectifs du RGPD soient pleinement atteints et ce dernier nécessitera certainement quelques nouveaux ajustements réglementaires ainsi qu’un durcissement de la doctrine des autorités au niveau européen.

Source Les Echos

top