Deux ans après, le RGPD est-il efficace?

Décryptage – Du 25 au 27 juin 2020 s’est déroulée en France la première édition des journées consacrées au règlement général sur la protection des données personnelles (RGPD). L’occasion de dresser un état des lieux sur cette législation européenne avant-gardiste, qui a fêté ses deux ans d’existence.

Difficile aujourd’hui de passer à côté de cet acronyme. Tous les jours, la presse française et internationale font référence à lui : le RGPD. Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données personnelles a pour objectif de renforcer les droits des citoyens concernant le traitement de leurs informations privées numériques. On entend par “traitement”, toute opération que ce soit la collecte, la communication et la modification des informations digitales d’une personne. Au total vingt-huit pays de l’Union Européenne, dont la France, ont signé cette nouvelle législation qui met en place un cadre juridique ainsi qu’un bon nombre de règles auxquelles toutes les entreprises qui détiennent des données personnelles doivent se conformer. 

Quatre principes se dégagent du RGPD : le consentement, la transparence, le droit des personnes et la responsabilité des organismes publics et privés. Ce qui signifie que les sociétés doivent obligatoirement obtenir un consentement libre, éclairé et univoque des internautes avant d’utiliser leurs données. Les entreprises mais aussi les organisations publiques doivent informer clairement les individus sur la façon dont leurs informations numériques sont traitées et surtout, elles doivent mettre en place toutes les mesures adéquates pour sécuriser les données personnelles obtenues. La réglementation européenne a créé de nouveaux droits pour les citoyens, notamment le droit à l’oubli. Il permet aux personnes qui le souhaitent de faire supprimer l’intégralité ou une partie de leurs informations sur le Web. Des mesures censées redonner aux internautes le contrôle sur leur vie numérique.

Une prise de conscience à l’échelle mondiale

La mise en place du RGPD a engendré une réelle prise de conscience collective. Les internautes français sont devenus plus attentifs sur les sites administratifs et commerciaux mais également sur l’ensemble de leurs réseaux sociaux. Plus soucieux, ils hésitent moins à dénoncer les dysfonctionnements liés au traitement de leurs informations personnelles. Selon le rapport d’activité 2019 de la CNIL, 14.137 plaintes ont été déposées en France, soit une augmentation de 27% par rapport à 2018. La grande majorité des plaintes porte sur la diffusion de données privées (identité, géolocalisation, photographies, vidéos) sur Internet.

Sur l’ensemble du territoire européen, plus de 280.000 notifications ont été enregistrées depuis le 25 mai 2018. Des résultats satisfaisants qui réjouissent la Commission européenne, à l’initiative de ce projet. Perçu comme un signal fort, ce nouveau règlement européen déclenche rapidement un tsunami mondial, inspirant un bon nombre de pays à modifier leur législation en matière de protection de données. C’est le cas de l’Argentine, du Japon, du Bénin ou plus récemment du Brésil, dont la loi (Lei Geral de Proteção de Dados) entrera en vigueur en août 2020. Même aux États-Unis, les choses évoluent. La Californie s’est dotée depuis janvier de la loi la plus stricte du pays sur la sécurité des informations numériques, alors qu’elle abrite les plus grandes entreprises du Web.

TPE et PME sanctionnées

Une surprise de taille : les GAFAM étant dans le viseur du RGPD depuis sa mise en place. Plus d’une centaine de plaintes pour manquement aux obligations de transparence et d’information ont déjà été déposées contre eux et font les frais de lourdes sanctions financières. La dernière en date : Google. L’entreprise américaine doit s’acquitter d’une amende de 50 millions d’euros. Son recours auprès du Conseil d’État français ayant été invalidé le 19 juin 2020. «C’est une belle victoire puisqu’il s’agit de la plus grosse amende infligée en Europe», déclare Marie-Laure Denis présidente de la CNIL. 

Si les multinationales comme les GAFAM sont les plus lourdement sanctionnées, elles ne sont pas forcément les plus exposées. Ayant le plus souvent dans ses collaborateurs des juristes expérimentés sur le RGPD, le risque de dysfonctionnement est limité. Les petites entités, comme les TPE, PME ou associations, souvent peu renseignées, se retrouvent en défaut et donc sanctionnées. En deux ans, la France a administré sept amendes à des entreprises contrevenantes, pour un total de 51.370.000 euros. Parmi les sociétés épinglées, on peut citer Sergic (400.000 euros), Bouygues Telecom (250.000 euros), Darty (100.000 euros), ou encore l’Office HLM de Rennes (30.000 euros).

70% des sociétés françaises pas aux normes

Sur l’ensemble des pays soumis à la réglementation européenne, le constat est le même. Aux côtés de Google, d’Uber ou encore de Facebook, des acteurs publics ont été sanctionnés. C’est le cas notamment en Norvège, l’autorité de contrôle norvégienne (la Norwegian Supervisory Authority) a condamné la ville de Bergen à payer une amende de 170.000 euros pour violation des dispositions relatives au RGPD. La municipalité a été accusée de ne pas avoir suffisamment mis en place de mesures de sécurité. En effet, plus de 35.000 comptes d’utilisateurs, qui appartenaient principalement aux élèves d’écoles primaires de la ville, avaient été diffusés librement sur le web lors d’un incident informatique. Sur les 28 pays européens, seulement sept n’ont prononcé aucune sanction financière. 

Pour la plupart des entreprises, la mise en conformité avec le RGPD se révèle être un véritable casse-tête. Près de 70% des sociétés en France n’étaient pas aux normes en 2019.  Ces dernières ne disposent pas forcément des ressources matérielles et humaines nécessaires en interne. Un investissement coûteux allant jusqu’à des dizaines de millions d’euros. Ces structures doivent acquérir de nouveaux collaborateurs compétents pour appréhender les aspects techniques et juridiques qu’englobent la législation. Près de 21.000 délégués à la protection des données (DPO) ont été recrutés en 2019. Mais l’offre de candidats demeure réellement insuffisante par rapport à la demande croissante des entreprises.

Un RGPD impuissant ?

En cas de violation de données à caractère personnel, l’amende peut se monter jusqu’à 4 % du chiffre d’affaires mondial annuel de la société ou 20 millions €, selon ce qui est le plus élevé. Une mesure censée dissuader les entreprises à aller à l’encontre du règlement. Pourtant, les petites et moyennes entreprises, se croyant invisible par rapport aux géants du Web et par conséquent à l’abri des sanctions, se laissent aller à des pratiques illégales comme celle du “jeu concours”. La société organise un jeu sur ses réseaux sociaux. Elle récupère les données personnelles des participants au tirage au sort et les ajoute dans son fichier client afin d’envoyer aux joueurs des publicités ciblées ou des newsletters.

Autre pratique, la méthode du Cookies Wall, aussi appelée Bundling. Cette dernière consiste à ne pas autoriser un individu à pénétrer sur un site s’il n’accepte pas les cookies, fichier qui est déposé par le navigateur sur votre ordinateur lorsque vous surfez sur Internet. Cette pratique controversée, qui avait été interdite par la CNIL, vient d’être autorisée en France par le conseil d’État depuis le 19 juin 2020. Un pied de nez assez violent pour le RGPD, puisque cela légalise le consentement forcé, l’un des principes fondateurs du règlement européen de protection des données.