A l’ère du numérique et du partage toujours plus important de données, un cadre protecteur de ces dernières devait être approfondi. Le nouvel « or » du XXIème siècle attise les convoitises de grosses sociétés telles Facebook ou Google. Après de longues périodes de négociation au niveau européen, le RGPD est finalement entré en vigueur le 25 Mai 2018, instaurant un cadre commun de protection de ces données.
Un an après, il est temps de regarder dans le rétroviseur et de faire le bilan.
Non, l’idée d’une législation protectrice des données personnelles remonte à quelques années : en effet, le texte du RGPD a été adopté définitivement le 14 avril 2016 par le Parlement européen après de longues négociations, et promulgué au Journal Officiel le 27 avril 2016. Cependant, c’est par la loi n° 2018-493 du 20 juin 2018, promulguée le 21 juin 2018, qui a modifié la loi Informatique et Libertés du 6 Janvier 1978 afin de mettre en conformité le droit national avec le cadre juridique européen. Il remplace l’ancien texte de référence européen de 1995 en matière de protection des données personnelles.
Il a été conçu pour adapter et moderniser la législation et harmoniser le cadre juridique européen dans ce domaine. Toutes les entreprises, organismes publics et associations des 28 Etats membres de l’Union européenne qui collectent des données à caractère personnel sur les résidents européens sont concernés. Les organisations issues de pays en dehors de l’UE sont aussi concernées si elles collectent et traitent des données personnelles de résidents européens.
Hier CIL (Correspondant Informatiques et Libertés), le DPO (Data Protection Officer), sur le fondement de l’article 37 du RGPD, devient un acteur incontournable de la mise en conformité au RGPD.
La désignation d’un DPO n’est pas obligatoire dans certains cas, cependant elle est fortement recommandée et peut être mutualisée entre plusieurs entités d’une même organisation. Il a un double rôle de conseil et de contrôle dans l’application du règlement : il a un périmètre d’action particulièrement large car il doit connaitre et veiller à l’application de l’ensemble des dispositions européennes et nationales relatives à la protection des données.
La CNIL endosse un rôle central dans l’accompagnement à la mise en place de cette nouvelle norme de référence. En effet, elle est investie de plusieurs pouvoirs, notamment de sanction, qui a d’ailleurs été renforcé par le RGPD. Elle se charge aussi d’informer, de conseiller et d’accompagner les différents acteurs dans leur mise en conformité au RGPD. Elle est une autorité administrative indépendante chargée de veiller au respect et à l’effectivité de la mise en place de ce règlement.
Les pays qui ont imposé des amendes au titre du RPGD l’ont généralement fait à une échelle très limitée. L’Autriche n’en a ainsi infligé que trois, toutes liées à la vidéosurveillance illégale. On en dénombre quatre à Chypre et au Portugal, deux en Pologne et une aux Pays-Bas. Cette dernière est toutefois importante. Uber doit en effet verser 600.000 euros pour ne pas avoir signalé de violation de la sécurité. Pour la même raison, La Lituanie a infligé une amende de 61.500 euros à la banque en ligne MisterTango.
Le Grèce a de son côté condamné des opérateurs télécoms à payer 150.000 euros pour avoir « passé des appels non sollicités » et des sociétés pétrolières à verser 30.000 euros pour notamment « traitement illégal et non-respect des mesures techniques et organisationnelles requises ». Le Portugal a quant à lui infligé une amende de 400.000 euros à un hôpital pour avoir permis au personnel d’avoir « un accès indiscriminé aux données des patients ».
En Allemagne, l’autorité chef de file a infligé 75 amendes en vertu du RGPD pour un total de 449.000 euros. Le montant le plus élevé était de 80.000 euros
Pays reconnu pour son attachement à la protection des droits et libertés, la France, à l’instar de l’Allemagne, fait partie des pays les plus sévères en terme de sanction et d’amendes infligées. En effet, la CNIL a pu condamner pour « manque de mesures techniques sécurisant les données des clients » à 250.000 euros à Bouygues Telecom, à 400.000 euros à Uber, 50.000 euros à Dailymotion et 250.000 euros à Optical Center. Son amende la plus conséquente, soit 5 millions d’euros, a été adressée à Google pour un ensemble de problèmes liés à la confidentialité des données autour de la publicité ciblée. Ce montant représente à lui seul près de 90% de toutes les amendes infligées dans l’Union européenne au cours de la première année du RGPD, soit environ 56 millions d’euros. Cependant, avec un chiffre d’affaire annuel en 2018 de 142 milliards de dollars, le coût de cette amende infligé à Google par la CNIL semble être une goutte d’eau dans l’océan… L’efficacité des moyens donnés à la CNIL pour parvenir à ses fins sont donc largement à remettre en question.
Un bilan dressé peut donc être le suivant : une large prise de conscience collective concernant la nécessité de sécuriser l’usage de nos données corrélée à l’efficacité relative de dispositions contraignantes qui peuvent entacher l’efficacité du RGPD. En effet, le pouvoir de sanction de la CNIL, bien que renforcé par le RGPD, reste tout de même plus symbolique que réellement contraignant, à l’heure actuelle en tout cas…