Le 25 mai 2020 marque le deuxième anniversaire de l’entrée en vigueur du Règlement général sur la protection des données (RGDP) en Europe. Sans doute le plus important texte législatif de ces dernières années sur les données personnelles.

Le Règlement général sur la protection des données (RGPD) entré en application en mai 2018 était très prometteur et se vantait d'objectifs ambitieux : créer un cadre juridique unifié en matière de collecte et d'utilisation des données à caractère personnel, responsabiliser les acteurs du traitement des informations sensibles et le renforcer le droit des personnes. Deux ans plus tard, a-t-il répondu à ces attentes ?

Un bilan globalement positif

Dans son rapport d’évaluation publié le 24 juin 2020, la Commission Européenne indique que le règlement a atteint la plupart de ses objectifs. Pour étayer ses propos, elle s’appuie notamment sur les droits opposables - tels que les droits d’accès, de rectification et d’effacement, le droit d’opposition et le droit à la portabilité des données - conférés aux citoyens qui sont désormais mieux armés et plus conscients des droits dont ils disposent. En effet, selon les résultats d’une enquête de l’agence des droits fondamentaux de l’Union européenne, « vos droits comptent : protection des données et vie privée - Enquête sur les droits fondamentaux », 69 % de la population de l’Union européenne âgée de plus de 16 ans connaît aujourd’hui l’existence du RGPD tandis que 71 % a entendu parler des autorités nationales chargées de la protection des données. On pense que de ce fait il leur est plus facile de faire valoir leurs droits, et qu’ils jouent un rôle plus actif dans l’utilisation qui est faite de leurs données. D’ailleurs, les notifications pour incidents de sécurité touchant les données personnelles et les amendes infligées aux entreprises au titre de manquement au RGPD se sont multipliées. Une enquête réalisée par le cabinet d'avocats DLA Piper en 2020 fait en effet état de 160 921 notifications enregistrées sur le plan européen entre le 25 mai 2018 et le 27 janvier 2020, pour un total de 114 millions d'euros d'amendes. Pour la période du 25 mai 2018 au 27 janvier 2019, il y avait en moyenne 247 notifications de violation par jour contre 278 entre le 28 janvier 2019 et 27 janvier 2020, peut-on lire dans cette étude. Les Pays-Bas, l'Allemagne et le Royaume-Uni arrivent en tête du tableau pour le nombre de violations de données notifiées aux régulateurs avec respectivement 40 647, 37 636 et 22 181 notifications.

La Commission Européenne fait également remarquer que l’harmonisation sur le plan européen des décisions des autorités de protection des données pour les traitements de données transfrontaliers est en relative progression. Ces dernières collaborent en effet dans le cadre du comité européen de la protection des données (CEPD) grâce au mécanisme du guichet unique, mécanisme qui a été créé par le RGPD et qui permet à une société traitant des données dans un contexte transfrontalier de n’avoir pour interlocuteur qu’une seule autorité de protection des données, à savoir l’autorité de l’État membre dans lequel est situé son établissement principal, charge ensuite à cet État de coordonner les décisions des autres autorités de protection des données entre elles.

Concernant l’impact du RGPD à l’international, le commissaire européen chargé de la justice, Didier Reynders, a quant à lui déclaré : « Le RGPD est devenu une référence à travers le monde pour les pays qui souhaitent accorder à leurs citoyens un niveau élevé de protection ». Pour Nora Bensaïd, DPO de la banque ING, le RGPD a surtout joué « un rôle de catalyseur pour de nombreux pays du Globe comme l’Argentine, le Japon ou encore l’État de Californie qui s’en sont inspirés pour moderniser leurs règles en matière de protection de la vie privée ».

Quant aux entreprises, la Commission note avec satisfaction qu’avec le RGDP, ces dernières, disposent dans toute l’Union européenne d’un référentiel unique qui établit des conditions de concurrence équitables avec les entreprises non européennes qui exercent leurs activités sur le territoire de l’Union.

C’est également un constat positif pour les entreprises qui développent « une culture du respect de la règlementation ». Cette culture est de plus en plus mise en avant par les sociétés engagées dans un programme de mise en conformité et elles le font de plus en plus valoir comme un avantage concurrentiel. Si les grandes entreprises sont les premières à en tirer profit, les PME, elles, s’en sortent moins bien : se mettre en conformité au RGPD reste un défi à la fois humain et financier. « La taille et à la culture des entreprises influent sur la mise en œuvre et le respect des obligations du règlement au point que certaines entreprises n’y sont toujours pas conformes à ce jour », ajoute Hélène Lebon, avocate associée, responsable du pôle data protection chez Franklin.

Suite à ce premier bilan des deux ans, la Commission devra fournir son prochain rapport d’évaluation et de réexamen du règlement dans quatre ans comme le prévoit l’article 97 du RGPD.

Des améliorations nécessaires

Si l’harmonisation du niveau de protection des données progresse dans l’Union européenne, le rapport déplore une certaine fragmentation dans la mise œuvre du RGPD. « Une problématique majeure dont les solutions restent incertaines à ce jour », affirme Hélène Lebon. Cela s'explique entre autres par la disparité des moyens alloués aux différentes autorités de protection des données. Si la Commission note que de manière générale, leurs effectifs ont augmenté de 42 % et leur budget de 49 % entre 2016 et 2019, « des écarts considérables persistent entre les États membres ».

Cette fragmentation s’illustre également par des décisions diverses, voire divergentes, entre les États membres de l’Union européenne, sur des dispositions législatives prévues par le RGPD, ou lorsque les autorités de contrôle prennent des positions qui leur sont propres. L’exemple des recommandations en matière de cookies wall - méthode permettant aux sites web de forcer les utilisateurs à accepter tous les cookies et traceurs, sous peine de perdre l’accès au site web – est flagrant. Dans son étude comparative des directives révisées par les autorités française, britannique, allemande et espagnole sur les cookies, l'association internationale des professionnels de la protection de la vie privée relève certaines différences d’approche. Alors que la Cnil interdisait l’utilisation des cookies wall (avant que le Conseil d’État n’invalide cette interdiction le 19 juin 2020), l’autorité espagnole de protection des données (AEPD) a, pour sa part, recommandé l’autorisation de ces cookies « tant que l’utilisateur en est informé et sauf si le refus signifie que l’utilisateur ne sera pas en mesure d’exercer un droit légal ». Côté britannique, l’Information Commissioner’s Office (ICO) a fait le choix d’une position équilibrée qui prend en compte d’autres droits, tels que celui de la liberté d’expression et la liberté de mener une entreprise : « Le consentement qui est forcé par un cookie wall n’est probablement pas valable. »

La coopération entre les autorités de protection des données doit être aussi améliorée. En effet, « le développement d'une culture européenne de protection des données véritablement commune entre les autorités chargées de la protection des données est toujours un processus en cours », souligne la commission. Le traitement des dossiers transfrontaliers par exemple requiert selon elle une approche plus efficace et plus harmonisée ainsi qu’une utilisation effective de tous les outils prévus dans le RGPD.

L’état des lieux en France

Sur le thème « La Cnil alliée de confiance du quotidien numérique », le gendarme français de la vie privée a publié le 9 juin 2020 son rapport d’activité pour l’année 2019. Ce document montre l’évolution de la situation en matière de protection des données personnelles lors de la deuxième année d’application du RGPD. La mobilisation autour du RGPD se traduit notamment par le nombre d’organismes ayant désigné un délégué à la protection des données (DPO) : 64 900, soit plus 31 % par rapport à l’année 2018. Les 62 000 inscriptions au cours gratuit proposé en ligne par la Cnil, atelier RGPD, montrent également l’ampleur de la mobilisation.

La Cnil peut aussi se prévaloir d’une assistance attentive aux PME - point qui est d’ailleurs particulièrement apprécié par la Commission européenne dans son rapport - en communiquant des modèles de clauses contractuelles ou de registre des activités de traitement, en proposant des webinars et autres rapports et fiches pratiques afin de clarifier certains points du règlement.

Autre élément non négligeable dans l’activité de la Cnil ces deux dernières années : la sanction que l’autorité a imposé à Google. Pour rappel, le 21 janvier 2019 la Cnil a prononcé une amende de 50 millions d’euros contre le géant américain, la plus élevée de toutes les sanctions imposées depuis l’entrée en application du RGPD. Dans sa décision, elle a considéré notamment que les informations fournies à l’utilisateur au moment de la création d’un compte, en particulier les informations essentielles sur les finalités, les durées de conservation ou les catégories de données pour la personnalisation de la publicité, n’étaient pas toujours claires et facilement accessibles, en plus d’être trop vagues. La collecte des données des utilisateurs se faisant à travers de nombreux services, l’autorité de contrôle a aussi considéré le traitement comme massif et intrusif. Enfin, la présence d’une case précochée par défaut rendait le consentement recueilli pour le traitement relatif à la personnalisation de la publicité invalide et non conforme aux exigences du RGPD. Google a saisi le Conseil d’État pour invalider cette sanction, lequel a confirmé l’amende infligée par la Cnil dans une décision rendue le 19 juin 2020.

Du côté des particuliers, le RGPD n’est pas non plus passé inaperçu. En témoigne une augmentation conséquente du nombre de plaintes, plus 27 % par rapport à 2018 avec 14 137 plaintes. Néanmoins, d’autres chiffres indiquent que certains responsables de traitement ne sont pas encore suffisamment au point : le faible volume de notification de violation de données, avec 2 287 occurrences, laisse penser que ce sujet n’a pas encore été bien intégré.

Autre point important, l’année 2018 avait vu les mises en demeure publique augmenter (27% contre 5% en 2017). En 2019, la tendance s’inverse complètement, sur 42 mises en demeure, seules 2 ont été rendues publiques, soit 4,7% des décisions.

La prochaine étape

Alors que les citoyens veulent plus de transparence sur l'utilisation de leurs données personnelles, l’entrée en vigueur du RGPD marque la première étape d’une politique manifeste du législateur européen de consolider la protection de la vie privée au sein de l’Union européenne.

D'autres textes sont déjà à l'étude : le règlement ePrivacy qui va compléter le RGPD pour encadrer la fourniture et l’utilisation de services de communication électroniques. « Ce règlement qui vise la protection de la vie privée en ligne aura un impact sur les activités spécifiques comme notamment le marketing ciblé, la gestion des cookies ou encore les données relatives au trafic et à la localisation », précise Nora Bensaïd. Initialement prévu pour entrer en vigueur en mai 2018, il est toujours en cours d'élaboration dans le cadre de négociations tripartites entre la Commission européenne, le Parlement européen et le Conseil de l'UE.

D’autre part, l’intelligence artificielle et notamment la reconnaissance faciale restent des sujets à forts enjeux économiques, mais aussi sociétaux qui attisent l’inquiétude des citoyens. Si cette technologie connaît de nombreuses avancées et si des impératifs de sécurité sont apparus ces dernières années, « il est plus que jamais nécessaire de protéger les libertés et les droits fondamentaux des citoyens », conclut la Cnil.

Enfin, le retentissant arrêt Schrems rendu le 16 juillet 2020 par la Cour européenne de justice (CJUE) qui oblige les entreprises à repenser la problématique du transfert de données personnelles de l’UE vers les États-Unis. En estimant que la législation actuellement en vigueur aux États-Unis ne permet pas d’assurer un niveau de protection conforme au RGPD, la CJUE a de fait invalidé le privacy shield, un dispositif entré en vigueur le 16 juillet 2016 à la suite d’un accord signé entre les États-Unis et l’UE afin de réglementer le transfert international de données personnelles. Les entreprises européennes qui ne peuvent fonctionner sans transferts de données, services de cloud, et serveurs dans des pays tiers hors UE devront désormais se tourner vers des solutions alternatives respectueuses du RGPD, en attendant une décision d’adéquation entérinant de nouvelles négociations entre l’Union européenne et les États-Unis.

Yannick Tayoro

Prochains rendez-vous

02 octobre 2024
Sommet du Droit en Entreprise
La rencontre des juristes d'entreprise
DÉJEUNER ● CONFÉRENCES ● DÎNER ● REMISE DE PRIX

Voir le site »

02 octobre 2024
Rencontres du Droit Social
Le rendez-vous des acteurs du Droit social
CONFÉRENCES ● DÉJEUNER  

Voir le site »

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

{emailcloak=off}

GUIDE ET CLASSEMENTS

> Guide 2024