RGPD : Quel bilan un an après son entrée en vigueur ?

RGPD : Quel bilan un an après son entrée en vigueur ?

Le 25 mai 2018, le Règlement européen pour la Gestion et la Protection des Données (RGPD) est entré en vigueur. Ce règlement, d’abord adopté par la Commission européenne le 8 mai 2016, avait pour but d’unifier la réglementation sur la protection des données. En effet, les législations existantes variaient beaucoup entre les différents pays de l’Union européenne. Un an après la mise en application de ce règlement, c’est l’heure d’un premier bilan. Que s’est-il passé ? Est-ce que les entreprises ont bien mis en place ces règles, et des sanctions ont-elles été données ? Il est difficile d’imposer la protection des données comme une préoccupation principale pour les entreprises. La mise en place des règles est un processus long qui demande une vigilance constante, et une mise à jour de nombreux processus.  

Demandez votre devis gratuit maintenant !

RGPD et fuites de données personnelles

Dans les premiers mois d’application du règlement, les comités de direction des entreprises ont eu du mal à positionner la protection des données au cœur de leurs priorités. Pourtant, le RGPD oblige les entreprises à déclarer toute faille de sécurité qui aurait pu provoquer une fuite de données personnelles, et cela dans les 72h après l’identification de celle-ci. Les entreprises ont donc dû intégrer de nouveaux processus de contrôle, et des procédures à suivre en cas de faille de sécurité.   En 2018, 59 000 incidents ont été signalés aux autorités de protection des données. Ces failles de sécurité vont de la petite erreur (envoi d’un mail à la mauvaise personne, perte ou divulgation de mot de passe) à la grosse cyberattaque et à la fuite de milliers de données personnelles. Avant l’entrée en vigueur du RGPD, ces failles n’étaient globalement pas reportées. Cet aspect est une réussite. Le RGPD a également clairement défini la notion de donnée personnelle. Auparavant, celle-ci était avant plutôt vague et différente entre les pays. Cette définition est maintenant uniformisée, et inclut non seulement les données « classiques » (nom, prénom, adresse, numéro de téléphone), mais aussi les adresses IP ou les données biométriques des individus.  

Information des utilisateurs

  En mars 2019, la Commission européenne a réalisé une enquête globale afin de connaître le taux d’information des citoyens européens sur la question de la protection de leurs données. La majorité des citoyens interrogés (67%) ont déjà entendu parler du RGPD. Pourtant, seulement 36% savent exactement de quoi il s’agit. Ces chiffres varient beaucoup entre les pays : 90% des citoyens suédois ont entendu parler du règlement, contre 44% des Français. La majorité des personnes interrogées étaient au courant d’au moins un des droits garantis par le RGPD.

De même, 57% des interrogés savent qu’il existe une autorité publique dans leur pays, chargée de la protection des droits relatifs aux données personnelles.

Le RGPD a indéniablement permis d’augmenter la sensibilisation des citoyens européens aux enjeux du traitement de leurs données personnelles. Cette sensibilisation est notamment due à la médiatisation de l’entrée en vigueur du règlement. Cependant, les citoyens n’ont globalement pas l’impression de pouvoir mieux contrôler leurs données personnelles. Les organismes ont l’obligation d’informer les utilisateurs du traitement, de la collecte, de la durée de stockage des données personnelles. Cependant, ces informations sont le plus souvent ajoutées à la longue liste des conditions générales ou des mentions légales des sites internet et contrats. La plupart des citoyens ne lisent pas ces conditions, et n’ont donc pas l’impression d’avoir plus de contrôle sur ses données.  

Le RGPD à l’échelle mondiale

  En dehors de l’Union européenne, d’autres pays sont en train d’aligner leur règlementation avec le RGPD. Ainsi, la Suisse, la Norvège, l’Islande et le Liechtenstein ont rapidement adopté des lois similaires. De même, de nombreux pays d’Afrique et d’Asie du Sud mettent en avant leur volonté de réguler le traitement des données, notamment ceux qui souhaitent établir ou garder des relations commerciales avec l’Europe. Au Brésil, le LGPD (Lei Geral de Proteção de Dados, ou Loi Générale de Protection des Données) entrera en vigueur le 15 août 2020.  

Sanctions

  Durant les premiers mois d’application du RGPD, les autorités de protection des données ont entamé de nombreuses investigations auprès d’entreprises et de collectivités. En premier lieu, ces autorités ont principalement établi des recommandations et des plans d’action, sans pour autant sanctionner. D’après le RGPD, les autorités peuvent exercer une sanction jusqu’à 4% du CA annuel d’une entreprise. Au cours de l’année, peu de sanctions ont ainsi été données. La seule sanction importante a été appliquée le 21 janvier 2019 par les autorités françaises envers Google (à hauteur de 50 millions d’euros) pour non-respect des lois de protection des données. Suite à cette première année, les autorités de protection des données vont probablement renforcer leurs contrôles et la sévérité de leurs sanctions.   Finalement, il reste encore beaucoup d’étapes pour arriver à une mise en place définitive des politiques de protection des données, d’information des utilisateurs, et de sanction des entreprises. Bien que tous les objectifs ne soient pas encore pleinement atteints, les retours sont cependant positifs. Lors d’une conférence tenue début 2019, les autorités de régulation de la protection des données ont qualifié cette première année d’application d’année de « transition ».