Gouvernance
La CNIL célèbre le 5e anniversaire du RGPD
Par Thierry Derouet, publié le 25 mai 2023
Le 25 mai 2018, soit il y a exactement 5 ans, le RGPD est entré en vigueur. Bilan d’un premier règlement européen sur un avenir numérique qui va continuer à être de plus en plus réglementé.
« Selon que vous serez puissant ou misérable, les jugements de cour vous rendront blanc ou noir ». Cette maxime de Jean de La Fontaine dans « Les Animaux malades de la peste » a-t-elle été contredite ou non, 5 ans après la mise en application du Règlement général sur la protection des données personnelles (RGPD) ?
Selon Max Schrems, avocat autrichien, activiste et fondateur de l’organisation à but non lucratif NOYB (None Of Your Business), il n’en serait rien. En effet, même si à l’occasion du cinquième anniversaire du RGPD, la CNIL irlandaise a décidé d’imposer à Meta une sanction historique de 1,2 milliard d’euros, portant le total des amendes infligées à la société mère de Facebook, Instagram et WhatsApp depuis 2018 à plus de 2,5 milliards d’euros, on serait encore loin du compte. Pour notre activiste, Meta continuerait d’empocher « 10 à 20 fois plus d’argent en violant la loi ».
Alexandre Lazarègue, avocat spécialisé en droit du numérique, fait la même affirmation : « Quelle est la valeur d’une amende de 1 milliard d’euros pour Facebook lorsqu’elle génère 117,9 milliards de dollars de revenus publicitaires ? » D’autant plus que Meta conteste à chaque fois. Meta a déjà indiqué vouloir faire appel devant la Cour de justice de l’Union européenne (CJUE). « Plusieurs procédures similaires sont déjà en cours pour des sanctions antérieures, et on peut s’attendre à ce qu’aucune décision ne soit prononcée avant de nombreux mois », rappelle Patrick Blum, délégué général de l’AFCDP.
Un texte initialement imparfait
Initialement, le RGPD avait pour objectif de mieux protéger les particuliers concernant le traitement de leurs données personnelles et de responsabiliser les professionnels. Le RGPD s’est, année après année, imposé non sans heurts. Rappelons notamment que ce même Max Schrems a joué un rôle clé dans l’invalidation de l’accord « Safe Harbor » entre l’Union européenne et les États-Unis en 2015, ainsi que dans l’invalidation de son successeur en 2020, le « Privacy Shield ».
Ces accords visaient à faciliter le transfert de données personnelles entre l’UE et les États-Unis. Schrems a permis de démontrer qu’ils ne fournissaient pas une protection adéquate des données en vertu du droit de l’UE. Selon les premiers délégués à la protection des données, le « Privacy Shield » était une énorme faille qui pénalisait plus les entreprises utilisant des outils non américains.
Pour Patrick Blum, « l’Union européenne va sans doute valider le projet de “Data privacy framework” censé régler les transferts de données entre les États-Unis et l’Union européenne en remplacement du Privacy Shield, malgré l’opposition du Parlement européen et du Comité européen de la protection des données. »
Ce qui conduira probablement à un troisième deal annulé car, selon Max Schrems, à l’origine de l’annulation des deux précédents, sur le fond rien n’a changé : « il semble que les États-Unis soutiennent toujours l’idée que les personnes non américaines ne devraient pas avoir de droits fondamentaux ».
À LIRE AUSSI :
Des impacts positifs sur l’utilisation des données
Interrogés par l’institut Opinionway, en collaboration avec le magazine Challenges, 221 dirigeants d’ETI (enquête menée du 21 avril au 12 mai 2023) ont été questionnés sur leur perception du RGPD. Il en ressort que la majorité des dirigeants d’ETI sont désormais conscients des enjeux du RGPD (83 % d’entre eux affirment en comprendre les implications, dont 46 % parfaitement). Seuls 17 % déclarent ne pas en comprendre les tenants et aboutissants.
Le RGPD a donc eu plusieurs impacts positifs sur les organisations en abordant la question de la protection des données et en offrant l’occasion d’établir une série de bonnes pratiques pour leur sécurité comme pour leur confidentialité. Il a également renforcé la confiance des consommateurs et des clients, car les entreprises sont désormais tenues de démontrer que les données personnelles de leurs utilisateurs sont effectivement protégées.
Cependant, selon l’étude d’Opinionway, quelques difficultés persistent lors de la mise en conformité au RGPD : l’évaluation de la conformité des sous-traitants est en tête de liste (37 %), suivie par le manque de conformité des contrats avec les fournisseurs et les clients (20 %) et la réalisation des analyses d’impact (19 %).
Mais un impact insuffisant sur les pratiques de sécurité
En pratique, le RGPD a toutefois plus mis en évidence les mauvaises pratiques des géants américains de la Tech que les mauvaises pratiques de cybersécurité des entreprises européennes. Si le texte a popularisé les bonnes pratiques en matière de protection des données, il n’a pas effacé pour autant les difficultés des entreprises à les mettre en oeuvre. « Sans moyen d’identifier, de gérer et de hiérarchiser les mauvaises configurations et les vulnérabilités, l’adhésion à une législation telle que le RGPD peut s’avérer une tâche décourageante et désordonnée, voire tout à fait impossible » rappelle Chris Vaughan, VP Technical Account Management EMEA chez Tanium.
Dans la pratique, les autorités nationales ont d’ailleurs concentré leurs efforts sur de mauvaises pratiques d’utilisation des données et non sur l’application des mesures de sécurité imposées par le RGPD. « L’analyse des statistiques relatives aux amendes montre que la majorité des infractions concernent le non-respect des principes du RGPD en matière de traitement des données » constate de son côté Dirk Schrader, CP of Security Research chez Netwrix. « Seulement 10 % des amendes sont ainsi liées à l’insuffisance des mesures techniques et organisationnelles mises en place pour sécuriser l’information ».
À LIRE AUSSI :
Un RGPD contagieux…
Le RGPD a néanmoins une autre vertu, comme le souligne Alexandre Lazarègue : « De nombreux pays hors de l’Europe ont dû, à leur tour, légiférer sur leurs données personnelles, à l’image de la Chine ou de certains États américains comme la Californie (California Consumer Privacy Act [CCPA] et la California Privacy Rights Act [CPRA]) ». D’autres États, tels que le Connecticut, le Colorado, l’Utah et la Virginie, ont également adopté des lois complètes sur la protection de la vie privée au niveau de l’État. Pas mal pour un texte imparfait !
… mais un RGPD fondateur
Cinq ans après sa mise en application, le RGPD reste un modèle du genre. D’après Paul Olivier Gibert, président de l’AFCDP : « Le RGPD est un texte de rupture : il y a un avant et un après RGPD. »
Copié, compris, contesté, il a notamment permis d’imposer de nouvelles sanctions avec les DMA et DSA en cours d’application dans tous les pays de l’UE. Et là, les sanctions seront plus sévères : il faudra d’abord payer avant de pouvoir les contester. Rendez-vous dans 5 ans ?
NOYB : Les autorités nationales trahissent le législateur européen
La plus active des associations de défense des données privées et de respect du RGPD, NOYB, dresse un constat très amer de 5 ans d’application du RGPD. L’association constate que sur les 800 procédures engagées, 85% restent en attente de décision. Et le responsable de l’association, Max Schrems, n’est pas tendre avec les autorités de régulation locales comme la CNIL et les transcriptions nationales du texte européen. La France et la Suède sont même considérées comme faisant partie des plus mauvais élèves puisque dans leur implémentation nationale du RGPD « un plaignant n’est pas partie prenante de sa propre procédure », la CNIL représentant en France les plaignants.
Pour Max Schrems, « Le RGPD a bénéficié d’un soutien politique très fort. Mais cinq ans après son entrée en vigueur, nous constatons une forte résistance de la part des autorités et des tribunaux à faire appliquer la loi. Le législateur s’est exprimé, mais les tribunaux et les autorités nationales trouvent constamment de nouveaux moyens de ne pas l’écouter. On a souvent l’impression que l’on consacre plus d’énergie à saper le RGPD qu’à s’y conformer ».