RGPD: Un an après, l’arbre qui cache la forêt

Published by Gabrielle Guerrini on

RGPD: Un an après, l’arbre qui cache la forêt

Introduction

Nous avions déjà dressé un premier bilan après quatre mois d’application, voici donc le moment de faire un point après avoir soufflé la première bougie. Pour ceux ayant passé une année sur une île déserte, petit rappel ici.

Les premiers mois d’application du règlement ont généré beaucoup d’incertitudes et d’interrogations au sein des entreprises et du grand public. Quelles sont les données concernées ? Comment doit-on recueillir le consentement ? Quels sont les risques d’être condamné ? …

Nous avons vu éclore, de nombreux outils et méthodologies « magiques » pour « être conforme RGPD », oubliant au passage que la conformité n’est pas une destination que l’ont atteint, mais bien un processus continue.

Si l’approche pédagogique de la CNIL semble avoir rassuré les inquiets, elle semble également avoir déçu ceux qui s’attendaient à un bouleversement, au point de voir se multiplier les commentaires faisant du Règlement un miroir aux alouettes.

Or, les deux vrais succès du RGPD résident dans la prise de conscience générale de l’impératif de protection des données personnelles et dans son effet « boule de neige » à l’international.

Des chiffres et des faits

Le premier point important à relever pour établir un bilan factuel est la relative bonne adoption du RGPD par les Etats-membres. Seuls cinq pays n’ont à l’heure actuelle, pas encore transposé le règlement dans leur législation nationale.

La commission européenne a publié une infographie qui nous apprend qu’après huit mois, près de 95 000 plaintes ont été reçues, dont plus de 11 000 par la seule CNIL et qu’elles concernent essentiellement les services de télémarketing, les campagnes de mailing et plus récemment le démarchage politique en vue des élections européennes.

Par ailleurs, l’obligation de notifier toute violation de données sous 72 heures après sa découverte, imposée par l’article 33, a permis de mettre en lumière un nombre très important d’incidents. Selon les chiffres de la Commission Européenne, 41 502 violations ont été signalées (Le cabinet DLA Pipper en recense 59 000 en incluant les membres de la Zone Economique Européenne).

A eux seuls, les Pays-Bas, l’Allemagne et le Royaume-Unis comptabilisent 38 600 violations de données, contre seulement 1300 pour la France.

Ces chiffres sont probablement sous-estimés, car un an après l’entrée en vigueur du règlement, seules 59% des entreprises se déclarent « conformes ». Elles seraient 62% en France contre 58% en Allemagne et 76% en Espagne selon une étude publiée par Cisco.

Or, il parait peu vraisemblable qu’une entreprise n’ayant pas lancé sa mise en conformité puisse notifier son régulateur d’une violation de donnée.

De plus, la multiplication des arnaques à la mise en conformité RGPD, ciblant principalement les petites et moyennes entreprises, est venu brouiller la compréhension des enjeux.

A titre d’exemple, en Allemagne, le RGPD a soulevé de nombreuses questions inattendues (lien en allemand) : les bailleurs sociaux doivent-ils recueillir le consentement de leurs locataires pour afficher leurs noms sur les interphones d’immeubles ? Les médecins doivent-il recueillir le consentement de leurs patients au début de chaque rendez-vous ? Quid des restaurants qui prennent des réservations ?  

Le dénominateur commun à ces situations, parfois inattendues, est la crainte de se voir sanctionner.

Côté amende, alors que l’article 83 prévoit la possibilité d’infliger une amende administrative pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial dans le cas d’une entreprise, les régulateurs ont manifestement privilégié la pédagogie.

En début d’année 2019, seules 91 amendes étaient comptabilisées, dont 60 rien qu’en Allemagne. Au regard des 95 000 plaintes et des 41 500 violations notifiées, cela semble anecdotique.

Même l’amende record de 50 millions d’euros infligée par la CNIL à Google semble dérisoire lorsque les textes lui donnaient le pouvoir d’infliger une amende de … 5.4 milliards d’euros.

Toutefois, Marie-Laure Denis, présidente de la CNIL, a récemment annoncé qu’en 2019 la « fermeté » serait de mise.

L’arbre qui cache la forêt

A première vue, ce premier bilan pourrait sembler en demi-teinte. En effet, beaucoup s’attendaient à des actions fortes, une mise au pas des GAFA et à des amendes records. Imaginez : 4% du chiffre d’affaires mondial d’Alphabet, Facebook, Amazon, Apple, Microsoft, Uber & co ! Des dizaines de milliards d’euros !

D’autres s’attendaient à un retournement du rapport de force entre les entreprises et les citoyens, qui, éclairés par le règlement, auraient eux aussi fait plier ceux qui s’enrichissent sur leur dos en exploitant et revendant leurs données personnelles. Pour ceux-là, le RGPD est incontestablement un flop.

Mais en réalité le premier réel succès du règlement est à aller chercher ailleurs : les données personnelles, leur protection et leur utilisation sont devenues un thème sociétal, économique bien sûr, mais également éthique, démocratique et géopolitique.

De nombreux consommateurs ont commencés à se demander ce que les entreprises privées dont ils utilisaient les services savaient d’elles, comment et pourquoi elles collectaient des données et quels impacts cela pouvait avoir sur leurs vies personnelles et sur celle de la collectivité.

Dans son Cyber Safety Insight report 2018, Norton révèle que 67% des français, 80% des allemands et 74% des britanniques sont « plus que jamais préoccupés » par le respect de leur vie privé sur internet

Il n’est donc pas étonnant de constater que la question du pouvoir et de l’influence des GAFAM et des BATX (Baidu, Alibaba, Tencent, Xiaomi – auquel on peut ajouter Huawei) est devenu un enjeu stratégique et de souveraineté.

Le sujet du transfert de données vers des pays tiers, traité au Chapitre V du Règlement, s’est particulièrement illustré avec l’adoption du Cloud Act américain. Le bras de fer toujours en cours (notamment autour de l’article 48) a permis à des acteurs comme Qwant, Signal ou OVH de bénéficier d’un coup de projecteur formidable.

Autre signe d’un intérêt marqué pour la protection des données personnelles, le succès du Mooc SecNumAcadémie de l’ANSSI qui depuis 2015 aurait connu près de 90 000 inscriptions.

L’effet « boule de neige »

Le second succès du RGPD est d’avoir créé un effet d’entrainement à l’échelle internationale. Entendons-nous : les dispositifs juridiques encadrant le traitement des données personnelles existent depuis de nombreuses années partout dans le monde, mais depuis 2016, de nombreux Etats annoncent se lancer ou concrétiser des dispositifs inspirés du Règlement européen.

Ainsi, on dénombre aujourd’hui 107 pays ayant ou étant en train d’encadrer le traitement des données à caractères personnelles, dont certains gros acteurs du numérique : Californie (California Consumer Privacy Act – CCPA), Chine (Popular Republic of China Cybersecurity Law), Japon, Brésil (Lei Geral de Proteção de Dados – LGPD), Inde (Personal Data Protection Bill – en cours), …

Carte interactive sur DLA Piper

Cette dynamique est extrêmement positive car elle permet d’augmenter le nombre de « pays d’adéquation » prévus à l’article 45 et vers lesquels les transferts de données ne nécessitent pas d’autorisation spécifique.

Cet effet boule de neige entraîne également les acteurs privés sur son passage.

Loin de simplement se mettre en conformité, certains ont décidé de revoir leurs stratégies vis à vis du grand public et de changer de paradigmes. Ainsi, Tim Cook avait déclaré à l’automne 2018 « Nous, chez Apple, soutenons totalement l’adoption d’une loi fédérale complète sur la protection de la vie privée aux États-Unis ». Apple a d’ailleurs fait du respect de la vie privée un argument phare pour ses iPhones.

Côté Facebook, Mark Zuckerberg a annoncé récemment un pivot stratégique vers la protection de la vie privée, qui nécessitera toutefois du temps à être mis en place.

Enfin, Sundar Pitchai mettait récemment en avant le « on-device processing » de certains produits de Google afin de limiter le traitement de données personnelles. Si nous sommes encore loin de la notion du « Privacy by Design » induite par l’article 32, il faut bien noter un fort changement d’orientation.

Mais ce virage stratégique vers la protection des données n’aurait pas été possible sans la médiatisation des incidents à répétition chez certains grands groupes, comme Facebook, Cambridge Analytica, Mariott, Google+, MyHeritage, British Airways, MyFitnessPal, Amazon, …  (plus connus du grand public qu’un Equifax !).

L’étude de Norton que nous citions plus haut révèle d’ailleurs que 22% des répondants ont déclaré avoir supprimé au moins un compte d’un réseau social sur l’année écoulée en raison de ces inquiétudes et que 95% d’entre eux souhaitent obtenir plus de contrôle sur leurs données personnelles.

Conclusion

Un an après son entrée en application, le RGPD a donc plus œuvré au niveau pédagogique pour la compréhension des enjeux de la protection des données à caractère personnelles que sanctionné les entreprises. L’avenir nous dira si cette stratégie s’avèrera payante, mais il semble qu’une prise de conscience globale et qu’une dynamique de réappropriation de la donnée soit bel et bien enclenchée.

Kevin Mekhloufi

Data Protection Officer
Categories: EXPERTISE EVA