Le 25 mai 2018, un nouveau règlement européen visant à mieux protéger les données personnelles des Européens rentrait en vigueur : le Règlement Général sur la Protection des Données, plus connu sous l’acronyme RGPD ».
A la suite de cette initiative, les citoyens de l’Union Européenne ont vu leurs droits s’étendre, vis-à-vis de leurs données privées enregistrées sur internet, dans le but de mieux contrôler leur utilisation : droit à l’oubli en supprimant leurs données sur internet, droit d’être informés en cas de fuite de données, droit d’accéder à toutes les données stockées ou encore le droit de savoir quelles données sont exploitées par les entreprises et dans quel but, afin de s’y opposer.
Presque deux ans après sa mise en application, quel impact a eu cette législation sur les pratiques des entreprises et des consommateurs et quel bilan en tirer ?
Une réelle prise de conscience
Quelques mois après l’entrée en vigueur de cette nouvelle législation, les messageries des consommateurs sont inondées de mails de la part des marques, qui les invitent à renouveler leur consentement afin d’être toujours présents dans leurs bases de données. Sur les sites web, des bannières s’affichent maintenant automatiquement afin de recueillir le consentement des visiteurs quant à l’utilisation de leurs cookies.
Du fait de son importante médiatisation et des campagnes d’information qui ont été réalisées, le RGPD a marqué un réel tournant quant à la sensibilisation à la protection des données personnelles et leur traitement, tant pour les consommateurs que pour les professionnels.
Première conséquence directe : le nombre de plaintes des consommateurs a très largement augmenté en France et partout ailleurs dans l’Union européenne. En effet, cette législation est aujourd’hui mise en œuvre par tous les Etats de l’Union européenne à l’exception de la Grèce, du Portugal et de la Slovénie.
Pour comparaison, dans les années 2000, la CNIL – Commission Nationale de l’Informatique et des Libertés – autorité de contrôle chargée de la bonne application du RGPD en France, recevait environ 3 000 plaintes par an. En 2018, elle en a reçu plus de 11 000[1].
Ces plaintes portent principalement sur :
- La diffusion des données sur internet (et notamment la difficulté de suppression)
- Le secteur marketing / commerce avec le démarchage abusif
- Les ressources humaines
- La banque et le crédit
- La santé et le social
Plus globalement, en Europe, ce sont plus de 100 000 plaintes déposées par des citoyens et associations sur une année. En mai 2019, environ 145 000 plaintes et questions ont été enregistrées auprès des autorités nationales chargées de faire respecter le RGPD[2].
« Les citoyens européens sont devenus plus conscients de leurs droits numériques, ce qui est une bonne nouvelle », commente Andrus Ansip, ancien commissaire au Numérique. En fin d’année 2018, un sondage IFOP réalisé pour la CNIL confirmait ce point car 66% des Français se disent « plus sensibles à la question de la protection des données personnelles »[3].
Cependant, malgré ces chiffres encourageants, un défi demeure : celui de faire connaître leurs droits aux citoyens. Selon un Eurobaromètre publié en juin 2019 et fondé sur les réponses de plus de 27 000 Européens, seuls 20% d’entre eux savent quelle autorité publique est responsable de la protection de leurs données, 73% ont entendu parler d’au moins un de leurs droits et 67% connaissent l’existence du RGPD. Les citoyens français étant moins bien informés que leurs voisins car seuls 44% ont entendu parler du règlement[4].
Pour répondre à ce défi, une nouvelle campagne de sensibilisation a été lancée à l’été 2019 par la Commission Européenne.
Du côté des entreprises et des institutions cette fois-ci, les chiffres publiés en 2019 par la CNIL traduisent également cet « effet RGPD »[5] :
- 189 877 appels reçus en 2018 (+22% par rapport à 2017)
- 283 742 consultations de la rubrique Questions/Réponses sur le site cnil.fr en 2018
- 8 millions de visites sur le site cnil.fr (+80%)
Les impacts pour les institutions et les entreprises
D’après la CNIL, cette première année 2018 a été une période de transition et de sensibilisation des entreprises et non de répression. L’autorité française avait prévenu les entreprises que la date du 25 mai ne serait pas une date couperet, les premiers mois étant consacrés à un accompagnement des entreprises dans la compréhension du règlement.
Cependant, malgré l’augmentation du nombre de plaintes de la part des consommateurs, il n’y a pas eu beaucoup de sanctions supplémentaires à l’égard des entreprises qui ne respectaient pas le RGPD.
Pourtant, cette dernière a muni les autorités de nouveaux pouvoirs de sanction : des amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial.
Toutefois, avec à peine 200 agents, seulement 22 de plus qu’en 2013, la CNIL n’a pas les moyens d’effectuer de nombreux contrôles ni même de les approfondir. Plus concrètement, sur l’année 2018, la CNIL a effectué 310 contrôles sur place et 51 en ligne, tous types de structures et de secteurs d’activité confondus. Sur l’ensemble de ces contrôles, 57% sont initiés par la CNIL elle-même et seulement 22% sont la conséquence d’une plainte ou d’un signalement[6].
Ainsi, l’intervention de la CNIL s’est faite en majorité pour des négligences et non pour de réelles violations du règlement. En mai 2019, nous comptions 49 mises en demeure et seulement quelques sanctions financières émises. Parmi ces sanctions, le 21 janvier 2019, la CNIL a été la première autorité en Europe à réellement utiliser ses nouveaux pouvoirs en condamnant Google a une sanction de plus de 50 millions d’euros pour ne pas avoir rendu ses informations suffisamment accessibles pour les utilisateurs. Cette sanction constitue un tournant dans la politique de sanctions de la CNIL, qui compense la faiblesse de ses moyens par la peur qu’elle pourra ainsi susciter pour les responsables de traitement.
L’ancienne présidente de la CNIL, Isabelle Falque-Pierrotin, avait d’ailleurs tenu à donner un sens à cette sanction : « Nous avons toujours une volonté d’accompagnement forte mais, à partir de maintenant, c’est la fin d’une certaine forme de tolérance, un an après l’entrée en vigueur du RGPD. L’accompagnement ne serait pas crédible sans contrôle assorti, le cas échéant, de sanctions ».
Quelles évolutions pour le RGPD ?
Ainsi, après presque deux ans de mise en œuvre, les
premières limites du RGPD sont parfaitement perceptibles. Dans un premier
temps, rien n’indique que la CNIL sera en mesure d’accroître ses contrôles afin
de vérifier que les responsables des traitements respectent les règles. De
plus, concernant les sanctions, nous pouvons craindre que leur grande rareté,
en partie due au manque de moyens de la CNIL, atténue le caractère incitatif de
la hausse des plafonds de sanctions.
D’un autre côté, l’insuffisance du RGPD à contrer le pouvoir des GAFA constitue
une nouvelle menace et un nouveau risque pour les consommateurs, avec notamment
l’utilisation et le dépôt des cookies. En effet, selon une étude menée par
Tead’s, un cabinet spécialisé dans le numérique, 95% des internautes donnent
automatiquement leur consentement au dépôt de traceurs sur leur smartphone ou
ordinateur. Les utilisateurs ne se méfiant pas assez des cookies, véritables
aspirateurs à données, cela constitue une captation immense de données par les
géants du numérique dans le but d’alimenter leurs systèmes de publicités
ciblées. Toutes ces données nourrissent ensuite des algorithmes permettant de
prédire les comportements, voire de les orienter.
Le RGPD devra ainsi être jugé sur le long terme, sur sa capacité à devenir un outil juridique de régulation et d’encadrement de ces géants, à la fois pour protéger nos vies privées mais aussi pour limiter leurs pouvoirs. La question de l’implication des pouvoirs politiques, afin de prendre les mesures nécessaires pour contrer les GAFA, se pose également.
En conclusion, il est donc nécessaire d’aller plus loin
encore en faisant évoluer cette réglementation afin de s’adapter en permanence
et garantir au mieux la confidentialité pour chacun des citoyens.
En effet, malgré de nouveaux pouvoirs de sanction et de nouveaux droits pour
les citoyens, un sentiment d’impuissance et d’insécurité perdure quant à la
protection de la vie privée. La CNIL et les autres autorités européennes
doivent continuer à se doter d’outils et de mesures adaptés afin de répondre à
ces besoins.
Sources :
[1] Les Echos ; « RGPD : un an après, des objectifs non atteints » ; Florent GASTAUD ; Publiée le 9 mai 2019 ; https://www.lesechos.fr/idees-debats/cercle/rgpd-un-an-apres-des-objectifs-non-atteints-1017223
[2] Toute l’Europe.eu ; « RGPD : quel bilan un an après sa mise en œuvre ? » ; Marianne Lazarovici ; 08 août 2019 ; https://www.touteleurope.eu/actualite/rgpd-quel-bilan-un-an-apres-sa-mise-en-oeuvre.html
[3] Sondage Ifop pour la CNIL ; « Les Français et la protection des données personnelles » ; Novembre 2018 ; https://www.cnil.fr/sites/default/files/atoms/files/barometre_ifop_rgpd-2018.pdf
[4] Commission Européenne ; Communiqué de presse « Bilan de la première année du règlement général sur la protection des données » ; 13 juin 2019 ; Bruxelles ; https://ec.europa.eu/commission/presscorner/detail/fr/IP_19_2956
[5] Données et RGPD ; « RGPD et protection des données personnelles : quel bilan après 1 an ? » ; 28 mai 2019 ; https://donnees-rgpd.fr/traitement-donnees/bilan-1-an/
[6] Fondation Jean Jaurès ; « Le RGPD, dix-huit mois après : quel bilan ? » ; Thomas Chevandier ; 25 octobre 2019 ; https://jean-jaures.org/nos-productions/le-rgpd-dix-huit-mois-apres-quel-bilan