fbpx

Règlement Général sur la Protection des Données, an 1 : le bilan

Quels enseignements tirer 12 mois après l’entrée en vigueur du RGPD ?

Entré officiellement en vigueur le 25 mai 2018, le Règlement Général sur le Protection des Données, RGPD si vous aimez les abréviations, General Data Protection Regulation si vous aimez l’anglais, a beaucoup fait parler de lui chez les professionnels du monde numérique, comme auprès du grand public. À l’aube du premier anniversaire de sa mise en application, quel bilan pouvons-nous tirer ?

RGPD : un bref rappel à la loi

Comme le dit l’adage, « nul n’est censé ignorer la loi ». Alors avant de nous lancer dans le vif du sujet, un petit rappel s’impose. 

Le RGPD est une directive appliquée à tous les états membres de l’Union Européenne depuis le 25 mai 2018 donc. En France, il s’inscrit dans le cadre de la loi « Informatique et Libertés » sous l’autorité de la Commission Nationale de l’Informatique et des Libertés (CNIL) créée en 1978.

Qu'est ce que le Règlement Général sur le Protection des Données ?
Renforçant la protection des données personnelles, le RGPD est appliqué dans tous les pays de l’UE

De nouveaux droits et deux grands objectifs avec le RGPD

L’objectif est double :

  • d’un côté il vise à renforcer le niveau de protection des données personnelles en prenant compte des évolutions entraînées par l’économie numérique ;
  • de l’autre il permet une harmonisation du cadre législatif au sein de l’Union. Plus de différence entre l’Allemagne et l’Italie, ou la France et la Grèce, désormais tout le monde accorde ses violons même si une certaine marge de manœuvre est accordée aux états.

Le RGPD introduit ainsi de nouveaux principes et de nouveaux droits pour les utilisateurs que tout organisme est tenu de respecter à partir du moment où il collecte des données à caractère personnel comme une adresse IP, un nom, une photo, un mail etc…

Une donnée à caractère personnel, c’est quoi ? « Toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement »

CNIL

À titre d’exemple les entreprises doivent désormais récolter un consentement « explicite » et « positif » de la part de l’internaute avant de pouvoir récolter des données. 

RGPD : quel bilan 1 an plus tard ?

Du côté des professionnels, pas d’autre choix de que de se mettre en conformité.

La CNIL a noté une « appropriation progressive » du cadre et a ainsi enregistré 7 millions de visites sur leur site entre mai et novembre 2018, ainsi qu’une hausse significative des contacts :

 + 45% d’appels sur les 7 premiers mois de 2018 et une augmentation significative du nombre de délégués à la protection de données.

Que retenir après 12 mois d'application du Règlement Général sur le Protection des Données ?
Sur mobile comme partout ailleurs, la défense des données est au cœur des préoccupations.

Protection des données : une prise de conscience collective

Du côté des particuliers, la mise en vigueur du RGPD a été accueilli avec un intérêt certain et a même permis une certaine prise de conscience. D’après un sondage IFOP commandé par la CNIL, 66% des Français se disent plus sensibles à la protection des données qu’auparavant.

Autre indicateur de l’intérêt des internautes français : le nombre de plaintes qui ne cesse d’augmenter avec 6 000 plaintes depuis l’entrée en vigueur du règlement européen, 9 700 entre janvier et novembre 2018, soit une hausse de 34% sur la même période en 2017.

Trois plaintes collectives ont également été enregistrées :

  • La Quadrature du Net (une association de défense des droits et libertés des citoyens sur Internet ) contre les GAFAM.
  • L’association NOYB (contraction de None Of Your Business que l’on pourrait traduire par « pas tes oignons ») face à Google.
  • Privacy International (ONG anglaise) s’oppose à 7 entreprises collectant des données à grande échelle dont le français Critéo.

Dura lex sed lex

La loi est dure, mais c’est la loi nous dit la location latine. En effet, malgré tous les efforts entrepris, certaines sociétés n’ont pas su (ou n’ont pas voulu) se mettre en totale conformité avec le RGPD et se sont fait épingler par la CNIL.

Pas encore de condamnations mais déjà des mises en demeure pour Vectaury, Singlespot ou encore Malakoff Médéric par exemple.

Encore quelques difficultés…

Si globalement les sociétés ont joué le jeu et ont mis en place un nombre de dispositions nécessaires, elles semblent encore être en retard sur certaines thématiques complexes. Le consentement de l’internaute n’est ainsi pas toujours recueilli. D’après le baromètre RGPD du cabinet de conseil Converteo : « il n’est recueilli qu’à hauteur de :

  • 30% à des fins de prospection commerciale
  • 16% à des fins de personnalisation
  • 2% seulement à des fins de scoring et de statistiques »

La question de l’âge ou le problème de l’affichage sur mobile des « privacy center » et des chartes sur la gestion des données font également partie des points encore mal maitrisés.

Règlement Général sur le Protection des Données : quelles sanctions pour les entreprises ?
Heureusement l’Europe n’a pas encore eu besoin de faire appel à Judge Dredd (crédits : memegen.com)

Il est clair que le RGPD a suscité de nombreuses interrogations et continue de poser quelques difficultés à des entreprises, généralement des PME, qui ne parviennent pas à se mettre en conformité avec les nouvelles dispositions, soit par manque de ressources, soit par méconnaissance de la réglementation et de tous ses points, ce malgré le gros travail d’accompagnement effectué par la CNIL.

…et des critiques

Cela aurait été trop beau, le RGPD n’a évidemment pas que des adeptes.

Certains économistes et experts outre Atlantique considèrent ce nouveau règlement comme une erreur stratégique à l’heure du « Big Data » et risque d’entraîner une perte de compétitivité des entreprises européennes face aux concurrents hors UE ne tombant pas sous le coup de la législation européenne.

Enfin, il est également important de noter que depuis le 25 mai 2018, environ un millier de sites américains (dont le LA Times et le Chicago Tribune) sont ou ont été inaccessibles.

Une première année positive pour le RGPD

« Ce qu’on peut dire, c’est que c’est un texte qui marche »

Gwendal LE GRAND, directeur des technologies et de l’innovation au CNIL

À quasiment 1 an de l’entrée en vigueur du RGPD dans nos contrées numériques, le bilan est dans l’ensemble positif puisque entreprises comme utilisateurs se sont appropriés le texte et se sont montrés pleinement concernés par la question.

Néanmoins il reste encore beaucoup de chemin à parcourir avant d’arriver à une totale transparence.

Découvrez également les meilleures infos sorties de E-Pub 2019.

Règlement Général sur la Protection des Données