AEDH

Un an après la mise en œuvre du RGPD, les données personnelles des Européens sont-elles mieux protégées ?

This post is also available in: enEnglish (Anglais)

Le 25 mai 2018, le Règlement Général sur la Protection des Données 2016/679 (RGPD) est devenu applicable dans tous les pays de l’Union européenne, il a pour objet de renforcer et d’unifier la protection des données personnelles (voir AEDH ).

Un peu plus d’un an après cette entrée en vigueur, la Commission européenne a publié le 24 juillet 2019, un communiqué de presse qui, basé sur une étude Eurobaromètre de mars 2019, se félicite des résultats de son application.

Mis en œuvre par tous les États membres (hormis la Grèce, le Portugal et la Slovénie), le RGPD permet en principe aux Européens de savoir quelles sont leurs données personnelles qui sont collectées et exploitées par les entreprises qui devraient ainsi être respectueuses de la vie privée des clients ou internautes. Le RGPD les oblige à leur demander leur consentement (libre, explicite, éclairé, et univoque) et leur accorder : le droit de savoir quelles données sont exploitées, dans quel but, pour quelle durée, et de s’y opposer ; le droit à l’oubli (c’est-à-dire le déréférencement sur internet) ; le droit d’accéder à toutes leurs données stockées ; de récupérer ces données ; le droit de contester des décisions utilisant des algorithmes. Elles ont aussi l’obligation des les informer en cas de fuite ou de violation des données.

Les entreprises, qu’elles exploitent les données de leurs « clients » ou qu’elles enregistrent simplement les données de leurs salariés, ont dû « adapter » leurs pratiques, indique la Commission européenne, dans son communiqué.

Ces obligations ont généré de lourds investissements et une masse de travail supplémentaire, parfois difficile à supporter pour les petites et moyennes entreprises (dont les représentants avaient alerté avant le vote du texte sur leurs difficultés à venir) et selon certaines enquêtes à peine 20% des entreprises ont finalisé leur mise en conformité aux grands principes du RGPD d’autant plus que ce texte a laissé beaucoup de zones grises et de directives peu claires.

Selon la Commission « Grâce au RGPD, les citoyens de l’UE sont de plus en plus conscients des règles en matière de protection des données et de leurs droits… ». L’enquête Eurobaromètre publiée en mai 2019 montre qu’une majorité (67%) des 27.000 Européens interrogés a déjà entendu parler du RGPD, mais 36% seulement sait à quoi il sert (avec des différence notables selon les pays : 90% des Suédois en ont entendu parler contre 44% des Français). Un peu plus de la moitié (56 %) des répondants utilisant les réseaux sociaux ont tenté de changer les paramètres de confidentialité (4 % de moins qu’en 2015), 29 % ont confiance dans les sites et 27 % ne savent pas comment faire, de même six sur dix disent lire les politiques de confidentialité en ligne, mais seulement environ un sur dix (13 %) les lisent entièrement : elles sont trop longues ! De fait, le changement le plus remarquable pour les internautes est le pop-up proposant d’accepter ou refuser les cookies que l’accès à chaque site internet déposera sur l’ordinateur ou autre appareil utilisé par l’internaute, accompagné d’une proposition de lire la longue liste des conditions générales ou des mentions légales des sites internet et des contrats.

L’étude révèle aussi que 57% des interrogés savent qu’il existe une autorité chargée de la protection des données dans leur pays mais seuls 20 % connaissent cette autorité.

Autant d’arguments pour que la Commission européenne ait décidé de lancer à l’été 2019 une nouvelle campagne visant à encourager les Européens à lire les déclarations de confidentialité, à optimiser leurs paramètres de confidentialité et à s’informer sur le rôle que peuvent jouer les Autorités de Protection pour la protection de leurs données personnelles.

Ainsi leur rôle de contrôle de la conformité des pratiques des entreprises et les sanctions qu’elles peuvent leur imposer pour non respect de leurs obligations a été renforcé par le RGPD. Le nombre de plaintes ou de demandes d’informations a ainsi fortement augmenté depuis un an : plus de 144.000 plaintes et questions ont été enregistrées auprès des autorités nationales et la Commission souligne que plus de 400 dossiers paneuropéens ont été ouverts auprès du Comité européen de protection des données (institution qui remplace le G29, créée par le RGPD composée de l’ensemble des présidents des autorités nationales ainsi que du contrôleur européen à la protection des données), les entreprises offrant souvent les mêmes services dans plusieurs pays de l’Union européenne ou opérant des traitements transnationaux.

Des sanctions spectaculaires ont été prises par certaines Autorités de protection des données (le RGPD les autorise en effet à prononcer des sanctions d’un montant allant jusqu’à 4% du CA annuel d’une entreprise).

En France, en janvier 2019, Google a été condamné à une amende de 50 millions d’euros pour avoir manqué à ses obligations d’information des utilisateurs, dont elle exploite les données à des fins publicitaires ; au Royaume uni en juillet 2019 le groupe hôtelier Marriott et British Airways ont été sanctionnés à hauteur de 100 et 200 millions d’euros respectivement, pour le manque de protection des données de centaines de milliers de clients dérobées lors de piratages informatiques ; en Allemagne c’est un site de Réseau social Knuddels.de qui a été récemment sanctionné à hauteur de 20.000 € pour de fuites de données ; au Portugal c’est un hôpital qui a été condamné à 400.000 euros ; aux Pays-bas aussi un hôpital a été condamné à une amende de 460.000 euros pour n’avoir pas suffisamment sécurisé les données des patients.

Les montants de ces sanctions se justifient par la gravité des atteintes à la sécurité des données, par l’absence de recueil du consentement, par le volume de données touchées et la nature de celles-ci notamment les données sensibles ou encore par l’absence de coopération, la négligence ou la mauvaise foi des entreprises condamnées.

La Commission estime que la protection des données et de la vie privée peut aujourd’hui être un avantage concurrentiel pour certaines entreprises, c’est sans doute pourquoi plusieurs pays notamment ceux de l’EEE (Suisse, Norvège, Islande et Liechtenstein) ou des pays tiers ont adopté une législation protectrice ou l’envisagent dans un futur proche.

Une autre conséquence de la mise en œuvre du RGPD est peut-être un encouragement à une souveraineté numérique européenne que l’AEDH appelle de ses voeux. Ainsi début août 2019, le ministère de la Justice et de la Sécurité des Pays-Bas a publié un rapport recommandant aux administrations et aux fonctionnaires de ne plus utiliser les applications de la suite Office de Microsoft pour une raison simple : elles ne respectent pas le RGPD.

Au bout d’un an de mise en œuvre, le bilan du RGPD semble plutôt mitigé si l’on considère que seulement 20 % des entreprises se sont mises en conformité, mais à une époque où les cyber-attaques, les vols de données, les malwares et « ransomwares » (rançongiciel) sont des menaces constantes, et où, comme le rappelle judicieusement la Commission « La protection des données à caractère personnel est un droit fondamental dans l’Union européenne », on peut se féliciter que ce texte ait pu, après quelques années d’âpres négociations, être adopté, mais il en va de la crédibilité de la Commission (qui publiera un bilan en 2020) que toutes les entreprises se mettent enfin en conformité, que toutes les Autorités de protection des données aient les moyens d’assurer leur mission et que tous les résidents européens soient informés et en mesure de protéger leurs données et leur vie privée. L’AEDH restera vigilante sur ces questions.

 

Maryse Artiguelong

webmin