6 ans de RGPD : le bilan
6 ans que le Règlement de la Protection des Données est entré en vigueur. Qu'en est-il de son application ? Les entreprises protègent-elles davantage les...
Le RGPD a été mis en place dans l'Union Européenne le 25 mai 2018 avec pour objectif principal de renforcer la protection des données personnelles des citoyens de l'UE, de s'adapter à l'évolution rapide du numérique et d'harmoniser les règles de protection des données à travers toute l'Union. Après six ans, il est temps d'évaluer l'impact du Règlement, de relever les défis rencontrés et d'envisager ses perspectives futures.
Les victoires du RGPD
Renforcement des droits des citoyens européens en cas de traitement de données
Le RGPD a considérablement sensibilisé les citoyens européens à leurs droits en matière de protection des données. Des droits importants tels que le droit d'accès, le droit à la portabilité des données et le droit à l'effacement des données à caractère personnel (également connu sous le nom de "droit à l'oubli") sont désormais solidement ancrés et sont de plus en plus exercés. Les citoyens de l'UE ont ainsi un plus grand contrôle sur leurs données personnelles et peuvent mieux comprendre comment celles-ci sont traitées et utilisées.
Amélioration de la transparence
Le RGPD a contraint les entreprises opérant au sein de l'UE à faire preuve de plus de transparence dans le traitement de données à caractère personnel. Les responsables du traitement des données doivent veiller à ce que les utilisateurs soient informés en détail de la finalité de la collecte des données, de la durée de conservation de celles-ci et de leurs droits en tant que personnes concernées. Cela permet aux utilisateurs de mieux comprendre le traitement de leurs données à caractère personnel et de prendre des décisions plus éclairées.
Des amendes élevées en cas d'infraction
L'une des caractéristiques notables du RGPD est le montant très élevé des amendes applicables en cas de non-respect. Les entreprises qui ne respectent pas les règles peuvent se voir infliger des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Ces sanctions sévères ont contribué à ce que les entreprises prennent la protection des données au sérieux et renforcent leurs efforts de conformité. Des cas célèbres, tels que les lourdes amendes infligées à Google et Facebook, montrent que les autorités de contrôle sont prêtes à intervenir avec fermeté en cas de non-respect du RGPD.
Un cadre uniforme pour la protection des données dans l'UE
Avant le RGPD, il existait dans l'UE une multitude de lois différentes en matière de protection des données, ce qui rendait difficile la circulation transfrontalière des données et la coopération. Le RGPD a créé un cadre juridique uniforme qui facilite considérablement cette situation. Les entreprises ne doivent plus s'adapter à une multitude de règles nationales, mais peuvent s'appuyer sur une norme unique.
Les défis du RGPD
Complexité et coûts de mise en œuvre
De nombreuses petites et moyennes entreprises luttent pour faire face à la complexité du RGPD et aux coûts qui en résultent. Les exigences en matière de documentation et de preuve de conformité sont souvent difficiles à satisfaire, en particulier pour les entreprises qui ne disposent pas des ressources nécessaires. Cela a conduit à une certaine surcharge de travail pour de nombreuses entreprises et constitue un obstacle à la mise en œuvre complète de la réglementation.
Application et contrôle
Bien que le RGPD prévoie des sanctions sévères, l'application n'est pas toujours très efficace. De nombreuses autorités nationales de protection des données ne disposent pas des ressources humaines et financières suffisantes pour poursuivre toutes les infractions de manière complète et cohérente. Cela peut à son tour entraîner des inégalités dans l'application des sanctions dans les différents États membres.
De longues clauses d'information
Un problème fréquemment évoqué est celui des interminables clauses d'information que les entreprises doivent insérer « à chaque occasion », mais que personne ne lit, à part les juristes spécialisés dans la protection des données. Malheureusement, la prétendue fonction d'information s'avère parfois quelque peu illusoire. Selon certains représentants d'entreprises, les clauses ainsi rédigées ne contribuent aucunement à sensibiliser les personnes concernées. Cela ne change que lorsqu'il y a un litige ou une plainte de la part de la personne concernée.
C'est seulement alors que l'on a effectivement recours à ces contenus pour demander des comptes au responsable du traitement des données. C'est pourquoi de nombreuses entreprises préconisent que les responsables du traitement des données ne soient pas obligés de noyer les utilisateurs sous un flot de texte à chaque fois, mais plutôt de leur offrir un accès simple et permanent à ces informations lorsque nécessaire ou sur demande.
Les plus grosses amendes
Un total de 2,415 infractions sanctionnées d'un montant de près de 4,5 milliards d'euros :
Tel est le bilan des infractions au RGPD dans l'UE à ce jour, selon une analyse du cabinet d'avocats CMS, réalisée à partir des données collectées dans la base de données GDPR Enforcement Tracker.
En France, le nombre d'amendes prononcées par la CNIL s´élève à 54, leur somme totale allant jusqu’à plus de 370 millions plaçant l’Hexagone en 3ᵉ place des pays aux amendes les plus élevées.
Meta est de loin le leader européen en matière d'infractions au RGPD. Six des dix amendes les plus élevées lui reviennent : quatre pour Meta, une pour Facebook et une pour WhatsApp. En 2023, l'infraction la plus grave a coûté 1,2 milliard d'euros à Meta en raison de l'absence de fondement juridique suffisant pour le traitement des données.
D'autres grandes entreprises ont également été sanctionnées : en 2021, Amazon a dû payer 746 millions d'euros au Luxembourg. La même année, Google a été sanctionné à deux reprises pour non-respect des principes généraux de traitement des données, les amendes s'élevant au total à 150 millions d'euros. Pour des infractions similaires au RGPD, TikTok a dû payer environ 345 millions d'euros en 2023. Enfin, plus récemment, en juillet 2024, Vinted a été sanctionné en Lituanie à hauteur de plus de 2,3 millions.
Avec 650 cas depuis 2018 et des amendes d'un montant total de 1,65 milliard d'euros, la cause d'amende la plus fréquente est une base légale insuffisante pour le traitement des données, suivie de près par le non-respect des principes généraux du traitement des données, avec 607 cas et un coût total de 2 milliards d'euros.
Perspectives d'avenir
Adaptation aux nouvelles technologies
Le développement rapide des nouvelles technologies pose de nouveaux défis au RGPD. L'intelligence artificielle, la cybersécurité, le Big Data et l'Internet des objets soulèvent des questions auxquelles le RGPD ne répond pas toujours clairement. Pour pouvoir suivre le rythme du progrès technologique, il faudra à l'avenir que de nouvelles lignes directrices des autorités de contrôle de la protection des données et de nouveaux règlements de l'UE abordent davantage ces questions.
Coopération internationale
La coopération internationale en matière de protection des données est indispensable pour assurer un transfert de données transfrontalier efficace et surtout sûr. C'est pourquoi l'UE cherche de plus en plus à conclure des accords avec des pays tiers afin de soutenir un niveau comparable de protection des données et de faciliter le transfert transfrontalier de données tout en le protégeant davantage. De tels accords visent à garantir que les données à caractère personnel soient également protégées de manière adéquate en dehors de l'UE. En juillet 2023, la Commission européenne a adopté une décision d'adéquation attendue depuis longtemps pour le cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework). Cette décision prévoit que les États-Unis garantissent un niveau adéquat de protection, comparable à celui de l'Union européenne, pour les données à caractère personnel transférées de l'UE vers des entreprises américaines dans le cadre nouvellement établi.
Renforcer le soutien aux petites et moyennes entreprises
Afin d'aider les petites et moyennes entreprises à se conformer au RGPD, il serait utile que les autorités de contrôle de la protection des données et les associations professionnelles sectorielles prennent des mesures supplémentaires de soutien et de sensibilisation. Outre des formations spécifiques, cela pourrait inclure le développement d'outils de conformité peu coûteux, adaptés aux besoins individuels des petites entreprises.
Conclusion
Six ans après son entrée en vigueur, le RGPD a profondément modifié le paysage de la protection des données en Europe et au-delà. Il a renforcé les droits des utilisateurs, contribué à une plus grande transparence et, grâce à des sanctions élevées, a fait en sorte que les entreprises prennent la protection des données au sérieux. Malgré ces succès, des défis subsistent, notamment en ce qui concerne la complexité des règles, l'application et l'adaptation aux nouvelles technologies et au monde numérique en constante évolution. Au travers de la coopération internationale et d'un soutien ciblé aux petites et moyennes entreprises, le RGPD peut rester un outil efficace de protection des droits à la vie privée dans un monde de plus en plus numérisé.
Traduit et adapté de l'original : 6 Jahre Datenschutz-Grundverordnung : eine Bestandsaufnahme
19-08-24
