Cela fait un peu plus d’un an que le RGPD est entré en vigueur, le 25 mai 2018, dans tous les pays membres de l’Union Européenne. Son objectif ? Renforcer les droits sur le contrôle des données personnelles des citoyens européens majeurs et mineurs. Sa méthode ? Instaurer un certain nombre de mesures sur l’accès aux données et leur utilisation. Tous les acteurs amenés à collecter et traiter des informations privées sont concernés. Dans le cas de la France, la Commission Nationale de l’Information et des Libertés (CNIL) veille à son respect. Bilan de cette première année : on constate une prise de conscience massive des utilisateurs, mais des difficultés des entreprises à être en conformité.
Petit récapitulatif des changements apportés par le RGPD
Depuis la mise en place du RGPD, toute organisation publique, privée ou étrangère qui souhaite utiliser des données jugées sensibles devra avoir le consentement clair et explicite des concernés. L’article 17 du RGPD qui concerne la mesure du droit à l’effacement vient renforcer la loi Informatique et Libertés de 2016. Ainsi, tout utilisateur peut, s’il estime qu’une information lui est préjudiciable, demander son déréférencement ou sa suppression. Au sein d’un entreprise, tout collaborateur doit, s’il le souhaite, avoir accès à ses données pour les modifier, les corriger ou les supprimer. De plus, un particulier peut exiger d’un fournisseur de service (Internet, téléphonie, etc.) qu’il lui remette toutes les informations qu’il possède en son nom. Sur le Web, pour gérer les données des utilisateurs, il faut avoir leur consentement. Si un utilisateurs se désabonne d’une chaîne ou d’une newsletter, il n’est plus possible de lui envoyer du contenu.
Le RGPD et les mineurs
En ce qui concerne les mineurs, les Etats membres fixent leur propre limite, qui doit être comprise entre l’âge de 13 et 16 ans. En Irlande, cette limite est fixée à 16 ans. Au Royaume-Uni et en Espagne, la limite est fixée à 13 ans. En France, ce sera 15 ans. Ainsi, pour tous les services en ligne comme les jeux, les réseaux sociaux ou le streaming, l’autorisation parentale sera requise.
Des difficultés de mise en conformité et une amende record pour Google
Dans le cas de la France, moins d’une entreprise sur deux est en conformité avec le RGPD. Et ce, principalement pour des raisons liées à des technologies inadaptées et à des dispositifs difficiles à intégrer. Et contrairement aux spéculations, ce ne sont pas les entreprises du numérique qui sont le plus en phase avec le RGPD. Ce sont plutôt celles qui sont construites autour de nombreuses normes de conformité et de qualité, et qui sont habituées à certains critères d’obligations (ex : le secteur juridique ou les structures évoluant avec des normes de qualité).
La CNIL souligne qu’un an après l’entrée en vigueur du texte, le nombre de plaintes a augmenté de 30% en comparaison à 2017. 144 376 plaintes ont été enregistrées en Europe. La plupart de ces recours touche au respect à la vie privée et à l’opt-in. Le RGPD prévoit des sanctions assez fortes pouvant aller jusqu’à 4% du chiffre d’affaires annuel d’une entreprise ou 20 millions d’euros (sachant que le montant le plus élevé sera retenu). Ces chiffres représentent des sommes conséquentes pour des entreprises qui ne se plieraient pas au RGPD. La mise en application du texte vise aussi à réguler les géants du Web, là où la controversée taxe GAFA avait été jugée inefficace. D’ailleurs, le 21 janvier 2019, 8 mois seulement après l’entrée en vigueur du texte, Google écope d’une amende de 50 millions d’euros pour manque de transparence sur les informations délivrées aux utilisateurs. Ces multinationales du numériques dont l’économie repose sur la marchandisation des données personnelles pourront-elles réellement s’adapter au RGPD ? En tout cas, Mark Zuckerberg, PDG de Facebook, Instagram et WhatsApp, promet des mesures.
Même si la CNIL a effectué un peu plus de 300 contrôles en 2018, les amendes majeures ont été à l’initiative de sociétés civiles telles que l’Union Fédérale des Consommateurs (UFC). Les associations La Quadrature du Net et None Of Your Buisness (NOYB), quant à elles, sont à l’initiative de la plainte contre Google. Même si des recours collectifs constituent un risque moindre, ce système financé par des donateurs bénévoles pose des interrogations sur sa pérennité.
L’avenir du RGPD se construit. Et même si son texte se veut clair, ses applications sont diverses et malléables. Pour toutes ces raisons, aucune entreprise n’est encore conforme au texte, même parmi celles qui sont les plus avancées au regard du RGPD. Si vous avez des interrogations autour du RGPD, il est possible de saisir la CNIL. Le site Internet de cette dernière centralise des informations clés autour de son évolution.
