Quelques jours avant la publication par la CNIL du bilan 2022 de la protection des données personnelles, le RGPD a célébré l’anniversaire de son lancement le 25 mai 2018. 5 ans plus tard, le règlement s’est imposé à tous malgré un bilan encore mitigé.
Rappel des objectifs du RGPD
Le RGPD ou Règlement Général sur la Protection des Données Personnelles a pour objectif d’encadrer le traitement des données personnelles au sein de l’Union Européenne. Il s’applique à tout organisme ou organisation dès lors qu’un résident européen est concerné par un traitement de ses données. Créé pour encadrer la protection des données personnelles des résidents européens, il a pour vocation de répondre aux enjeux de l’évolution du numérique et de renforcer le droit des individus sur leurs données. Un droit reconnu comme fondamental et protégé par la Chartre des droits fondamentaux de l’UE et du Traité sur le fonctionnement de l’UE.
Les données personnelles sont définies par l’article 4 du RGPD comme « toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, par référence à un identifiant ». L’identification d’une personne peut être réalisée à partir d’une seule donnée comme le numéro de sécurité sociale ou à partir d’un croisement de données. Elle est directe (nom, prénom) ou indirecte (numéro de téléphone, image, etc.).
La CNIL définit le traitement de données personnelles comme une opération ou un ensemble d’opérations portant sur des données personnelles comme la tenue d’un fichier des clients dans une entreprise, la collecte des coordonnées des prospects via un questionnaire ou encore la mise à jour d’un fichier de fournisseur. L’utilisateur doit être informé de l’utilisation de ses données personnelles au moment de leur collecte et de la modification de leur utilisation. En cas de manquement aux obligations d’informations envers les internautes, la sanction est une amende de 1 500€ qui peut s’élever à 5 ans de prison.
Le bilan du RGPD après 5 ans de mise en vigueur
Critiqué lors de son entrée en vigueur, le RGPD a permis d’instaurer un cadre réglementaire solide et cohérent qui a renforcé la confiance des européens dans la maîtrise de leurs données personnelles et les a sensibilisé à la protection de leurs données. Le directeur adjoint de l’accompagnement juridique de la CNIL considère d’ailleurs que le nombre de plaintes reçues témoignent que « les citoyens se sont vraiment saisi des droits octroyés par le règlement ».
Toutefois, toutes les entreprises ne sont pas encore à jour et conformes au RGPD. Suivant le sondage demandé pour le cabinet Grant Thornton, plus de 30% des chefs d’entreprises jugent leur niveau de conformité insuffisant et un quart d’entre eux estiment mal connaître les risques d’une transgression au règlement. Les GAFAM ne font pas exception et ne sont toujours pas en conformité avec le règlement comme le témoignent les sanctions prises à leur encontre. En 5 ans, Meta a été sanctionnée 5 fois pour un montant total de 2,5 milliards d’euros et Amazon a payé une amende de 746 millions d’euros. À l’exception de ces deux entreprises, les autres sanctions infligées pour irrespect au RGPD ne franchissent pas le seuil des 50 millions d’euros pour un montant total de 4 milliards d’euros en 5 ans.
Le règlement a également servi de modèle à d’autres réglementations comme le California Consumer Privacy Act (CCPA) aux Etats-Unis. En complément avec le RGPD, la Commission Européenne a d’ailleurs renforcé sa réglementation avec des textes sur les réseaux sociaux (DSA), sur les droits de la concurrence des GAFA (DMA) et bientôt sur l’intelligence artificielle (AI Act).
En conclusion, le RGPD a rempli son objectif d’informer les citoyens européens et de renforcer leur confiance dans le traitement de leurs données. Les nouveaux mécanismes de contrôles ont également permis de sanctionner ou de rappeler à l’ordre les entreprises sur la mise en conformité. Il reste toutefois des défis à relever pour continuer d’adapter le règlement aux évolutions de la technologie et de s’assurer de son respect par les GAFAM.