Retour sur le RGPD, deux ans après sa mise en place

1/ Publication du rapport d’activité de la CNIL 2019

Retour sur le RGPD : 2018 a été marquée par l’entrée en vigueur du Règlement Général sur la Protection des Données. Qu’en est-il de l’année 2019 qui devait permettre aux sociétés de se l’approprier concrètement ?

Le 9 juin 2020, la CNIL a publié son rapport d’activité pour l’année 2019 (voir le rapport 2018). Ce document montre l’évolution de la situation en matière de protection des données personnelles lors de la deuxième année d’application du RGPD.

L’appropriation du RGPD par les responsables de traitement se traduit notamment par le nombre d’organismes ayant désigné un Délégué à la protection des données : 64 900, soit plus 31% par rapport à l’année 2018. Les 62 000 inscriptions au MOOC de la CNIL « atelier RGPD » montrent également l’ampleur de la mobilisation.

Côté particuliers, le RGPD n’est pas non plus passé inaperçu avec une augmentation conséquente du nombre de plaintes, plus 27% par rapport à 2018 avec 14 137 plaintes.

Néanmoins, d’autres chiffres indiquent que certains responsables de traitement ne sont pas encore suffisamment matures. Notamment, le faible volume de notification de violation de données, avec 2 287 occurrences, laisse penser que ce sujet n’a pas encore été bien intégré.

Le volume de mises en demeure et de sanctions baisse légèrement avec 42 décisions de mise en demeure et 8 sanctions.

Détail important, l’année 2018 avait été marquée par une forte propension aux mises en demeure publiques. En effet, elles représentaient 27% de l’ensemble des mises en demeure (contre 5% en 2017). En 2019, la tendance s’inverse complètement, sur 42 mises en demeure, seules 2 ont été rendues publiques, soit 4,7% des décisions. Doit-on y voir une certaine indulgence de la CNIL ?

Ce rapport d’activité est également l’occasion d’aborder trois sujets de fond : la blockchain, le droit d’accès indirect méconnu et l’intelligence artificielle.

Enfin, la CNIL participe, à travers ce rapport, aux réflexions sur des sujets éthiques et d’actualité, en particulier sur les assistants vocaux, espions ou serviteurs à notre écoute, le cloud computing, ou encore la protection des données des enfants.

2/ Bilan après deux ans d’application du RGPD

Le 24 juin, la Commission Européenne a publié son rapport d’évaluation, deux ans  après l’entrée en vigueur du Règlement Général sur la protection des données (RGPD).

La Commission Européenne y indique que le RGPD a atteint la plupart de ses objectifs. Pour étayer ses propos, elle s’appuie notamment sur les droits solides conférés aux citoyens et la création d’un nouveau système européen de gouvernance et de contrôle d’application de ces règles.

Elle indique par ailleurs que le RGPD s’est « révélé être un outil souple à l’appui de l’élaboration de solutions numériques dans des circonstances imprévues telles que la crise du COVID-19« .

La Commission Européenne soulève aussi le point de l’harmonisation des dispositions des Etats membres qui s’avère en progression malgré une certaine fragmentation des législations européennes qui doit être surveillée en permanence par les autorités de contrôle nationales et européennes.

C’est également pour les entreprises un constat positif qui développe « une culture du respect de la règlementation« . Cette culture est de plus en plus mise en avant par les sociétés engagées dans un programme de mise en conformité et elles le font de plus en plus valoir comme un avantage concurrentiel au regard du niveau de protection des données qu’elles assurent.

Concernant l’impact du RGPD à l’international, le commissaire chargé de la justice, Didier Reynders, a quant à lui déclaré :

« Le RGPD a atteint ses objectifs et est devenu une référence à travers le monde pour les pays qui souhaitent accorder à leurs citoyens un niveau élevé de protection. Nous pouvons toutefois mieux faire, comme le montre le rapport publié aujourd’hui. Par exemple, nous avons besoin d’une plus grande uniformité dans l’application des règles sur tout le territoire de l’Union : c’est important pour les citoyens et pour les entreprises, notamment les PME. Nous devons aussi faire en sorte que les citoyens puissent pleinement faire usage de leurs droits. La Commission assurera le suivi des progrès accomplis, en étroite coopération avec le comité européen de la protection des données et dans ses échanges réguliers avec les États membres, de sorte que le RGPD puisse libérer tout son potentiel. »

Enfin, les principales conclusions du réexamen du RGPD par la Commission Européenne reviennent sur les éléments suivants :

• Les citoyens sont mieux armés et plus conscients des droits dont ils disposent, notamment grâce à l’obligation de transparence qui s’impose aux entreprises. Ceci leur permet de faire valoir plus facilement leurs droits, jouant ainsi un rôle plus actif quant à l’utilisation qui est faite de leurs données. Cela traduit le fait que les règles édictées en matière de protection des données sont adaptées à l’ère du numérique.
• Les autorités de protection des données font usage de leurs pouvoirs renforcés afin d’adopter des mesures correctives. En effet, depuis deux ans les autorités de contrôle comme la Cnil réalisent des contrôles qui peuvent se solder par des avertissements, rappels à l’ordre ou des amendes administratives. En témoigne la sanction prononcée par la Cnil à l’encontre de GOOGLE pour une somme de 50 millions d’euros (confirmée par le Conseil d’Etat le 19 juin 2020). Par ailleurs, la Commission indique que les autorités de contrôle prises ensemble ont vu leurs effectifs augmenter de 42% et leur budget, de 49% entre 2016 et 2019. Ce qui n’empêche pas de relever l’existence d’importantes disparités entre les autorités de contrôle des différents Etats membres.
• Les autorités de protection des données collaborent dans le cadre du comité européen de la protection des données (CEPD), grâce au mécanisme du « guichet unique ». Des améliorations sont toutefois possibles selon la Commission pour développer une « véritable culture commune de la protection des données » afin, notamment, de pouvoir traiter plus efficacement les dossiers transfrontaliers.
• La Commission est aussi revenue sur les avis et lignes directrices publiés par les autorités de protection des données. Elle rappelle qu’il est essentiel que les orientations qui sont données à l’échelle nationale soient strictement conformes aux lignes directrices adoptées par le CEPD.
• La Commission revient sur le besoin d’exploiter pleinement le potentiel des transferts de données internationaux. La mise à jour des clauses contractuelles types devrait favoriser cet objectif ce qui devrait passer par l’arrêt de la CJUE attendu en juillet 2020 dans l’affaire Schrems contre Facebook.
• Enfin, la promotion de la coopération internationale entre les différentes instances chargées de la protection des données est également un objectif poussé par la Commission dans son rapport.

Suite à ce premier bilan des deux ans, la Commission devra fournir son prochain rapport d’évaluation et de réexamen du Règlement dans 4 ans.

Pour aller plus loin :

Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition – two years of application of the General Data Protection Regulation

Rapport de la Commission: les règles de l’UE en matière de protection des données donnent aux citoyens les moyens d’agir et sont adaptées à l’ère du numérique

Je partage