Derniers articles publiés

RGPD : quel bilan un an après sa mise en œuvre ?

Actualité 08.08.2019 Marianne Lazarovici

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) a étendu les droits des citoyens de l'Union européenne vis-à-vis de leurs données privées enregistrées sur internet. Un an plus tard, quel impact a eu cette législation de l'UE sur les pratiques des entreprises et des consommateurs ? Une étude de la Commission européenne fait le point.

Crédits : Morad Hegui / IStock

Devenu applicable le 25 mai 2018, le RGPD (règlement général sur la protection des données) permet aux internautes européens de mieux contrôler l'utilisation qui est faite de leurs données personnelles.

Cette nouvelle législation, aujourd'hui mise en œuvre par tous les Etats de l'Union européenne à l'exception de la Grèce, du Portugal et de la Slovénie, donne aux consommateurs un droit à l'oubli (c'est-à-dire à la suppression de leurs données sur internet), le droit d'être informés en cas de fuite de données, le droit d'accéder à toutes les données stockées sur eux, enfin le droit de savoir quelles données sont exploitées par les entreprises et dans quel but, et de s'y opposer.

Désormais, les entreprises qui recueillent et exploitent les données de leurs clients doivent ainsi se montrer plus transparentes et respectueuses de la vie privée des clients. Elles ont dû "adapter" leurs pratiques, indique la Commission européenne, qui estime que la protection des données et de la vie privée peut aujourd'hui être un avantage concurrentiel pour certaines d'entre elles.

Protection des données (RGPD) : ce qui change

Des condamnations pour manquement

Le règlement européen a prévu une "boîte à outils" pour aider les entreprises à mettre à jour leurs systèmes informatiques. Un rapport d'experts commandé par l'exécutif européen observe néanmoins que le RGPD a généré de lourds investissements et une masse de travail supplémentaire, parfois difficile à supporter pour les petites et moyennes entreprises.

Du côté des multinationales, plusieurs condamnations médiatiques ont été observées depuis l'entrée en vigueur du RGPD. Le 21 janvier 2019, la CNIL - autorité française chargée d'appliquer le RGPD - a par exemple condamné Google à une sanction de plus de 50 millions d'euros, pour avoir manqué à ses obligations. Elle lui a notamment reproché de ne pas avoir rendu ses informations suffisamment accessibles pour les utilisateurs, dont elle exploite les données à des fins publicitaires. 

Outre-Manche, l'autorité britannique de protection des données a aussi annoncé son intention, en juillet 2019, d'infliger des amendes élevées au groupe hôtelier Marriott ainsi qu'à la maison mère de la compagnie aérienne British Airways (environ 100 et 200 millions d'euros), pour ne pas avoir respecté la nouvelle législation : en raison de lacunes dans leur protection, les données personnelles de centaines de milliers de leurs clients avaient été dérobées lors de piratages informatiques.

De nombreuses violations du RGPD dépassent ainsi les frontières : à la fin du mois de juin 2019, le comité européen de la protection des données, un mécanisme de coopération entre les autorités nationales, "avait traité 516 dossiers transfrontaliers", révèle la Commission européenne.

Des citoyens mal informés

Au total, en mai 2019, près de 145 000 plaintes et questions avaient été enregistrées auprès des autorités nationales chargées de faire respecter le RGPD. Pour autant, un an après son entrée en application, Bruxelles constate qu'un important défi demeure : celui de faire connaître leurs droits aux citoyens de l'UE. Selon un Eurobaromètre basé sur les réponses de plus de 27 000 Européens, seuls 20 % d'entre eux savent quelle autorité publique est responsable de la protection de leurs données.

"Les citoyens européens sont devenus plus conscients de leurs droits numériques, ce qui est une bonne nouvelle", tempère Andrus Ansip, ancien commissaire au Numérique. En effet, aujourd'hui, 73 % d'entre eux ont entendu parler d'au moins un de leurs droits, et 67 % connaissent l'existence du RGPD. Les citoyens français semblent cependant moins bien informés que leurs voisins : seuls 44 % ont entendu parler du règlement.

La Commission européenne a ainsi lancé, à l'été 2019, une nouvelle campagne de sensibilisation visant à "encourager les citoyens à lire les déclarations de confidentialité et à optimiser leurs paramètres de confidentialité". Elle rendra compte, l'année prochaine, des progrès accomplis après deux ans de mise en œuvre du RGPD.

Un bilan positif

D'ici là, pour renforcer l'application de ce règlement, la Commission informe aussi qu'elle "n'hésitera pas à utiliser les outils à sa disposition, y compris les procédures d'infraction, pour s'assurer que les États membres transposent et appliquent correctement les règles".

Aujourd'hui, la Grèce, le Portugal et la Slovénie n'ont toujours pas aligné leur règlementation sur le RGPD. Les 25 autres pays de l'UE s'y sont toutefois conformés et de plus en plus d'Etats tiers se dotent de normes de protection des données qui s'appuient sur les normes européennes. Plus de 40 législations comparables auraient ainsi été mises en oeuvre dans le monde (Russie, Maroc, Togo, Californie...), avec des dispositions toutefois très différentes selon les Etats, observe la chaîne d'informations LCI. "Cette convergence vers le haut ouvre ainsi de nouvelles perspectives de flux de données sûrs entre l'UE et les pays tiers" (comme la Corée du Sud avec qui des négociations sont en cours), note la Commission.

Un an après son entrée en vigueur, l'institution se félicite donc d'un bilan positif : "le règlement général sur la protection des données porte ses fruits".